« DORA est un changement majeur dans la résilience numérique des institutions financières »
Dans cet avis d’expert, l’analyste de Forrester Madelein van der Hout rappelle les principes du Digital Operational Resilience Act, ses bénéfices pour la stabilité financière, ses contraintes pour les institutions du monde entier, et les conséquences d’une non-conformité.
par
Madelein van der Hout, analyste senior chez Forrester
Publié le: 17 janv. 2025
De la banque en ligne aux paiements mobiles, presque tous les aspects de notre vie financière reposent sur des systèmes numériques. Cette dépendance a apporté un confort incroyable, mais elle signifie aussi que toute perturbation – qu’elle soit due à des cyberattaques, à des pannes de système ou à des incidents opérationnels – peut avoir de graves conséquences.
DORA (Digital Operational Resilience Act), qui entre en application ce 17 janvier, donne le cadre nécessaire pour garantir que les entités financières mettent en place des mesures robustes pour résister et se remettre des perturbations.
En s’attaquant aux vulnérabilités de cet écosystème hautement numérisé, DORA veut protéger les institutions financières, mais aussi la stabilité de la société européenne dans son ensemble.
Des degrés de préparation variés à DORA
Les institutions financières se trouvent à des stades différents de préparation à DORA. Bien que de nombreuses organisations aient progressé dans l’adaptation aux exigences du règlement, DORA représente un changement significatif dans la façon dont la résilience opérationnelle numérique est gérée.
Elle exige un examen complet du paysage des TIC, une amélioration des processus de gestion des incidents, une mise à jour des politiques et des procédures internes et la garantie que tous les accords contractuels avec des tiers respectent les normes du règlement.
La conformité à DORA n’est pas négociable. Les régulateurs attendent des progrès tangibles. Certaines institutions ont pris de l’avance, tirant parti de leurs cadres de cybersécurité et de gestion des risques déjà solides. D’autres sont encore en train de combler leurs lacunes et d’intensifier leurs efforts.
Quelles conséquences d’une non-conformité à DORA ?
Les organisations qui ne se conforment pas à DORA seront confrontées à une série de conséquences importantes. Elles peuvent se voir infliger des amendes allant jusqu’à 2 % de leur chiffre d’affaires annuel mondial ou 10 millions d’euros, le montant le plus élevé étant retenu.
Les fournisseurs IT tiers peuvent également se voir infliger des amendes allant jusqu’à 5 millions d’euros.
Les organisations peuvent également se voir infliger une amende équivalant à 1 % de leur chiffre d’affaires journalier global pour chaque jour de non-conformité.
La conformité ne consiste pas seulement à éviter les amendes, c’est un investissement dans la résilience opérationnelle et la confiance à long terme.
En outre, les autorités réglementaires peuvent limiter ou suspendre les activités commerciales des organisations non conformes jusqu’à ce qu’elles se mettent en conformité totale.
Dans les cas les plus graves, la non-conformité peut même entraîner une suspension temporaire des opérations, ce qui revient à interrompre l’activité.
Il faut par ailleurs tenir compte du risque de réputation. Les violations du règlement DORA peuvent éroder la confiance des clients et des investisseurs, entraînant des conséquences financières à long terme qui vont au-delà des amendes.
Autrement dit, la conformité ne consiste pas seulement à éviter les amendes, c’est un investissement dans la résilience opérationnelle et la confiance à long terme.
L’impact de DORA dépasse les frontières de l’Europe
Bien qu’il s’agisse d’un règlement européen, DORA aura un impact sur les entreprises situées en dehors de l’Union européenne, en particulier en Amérique du Nord et dans la région Asie-Pacifique (APAC).
En résumé, le règlement concerne toutes les institutions financières qui opèrent dans l’UE ou qui ont des liens avec elle, en les obligeant à intégrer cette conformité.
DORA établit donc une référence mondiale pour la résilience opérationnelle dans les services financiers. Les entreprises d’Amérique du Nord et d’Asie-Pacifique aligneront probablement leurs pratiques sur cette réglementation pour rester compétitives, pour garantir l’interopérabilité avec les clients de l’UE. Et, évidemment, renforcer leur résilience opérationnelle.
Pour approfondir sur Réglementations et Souveraineté