La numérisation croissante des services financiers a entraîné une dépendance accrue aux technologies de l’information et de la communication (TIC). Pour mieux prévenir les cybermenaces et garantir la continuité des services, l’Union Européenne a adopté, en janvier 2025, la réglementation DORA (Digital Operational Resilience Act). Ce texte impose aux acteurs du secteur financier des obligations strictes pour renforcer leur résilience opérationnelle numérique.

Qu’est-ce que DORA et à qui s’adresse-t-elle ?

La réglementation DORA vise à harmoniser et à renforcer la cybersécurité dans l’ensemble de l’UE. Elle instaure un cadre unique pour la gestion des risques TIC qui s’applique à un large panel d’entités financières, notamment :

• Les banques et assurances
• Les sociétés d’investissement et fournisseurs de services de paiement
• Les bourses et infrastructures de marché
• Les prestataires de services TIC critiques (cloud, cybersécurité, solutions de stockage, etc.)

Les cinq piliers de la réglementation DORA

DORA impose aux entreprises concernées de se conformer à cinq exigences majeures pour assurer leur résilience numérique.

1. Gestion des risques TIC

Les organisations doivent mettre en place un cadre robuste de gestion des risques technologiques. Celui-ci inclue l’identification, la prévention et l’atténuation des menaces numériques. Les entreprises doivent ainsi assurer la protection, la sauvegarde et la redondance des données pour réduire le risque d’interruptions de service.

2. Tests de résilience opérationnelle

La réglementation DORA impose aux entreprises de réaliser des tests de cybersécurité réguliers, allant des simulations d’attaques aux tests de pénétration avancés (TLPT – Threat-Led Penetration Testing). L’objectif est d’identifier les vulnérabilités et de renforcer les capacités de défense.

3. Gestion des incidents liés aux TIC

Les entités soumises à DORA doivent disposer d’un processus de gestion et de notification des incidents. Elles ont l’obligation de signaler les cyberattaques et autres incidents majeurs aux autorités réglementaires. Des délais courts et selon des procédures standardisées sont également à déterminer.

4. Gestion des risques tiers

Les fournisseurs de services TIC jouant un rôle critique dans le secteur financier devront respecter des obligations spécifiques. Les contrats avec ces prestataires devront inclure des clauses garantissant la surveillance et la maîtrise des risques. Les entreprises financières devront s’assurer que leurs partenaires répondent aux normes de sécurité fixées par DORA.

5. Partage d’informations sur les cybermenaces

Les entreprises concernées sont encouragées à coopérer en partageant des informations sur les cybermenaces et incidents afin d’améliorer la protection globale du secteur financier contre les cyberattaques.

Conséquences en cas de non-conformité

Le non-respect de DORA pourra entraîner des sanctions financières. Dans certains cas, des interdictions de collaborer avec des fournisseurs tiers jugés non conformes. De même, chaque autorité nationale sera en charge de faire appliquer ces sanctions. 

Comment NetExplorer se conforme à DORA ?

En tant qu’éditeur de solutions de partage et de stockage, NetExplorer, cloud sécurisé, répond aux exigences de la réglementation DORA grâce à plusieurs mesures clés :

Stockage souverain :

Les serveurs NetExplorer sont situés en France, garantissant un contrôle total sur la gestion des données, en conformité avec les exigences européennes en matière de souveraineté numérique.

Gestion des risques TIC :

NetExplorer applique des politiques strictes de gestion des risques, incluant le chiffrement des données, des sauvegardes redondantes et un contrôle d’accès renforcé.

Tests de résilience : 

La plateforme NetExplorer est régulièrement soumise à des audits de sécurité et des tests de pénétration pour identifier et corriger les éventuelles vulnérabilités.

Gestion des incidents :

NetExplorer dispose aussi d’un processus de surveillance et de réponse aux incidents de sécurité, garantissant une notification rapide et un suivi rigoureux.

Gestion des risques tiers :

En tant que prestataire de services TIC, NetExplorer contractualise des engagements de conformité et de sécurité avec ses propres fournisseurs pour garantir un haut niveau de fiabilité.

En résumé, DORA est une évolution réglementaire majeure qui vise à assurer une résilience opérationnelle robuste au sein du secteur financier européen. NetExplorer peut jouer un rôle essentiel en proposant des solutions conformes et adaptées aux besoins des acteurs financiers soucieux de leur sécurité numérique.