- 09 52 42 18 91
- contact@cidconsulting.net
- Lun-Ven 8h30-18h30
AMF – Cybersécurité et risques informatiques. Préparation à l’entrée en application du règlement européen DORA
By Preprod_CiDconsulting
Published On 13 mars 2024
Le contexte
Le règlement européen sur la résilience opérationnelle numérique du secteur financier (Digital Operational Resilience Act ou DORA) établit des règles en matière de cybersécurité et de gestion des risques informatiques pour un grand nombre d’entités financières. Il entrera en application le 17 janvier 2025. Afin d’accompagner les professionnels dans l’application de ce texte, l’AMF en rappelle les principales dispositions, à un an de leur entrée en application.
Principales dispositions
Le règlement DORA vise à harmoniser les dispositions relatives à la cybersécurité et à la gestion des risques informatiques dans le secteur financier. Son périmètre inclut pratiquement toutes les entités du secteur financier, ainsi que les entreprises tierces leur fournissant des services informatiques sur des fonctions critiques ou importantes.
Le règlement DORA comprend des dispositions imposant aux entités financières :
- de mettre en œuvre un cadre de gestion du risque lié aux technologies de l’information et de la communication (TIC). Ce cadre doit notamment comprendre la mise en place de règles de gouvernance et de contrôle interne, l’élaboration d’une stratégie de résilience opérationnelle numérique et l’instauration d’une politique complète de continuité des activités de TIC ;
- de notifier aux autorités nationales compétentes (en France : AMF ou ACPR) les incidents identifiés comme majeurs et liés aux TIC ;
- d’effectuer des tests de résilience opérationnelle numérique. Certaines entités financières identifiées par les autorités compétentes, notamment sur la base du caractère systémique de l’entité ou du profil du risque lié aux TIC, devront également mettre en place des tests avancés au moyen de tests de pénétration fondés sur la menace, c’est-à-dire simulant le mode opératoire de véritables attaques cyber ;
- de gérer le risque lié au recours à des prestataires tiers de services TIC, avec notamment de nouvelles exigences au niveau contractuel. Les entités financières doivent identifier et intégrer les risques liés aux prestataires tiers de services TIC dans leur cadre de gestion des risques, et demeurent pleinement responsables du respect des obligations du règlement DORA lorsqu’elles ont recours à ces tiers ;
- de partager de façon volontaire des informations opérationnelles relatives aux menaces d’origine cyber et les vulnérabilités entre acteurs du secteur financier.
Textes d’application
Le règlement DORA prévoit également l’adoption ultérieure d’un certain nombre de textes d’application. Ces textes sont en cours d’élaboration par les trois autorités européennes de supervision (ESMA, EBA et EIOPA), avec l’implication des autorités nationales, dont l’AMF. Les normes techniques développées permettront d’harmoniser les exigences de sécurité informatique et la gestion du risque lié aux TIC à l’échelle de l’Union Européenne. Elles apporteront également des précisions aux entités financières quant à leur mise en conformité avec les obligations de DORA.
Et concrètement ?
Le règlement DORA entrera en application le 17 janvier 2025. L’AMF appelle les acteurs à se préparer à l’entrée en application de ce texte et à anticiper leurs travaux de mise en conformité. Dans cette perspective, l’AMF invite les acteurs à prendre connaissance des différentes informations disponibles sur son site internet, incluant par exemple la synthèse des derniers contrôles SPOT relatifs au dispositif de cybersécurité des sociétés de gestion disponible. Ces contrôles contiennent des conclusions utiles pour les entités financières en amont de l’entrée en application de DORA.
Chaque semaine, CiD Consulting vous éclaire sur la règlementaire financière.
Envie de recevoir notre flash info directement dans votre boîte mail ?
Related Articles
CiD Consulting © 2024 - Tous droits réservés