DORA : échéance clé du 17 janvier 2025 pour les établissements du secteur financier

Quels constats dresser ? Quels enjeux pour les mois à venir ?

Le 17 janvier 2025 marque l’entrée en application du Règlement Européen DORA et date théorique de mise en conformité des entités financières assujetties. Alors que les autorités de tutelle peuvent désormais débuter leurs campagnes de contrôles, nous revenons sur les enjeux et craintes des établissement pour les mois à venir.

Le Digital Operational Resilience Act (DORA) est un règlement européen conçu pour renforcer la résilience des entités financières face aux risques IT et de cybersécurité. Son objectif est ambitieux : il s’agit de limiter les risques TIC, systémiques, qui pèsent sur le secteur financier en améliorant la capacité des entreprises à anticiper et à gérer les crises tout en optimisant leur résilience opérationnelle.

Quel bilan dresser au 17 janvier 2025 ?

Malgré de nombreux efforts, échanges de place et initiatives ayant généré une certaine émulation sur 2024, la grande majorité des établissements financiers assujettis au règlement DORA ne sont que partiellement conformes.

Bien que le texte principal ait été publié au journal officiel de l’UE en décembre 2022, l’ensemble des standards techniques venant préciser plusieurs thématiques n’ont été publiés que tardivement, dont le second lot à l’été 2024, et certains de ces textes ne sont toujours pas publiés de façon officielle par les Autorités Européennes de Surveillance (AES) ! Ces différents retards et zones de flous persistantes ne jouent, forcément pas, en faveur des établissements dans un tel contexte.

Alors que les plus gros établissements de place affichaient une certaine maturité et confiance au regard de ces nouvelles exigences il y a encore quelques mois, ils ne sont pour autant pas tous totalement conformes au moment de son entrée en application. Les établissements de moyenne et petite taille sont d’autant plus en difficulté face à cette montagne réglementaire visant à renforcer et harmoniser les règles en matière de gestion des risques TIC et de résilience opérationnelle numérique malgré le principe de proportionnalité.

Sur 2024, les établissements financiers ont mis l’accent sur les principes de gouvernance en formalisant un certain nombre de documents normatifs dont la stratégie de résilience opérationnelle numérique et le cadre de gestion des risques TIC. L’organe de direction est désormais clairement identifié comme décideur et acteur central du dispositif de gestion des risques TIC et de résilience opérationnelle numérique. Souvent, les dispositifs de maitrise des risques TIC et les processus de sécurité des systèmes d’information ont été revus et améliorés afin de s’adapter au mieux à des taxonomies et principes communs édictés par les AES.

Quels sont les principaux enjeux sur 2025 ?

Tout reste à faire ! ou presque…

Il faudra parvenir à maintenir la mobilisation de nombreux acteurs : DSI, cybersécurité, gestion des risques, achats, juridique ou encore externalisation sur des sujets et problématiques qui sont jusqu’à présent traités de manière fragmentée. Il n’y aura pas de résilience opérationnelle numérique efficace sans une approche transverse et intégrée.

Ce sont les chantiers de déclinaison opérationnelle, qui seront au centre des préoccupations des établissements financiers de toutes tailles en 2025.

Évidemment on retrouvera dans les feuilles de route l’identification des assets qui supportent les Fonctions Critiques et Importantes, pierre angulaire du règlement DORA, qui font l’objets d’une vigilance toute particulière avec des mesures de sécurité et de tests renforcés. Le processus de gestion des incidents devra très rapidement être opérationnel pour remonter convenablement les incidents majeurs à son autorité locale. Les manquements sur ce point risquent d’être très rapidement identifiés par les régulateurs.

Enfin, une attention toute particulière doit être portée, dès début 2025, au passage en RUN. En effet, selon le niveau de maturité des entités financières, les exigences supplémentaires de DORA vont de pair avec une augmentation des investissements et des ressources qui ne peuvent être négligés.

Quelles sont les exigences qui génèrent le plus de craintes à l’heure actuelle ?

Un sujet semble particulièrement cristalliser les craintes des décideurs de la place, celui de la gestion des Tiers. Avec l’émergence des nouvelles technologies, l’adoption toujours plus rapide des produits et l’omniprésence des interconnexions entre SI, le risque lié à l’externalisation est souvent mal maitrisé. Afin de contrôler sa dépendance aux tiers notamment les plus critiques, il est nécessaire de bâtir une gestion des risques cohérente et complète tout au long du cycle de vie de la prestation. Pour y répondre, le régulateur renforce les exigences sur les analyses de risques fournisseurs, les attentes sur les stratégies de sorties et impose la complétude d’un registre conséquent des prestations TIC à produire pour le 30 avril 2025.

Enfin, la mise en œuvre des tests fondés sur la menace (TLPT) soulève de nombreuses questions puisque le régulateur impose une approche et une supervision inédite. Au-delà d’un cadre de référence théorique existant, le framework TIBER EU, la mise en pratique, elle, reste un réel défi. Tous les établissements concernés par ces tests seront attentifs aux premiers retours d’expériences, probablement attendu fin 2025 ou 2026.

Bien que les défis restent nombreux en 2025, les régulateurs attendent des établissements qu’une trajectoire claire et cohérente soit identifiée pour mener à bien cette mise en conformité. Ils seront également attentifs à ce que entités financières disposent des moyens et ressources nécessaires pour bâtir sur le long terme un socle commun solide essentiel pour faire face aux enjeux de résilience opérationnelle numérique.