Aller au contenu principal Activer le contraste adaptéDésactiver le contraste adapté
Fermer

Face aux cyberattaques, le secteur de la finance soumis à une nouvelle norme sur les risques informatiques
information fournie par Boursorama avec Media Services 15/01/2025 à 09:39

La réglementation Dora -Digital Operational Resilience Act-, s'applique à partir de vendredi 17 janvier à "à peu près toutes les entités régulées du système financier". Objectif : limiter le risque de contagion d'un incident ou d'une cyberattaque.

( AFP / I-HWA CHENG )

( AFP / I-HWA CHENG )

• Pourquoi une telle réglementation ?

Le règlement Dora, qui entre en vigueur le 17 janvier, est une réponse réglementaire européenne à la montée des cyberattaques que subissent les acteurs du secteur financier.

"De la banque en ligne aux paiements mobiles, presque tous les aspects de notre vie financière reposent sur des systèmes numériques", fait remarquer mercredi dans une note Madelein van der Hout, analyste au cabinet Forrester. "Cette dépendance a apporté un confort incroyable, mais elle signifie aussi que toute perturbation, qu'elle soit due à des cyberattaques, à des pannes de système ou à des incidents opérationnels, peut avoir de graves conséquences", continue-t-elle.

À la faveur de standards communs, de tests de résistance ou de consignes précises pour gérer un incident en cours, Dora vise à augmenter le niveau d'exigence de chaque acteur et de limiter le risque de contagion.

• À qui s’adresse-t-elle ?

La réglementation Dora "va toucher à peu près toutes les entités régulées du système financier", souligne auprès de l' AFP François Faure, associé au sein du cabinet Techfin. Figurent en première ligne le secteur bancaire et celui de l'assurance, y compris les courtiers. Elle oblige également les infrastructures des marchés financiers, les sociétés de gestion de portefeuille ou encore les établissements du paiement à s'y conformer.

• Que contient-elle ?

Le règlement Dora élève d'abord le niveau d'exigence des acteurs financiers en matière de risque informatique, en imposant une organisation définie, des niveaux de contrôle adéquats, une bonne gouvernance ...

Il définit ensuite la marche à suivre en cas d'incident. Les établissements concernés doivent d'abord le qualifier -critique ou non critique- et le signaler, s'il est suffisamment grave, dans les quatre heures à leur autorité de tutelle, comme l'ACPR pour les banques et les assurances ou l'Autorité des marchés financiers (AMF).

Dora impose par ailleurs des tests de résilience. Les assujettis devront par exemple s'offrir les services de hackers repentis pour tester la résistance de leurs propres systèmes.

L'entrée en vigueur de ces différents piliers s'étalera dans le temps à partir du 17 janvier. En cas de manquement, "les organisations non conformes peuvent se voir infliger des amendes allant jusqu'à 2% de leur chiffre d'affaires annuel mondial ou 10 millions d'euros, le montant le plus élevé étant retenu", prévient Madelein van der Hout.

• Quelles conséquences pour les financiers ?

Le secteur y voit sans surprise une couche de réglementation supplémentaire, synonyme de mobilisation de temps et d'argent. "Dora coûte cher" , admet François Faure, qui évoque "plusieurs années de travail" au sein des banques, dès la parution des premiers textes.

Ces coûts seront in fine facturés aux consommateurs , a d'ailleurs prévenu le lobbyiste d'Insurance Europe Nicolas Jeanmart, à l'occasion d'une journée de conférence organisée le 19 décembre dernier par France Assureurs.

Certaines implications de la réglementation Dora n'ont pas fini d'occuper juristes et responsables des achats du secteur financier, qui devront impérativement mettre à jour les contrats avec leurs prestataires de service informatique en intégrant de nouvelles clauses types.

• Et pour les géants de la "tech" ?

Les entités financières "sont tenues d'imposer contractuellement certaines obligations (en matière de protection et d'accès aux données, d'incidents informatiques, de continuité d'activité, de résiliation, etc.) à tous leurs prestataires de services de technologie de l'information et de la communication", détaille l'associé du cabinet Herbert Smith Freehills, Vincent Denoyelle, contacté par l' AFP .

Mais obtenir par exemple une capacité à auditer des géants de la "tech" comme Microsoft ou Amazon, même pour des clients au levier de négociation substantiel, s'annonce ardu. Ces prestataires informatiques dits critiques, une petite vingtaine peut-être pour les acteurs financiers européens, seront par ailleurs placés sous la surveillance d'une autorité dédiée, dirigée par le français Marc Andries.

0 commentaire

Signaler le commentaire

Fermer

A lire aussi

  • Le logo d'Interpol à Lyon, le 5 septembre 2023 ( AFP / OLIVIER CHASSIGNOLE )
    information fournie par AFP 18.07.2025 23:02 

    Un ex-ministre de la Justice moldave, Vitalie Pirlog, a-t-il contribué à effacer des notices rouges Interpol pour que des fugitifs de haut vol échappent à la justice ? Cet homme de 50 ans, arrêté aux Emirats arabes unis mi-juin, a été extradé et mis en examen en ... Lire la suite

  • La France doit débuter ce week-end la vaccination de près de 285.000 bovins pour stopper la propagation de la dermatose nodulaire contagieuse (DNC) dans les Alpes ( AFP / JEFF PACHOUD )
    information fournie par AFP 18.07.2025 22:58 

    La France débute cette fin de semaine la vaccination de près de 285.000 bovins pour stopper la propagation de la dermatose nodulaire contagieuse (DNC) dans les Alpes, a annoncé le ministère de l'Agriculture, de premières opérations ayant eu lieu dès vendredi selon ... Lire la suite

  • Un hélicoptère Airbus H125 largue de l'eau sur un incendie de forêt à Saint-Julien Les Martigues, au nord-ouest de Marseille, le 18 juillet 2025 dans les Bouches-du-Rhône ( AFP / Christophe SIMON )
    information fournie par AFP 18.07.2025 22:47 

    Après 24 heures de combat, des soldats du feu, l'incendie qui a dévoré près de 250 hectares de pinède depuis jeudi à Martigues, au nord-ouest de Marseille, est désormais fixé, mais 300 pompiers restent mobilisés pour noyer les dernières braises. Vendredi en début ... Lire la suite

  • Des Palestiniens arrivent en masse en France ? Non c’est une intox
    information fournie par France 24 18.07.2025 21:39 

    La semaine dernière la Cour Nationale du Droit d’Asile a accordé le statut de réfugiée à une femme gazaouie. Depuis des internautes affirment que des Gazaouis arrivent massivement en France. C’est faux, la vidéo utilisée n’a rien à voir avec Gaza.

Pages les plus populaires