UE : cinq questions sur la réglementation Dora, qui entre en vigueur ce vendredi

La réglementation Dora, pour Digital Operational Resilience Act, va s'appliquer à partir de ce vendredi aux acteurs du secteur financier dans l'Union européenne. Avec un objectif central, limiter le risque de contagion d'un incident ou d'une cyberattaque. Europe 1 fait le point sur cette nouvelle réglementation.
Limiter le risque de contagion d'un incident ou d'une cyberattaque, c'est l'ambition de la nouvelle réglementation Dora, pour Digital Operational Resilience Act, qui s'applique à partir de vendredi aux acteurs du secteur financier. De quoi s'agit-il concrètement ? Europe 1 répond à cinq questions autour de cette nouvelle réglementation.
Pourquoi une telle réglementation ?
Le règlement Dora, qui entre en vigueur le 17 janvier, est une réponse réglementaire européenne à la montée des cyberattaques que subissent les acteurs du secteur financier. "De la banque en ligne aux paiements mobiles, presque tous les aspects de notre vie financière reposent sur des systèmes numériques", fait remarquer mercredi dans une note Madelein van der Hout, analyste au cabinet Forrester.
"Cette dépendance a apporté un confort incroyable, mais elle signifie aussi que toute perturbation, qu'elle soit due à des cyberattaques, à des pannes de système ou à des incidents opérationnels, peut avoir de graves conséquences", continue-t-elle. A la faveur de standards communs, de tests de résistance ou de consignes précises pour gérer un incident en cours, Dora vise à augmenter le niveau d'exigence de chaque acteur et de limiter le risque de contagion.
A qui s'adresse-t-elle ?
La réglementation Dora "va toucher à peu près toutes les entités régulées du système financier", souligne auprès de l'AFP François Faure, associé au sein du cabinet Techfin.
Figurent en première ligne le secteur bancaire et celui de l'assurance, y compris les courtiers. Elle oblige également les infrastructures des marchés financiers, les sociétés de gestion de portefeuille ou encore les établissements du paiement à s'y conformer.
Que contient-elle ?
Le règlement Dora élève d'abord le niveau d'exigence des acteurs financiers en matière de risque informatique, en imposant une organisation définie, des niveaux de contrôle adéquats, une bonne gouvernance... Il définit ensuite la marche à suivre en cas d'incident. Les établissements concernés doivent d'abord le qualifier - critique ou non critique - et le signaler, s'il est suffisamment grave, dans les quatre heures à leur autorité de tutelle, comme l'ACPR pour les banques et les assurances ou l'Autorité des marchés financiers (AMF).
Dora impose par ailleurs des tests de résilience. Les assujettis devront par exemple s'offrir les services de hackers repentis pour tester la résistance de leurs propres systèmes. L'entrée en vigueur de ces différents piliers s'étalera dans le temps à partir du 17 janvier.
En cas de manquement, "les organisations non conformes peuvent se voir infliger des amendes allant jusqu'à 2% de leur chiffre d'affaires annuel mondial ou 10 millions d'euros, le montant le plus élevé étant retenu", prévient Madelein van der Hout.
Quelles conséquences pour les financiers ?
Le secteur y voit sans surprise une couche de réglementation supplémentaire, synonyme de mobilisation de temps et d'argent. "Dora coûte cher", admet François Faure, qui évoque "plusieurs années de travail" au sein des banques, dès la parution des premiers textes.
Ces coûts seront in fine facturés aux consommateurs, a d'ailleurs prévenu le lobbyiste d'Insurance Europe Nicolas Jeanmart, à l'occasion d'une journée de conférence organisée le 19 décembre dernier par France Assureurs.
Certaines implications de la réglementation Dora n'ont pas fini d'occuper juristes et responsables des achats du secteur financier, qui devront impérativement mettre à jour les contrats avec leurs prestataires de service informatique en intégrant de nouvelles clauses types.
Et pour les géants de la "tech" ?
Les entités financières "sont tenues d'imposer contractuellement certaines obligations (en matière de protection et d'accès aux données, d'incidents informatiques, de continuité d'activité, de résiliation, etc.) à tous leurs prestataires de services de technologie de l'information et de la communication", détaille l'associé du cabinet Herbert Smith Freehills, Vincent Denoyelle, contacté par l'AFP.
Mais obtenir par exemple une capacité à auditer des géants de la "tech" comme Microsoft ou Amazon, même pour des clients au levier de négociation substantiel, s'annonce ardu. Ces prestataires informatiques dits critiques, une petite vingtaine peut-être pour les acteurs financiers européens, seront par ailleurs placés sous la surveillance d'une autorité dédiée, dirigée par le français Marc Andries.