Combien d’institutions sont prêtes ? Peut-être 20 %
DORA ( Digital Operational Resilience Act ) est entrée en application le 17 janvier. Conformité non-négociable. Mais combien d’institutions financières sont déjà prêtes ? La question dérange.
La nouvelle réglementation exige que les entreprises de services financiers, y compris les banques, les sociétés d’investissement et les fournisseurs de services de crypto-actifs, gèrent les risques liés aux technologies de l’information et de la communication, signalent les incidents majeurs et améliorent la gestion des risques liés aux tiers. Une évolution somme toute logique tant les systèmes numériques sont devenus cruciaux.
« En s’attaquant aux vulnérabilités de cet écosystème hautement numérisé, DORA veut protéger les institutions financières, mais aussi la stabilité de la société européenne dans son ensemble », justifie Madelein van der Hout, Senior Analyst, Forrester.
La non-conformité peut coûter cher : des pénalités pouvant aller jusqu’à 2 % du chiffre d’affaires annuel de l’entreprise, des perturbations opérationnelles potentielles, des atteintes à la réputation et un éventuel contrôle réglementaire.
Ici de l’avance, là du retard et des lacunes
On sait aujourd’hui que les institutions financières se trouvent à des stades différents de préparation. Si nombre d’organisations ont progressé dans l’adaptation aux exigences du règlement, celui-ci représente un changement significatif dans la façon dont la résilience opérationnelle numérique est gérée.
DORA exige un examen complet du paysage des systèmes numériques, une amélioration des processus de gestion des incidents, une mise à jour des politiques et des procédures internes et la garantie que tous les accords contractuels avec des tiers respectent les normes du règlement. Bien que nécessaire, c’est beaucoup. Si certaines institutions ont pris de l’avance, tirant parti de leurs cadres de cybersécurité et de gestion des risques déjà solides, d’autres sont encore en train de combler leurs lacunes et d’intensifier leurs efforts.
Les normes n’ont été finalisées qu’en juillet dernier !
« Si les grandes institutions financières basées dans l’UE sont en bonne voie pour se conformer aux délais, les petites entreprises basées en dehors de la région ne sont pas au bout de leurs peines. Le chemin vers la conformité sera plus long », assure Madelein van der Hout.
Qui plus est, les normes n’ont été finalisées qu’en juillet dernier ! De nombreuses institutions ont constaté que leur infrastructure ICT obsolète était incapable de répondre aux exigences en matière de surveillance et de reporting en temps réel. « Les petites entreprises en particulier étaient confrontées à des limitations de ressources, ce qui rendait difficile l’allocation des fonds, du personnel et de la technologie nécessaires pour se conformer pleinement », renchérit Madelein van der Hout.
Documenter les hypothèses
Il n’est pas trop tard. A condition, estime l’analyste de Forrester, de créer un plan de remédiation pour combler les lacunes dans les prochains mois. La première étape consiste à évaluer où se situent les lacunes en matière de conformité et à hiérarchiser les efforts pour traiter les risques les plus critiques, tels que le signalement des incidents et la gestion des risques liés aux tiers. Les institutions qui gèrent des centaines de fournisseurs tiers doivent s’assurer que leurs contrats sont conformes aux exigences détaillées de DORA, un processus qui peut nécessiter une renégociation et des mises à jour.
En cas de problèmes de conformité pouvant découler des exigences de DORA qui sont ouvertes à l’interprétation, les institutions doivent documenter leurs hypothèses et la justification de leurs mesures de conformité. Cette transparence contribuera à mettre en valeur une gestion proactive des risques et à préparer les institutions à un examen réglementaire, tandis que l’engagement avec les autorités nationales compétentes peut apporter des éclaircissements sur les exigences ambiguës.
« Si une conformité totale dans les délais n’est pas possible, assurez-vous de disposer d’un plan de mise en œuvre solide qui décrit comment et quand vous répondrez aux exigences », conseille Madelein van der Hout. C’est, à tout, le moins, la première étape.
