Depuis le 17 janvier 2025, les institutions financières de l’Union européenne doivent se conformer au Digital Operational Resilience Act (DORA), un cadre légal visant à renforcer la résilience opérationnelle face aux cybermenaces. La réglementation DORA a été conçue pour répondre à une recrudescence de cyberattaques dans le secteur financier. En effet, celui-ci était le troisième plus impacté par les menaces informatiques en 2024. L’augmentation de 75 % du nombre d’attaques au troisième trimestre 2024, par rapport à la même période en 2023, illustre bien l’évolution de ce phénomène et son ampleur croissante. Un aspect crucial de cette réglementation est la gestion du « registre DORA », qui impose aux entités financières de tenir et de mettre à jour un registre détaillé de leurs prestataires tiers de services TIC (Technologies de l’Information et de la Communication).
Les institutions financières dépendent de plus en plus de prestataires externes. Cette évolution a été rendue possible grâce à l’émergence de solutions technologiques innovantes, qui facilitent le partage des données et l’ouverture des écosystèmes bancaires. Les institutions deviennent alors particulièrement exposées aux risques liés aux tiers. Aujourd’hui, 77 % des établissements bancaires s’appuient sur des infrastructures cloud, et 92 % d’entre eux sous-traitent leurs opérations informatiques.
La réglementation DORA vise à encadrer et à sécuriser ces relations pour limiter leurs vulnérabilités et assurer la gestion rigoureuse des risques. Les entreprises concernées doivent impérativement soumettre leur registre DORA avant le 15 avril 2025. Cette date marque une échéance clé, d’autant plus que l’Autorité Bancaire Européenne (ABE) ne mettra plus à disposition son outil de conversion (Excel vers CSV), utilisé lors de la phase de test en 2024 pour transmettre le registre DORA à l’ACPR.
Cela signifie que les établissements devront donc s’adapter et trouver d’autres solutions pour assurer la transparence, garantir la gestion des risques liés aux fournisseurs externes, et renforcer la surveillance réglementaire.
Le registre DORA : Pourquoi est-il crucial pour les institutions financières ?
Le registre DORA est une pierre angulaire de cette réglementation. Il vise à offrir une visibilité totale sur les relations qu’une institution financière entretient avec ses prestataires TIC. En ayant une connaissance précise des risques associés à chaque fournisseur externe, les institutions peuvent anticiper les menaces potentielles et accroître leur résilience opérationnelle. L’objectif principal du registre DORA est de renforcer la supervision des risques tiers. Il s’agit d’abord d’identifier et d’évaluer les risques liés à chaque prestataire afin de garantir la bonne mise en place de mesures adaptées de gestion des risques.
La transparence réglementaire est, elle aussi, au cœur de cette démarche. Elle permet aux autorités de supervision d’accéder facilement aux informations sur les sous-traitants TIC des institutions financières. Enfin, la gestion proactive du registre renforce la résilience numérique, et permet aux entreprises de réagir rapidement lorsqu’un incident touche leurs services.
L’ABE joue un rôle central dans l’application de ces exigences. Elle est chargée de garantir la mise en œuvre harmonisée du registre DORA dans l’ensemble des États membres de l’UE. Pour ce faire, elle publie des lignes directrices détaillées afin d’aider les institutions financières à structurer leurs registres et à assurer la cohérence du reporting. Cela vise à faciliter le contrôle et l’évaluation par les autorités compétentes.
Qui est concerné par le registre DORA et quels sont les défis de la conformité ?
Au niveau européen, la réglementation DORA s’applique à près de 22 000 entités. Parmi elles, on trouve :
- les banques et établissements de crédit
- les compagnies d’assurance
- les établissements de paiement et de monnaie électronique
- les prestataires de services d’actifs numériques
- les fournisseurs de services TIC tiers
En l’absence d’adoption du projet de loi Résilience, les succursales de pays tiers, les sociétés de financement, ainsi que certaines entités ultramarines ne seront pas soumises aux obligations du règlement DORA au 17 janvier 2025. Cette exemption concerne notamment celles définies aux articles L. 532-48 et L. 511-1 du Code monétaire et financier. Leur mise en conformité pourrait donc être différée.
Ce périmètre étendu souligne l’ambition et la portée de cette législation, qui a pour but d’uniformiser la gestion des risques liés aux prestataires externes à travers l’ensemble du secteur financier européen.
La mise en place du registre DORA représente toutefois un défi considérable pour les institutions financières, tant sur le plan organisationnel que technique. Parmi les principaux obstacles rencontrés, on note la complexité des exigences de reporting. Les institutions doivent tenir à jour une liste exhaustive de leurs prestataires TIC et garantir une actualisation continue des informations collectées. Cette tâche, bien que cruciale, peut s’avérer fastidieuse et chronophage.
Aussi, la mise en œuvre du registre entraîne des coûts non-négligeables. Il est nécessaire de mobiliser des équipes spécialisées pour collecter, valider, et mettre à jour les données des prestataires. De plus, il faut intégrer cette gestion au sein des systèmes de conformité existants, ce qui implique une réorganisation de certaines ressources.
Enfin, la gestion des risques liés aux prestataires tiers doit être rigoureuse. Plusieurs démarches sont essentielles pour garantir une conformité stricte au DORA, comme l’évaluation des services fournis par chaque prestataire et la réalisation d’audits réguliers sur la cybersécurité et la continuité des activités.
Les conséquences de la non-conformité et les opportunités
Le non-respect des obligations imposées par le registre DORA peut entraîner des sanctions sévères. Les entreprises risquent des amendes financières qui peuvent monter jusqu’à 10 millions d’euros ou 5 % du chiffre d’affaires annuel, en plus de contrôles accrus et d’audits réguliers. En cas de non-conformité grave, une suspension de l’activité, même temporaire, peut également être décidée.
Bien que la gestion du registre DORA représente un défi, elle peut aussi offrir des opportunités stratégiques pour les institutions financières. En mettant en place une gestion méthodique du registre, les entreprises peuvent renforcer leur résilience opérationnelle et améliorer leurs processus de gestion des risques TIC. De plus, cette transparence accrue vis-à-vis des autorités renforce la confiance et peut constituer un avantage concurrentiel. En se conformant aux exigences de DORA de manière proactive, une institution peut se distinguer sur le marché et gagner la reconnaissance des régulateurs ainsi que des parties prenantes.
Par ailleurs, DORA encourage le partage d’informations entre les acteurs financiers concernant les cybermenaces et les vulnérabilités. Cette coopération peut conduire à une meilleure anticipation des risques et à une réponse collective plus efficace face aux cyberattaques. Ainsi, au-delà de la conformité réglementaire, DORA incite les institutions financières à adopter une culture de sécurité proactive, favorisant une amélioration continue de leurs défenses numériques.
Comment aborder la réglementation DORA avec SBS
La conformité à DORA reste un défi, notamment la gestion du registre et le suivi des relations avec les prestataires TIC. Sans les bons outils, ces exigences peuvent mobiliser trop de ressources. Une récente étude de McKinsey montre que 40 % des entreprises interrogées y consacrent plus de 7 ETP.
SBS répond à ce besoin avec SBP Regulatory Reporting. Intégrée, évolutive et SaaS, cette solution permet de générer les rapports DORA depuis le SI client, en conformité avec les attentes réglementaires. Elle assure une mise à jour continue et un suivi rigoureux de la version du registre. La plateforme centralise le reporting, maîtrise les coûts et anticipe les évolutions via des capacités d’intégration de modules IA ainsi que des rapports BI pour une prise de décision éclairée. Plutôt que de subir DORA, transformez cette contrainte en avantage stratégique !
Contactez-nous pour découvrir comment SBP Regulatory Reporting peut vous aider à rester conforme et compétitif.