Dans un environnement de plus en plus numérisé où les finances dépendent largement des technologies avancées, la sécurité et la confiance des utilisateurs sont des aspects fondamentaux, d’où la création de la nouvelle Loi de Régulation sur la Résilience Opérationnelle Numérique, plus connue sous le nom de DORA, et qui est entrée en vigueur le 17 janvier 2025. Cette réglementation clé de l’UE, Règlement UE 2022/2554, vise à améliorer la résilience opérationnelle numérique des institutions financières et à protéger les utilisateurs du secteur financier contre les risques associés aux TIC et aux interruptions opérationnelles.

DORA est structurée autour de cinq piliers : gestion et gouvernance des TIC, notification d’incidents, tests de résilience opérationnelle, gestion des risques de tiers et échange d’informations. Son objectif est de créer un cadre solide de force numérique capable de garantir que les institutions financières et les fournisseurs gèrent de manière efficiente l’opérabilité financière avec un fonctionnement sûr et continu même en présence d’adversités avec des systèmes et des protocoles clairs capables de répondre, de prévenir et de détecter les cybermenaces. Grâce à DORA, les plateformes numériques, telles que les applications bancaires, les services de paiement et les systèmes d’investissement, seront plus sûres et fiables pour les utilisateurs. La coopération entre entités financières et régulateurs facilite le partage d’informations et fournit une réponse rapide et efficace face à d’éventuelles attaques, minimisant leur impact sur les utilisateurs. Elle introduit également un cadre réglementaire qui supervise les fournisseurs critiques, garantissant ainsi le respect des normes de sécurité les plus élevées afin de protéger l’utilisateur final de possibles défaillances qui pourraient surgir en raison d’une dépendance excessive à des tiers.

DORA, entre autres, oblige les institutions financières à réaliser des audits périodiques de leurs fournisseurs et à établir des mécanismes capables de mitiger les risques associés à la sous-traitance. De même, elle les oblige à notifier les incidents graves liés aux TIC aux autorités financières compétentes, améliorant ainsi la capacité de réponse et la transparence. Tous les acteurs de l’écosystème financier en sortent renforcés, les entités apprennent de leurs erreurs, renforcent leurs systèmes et innovent dans cet environnemen