DORA pour les institutions financières, ce que signifie la sensibilisation

Qu'est-ce que DORA et à qui s'applique-t-il ?

DORA (Règlement 2022/2554) est un règlement européen, pas une directive, ce qui signifie qu'il s'applique directement dans tous les États membres de l'UE sans transposition nationale. Depuis le 17 janvier 2025, DORA est contraignant pour :

• Banques et établissements de crédit
• Assureurs et réassureurs
• Gestionnaires d'actifs et entreprises d'investissement
• Prestataires de services de paiement, établissements de monnaie électronique, fintechs
• Contreparties centrales, plateformes de négociation, registres de transactions
• Prestataires de financement participatif et prestataires de services sur crypto-actifs
• Prestataires TIC critiques au secteur financier (régime de désignation spécial)

DORA et la Cbw, laquelle s'applique ?

Aux Pays-Bas, le secteur financier fait l'objet d'une supervision en couches : la loi sur la cybersécurité pour la cybersécurité générale, DORA pour les risques TIC propres au secteur, et les cadres prudentiels existants (Solvency II, Bbpm) pour la stabilité financière.

Règle générale : DORA prévaut là où DORA et Cbw se chevauchent. DORA est lex specialis. Pour les sujets uniquement présents dans la Cbw (et pas dans DORA), la Cbw reste applicable. Pour les sujets dans les deux (par ex. signalement d'incidents), suivez DORA.

Implication pratique : une institution financière n'a pas à mettre en œuvre les deux cadres en parallèle comme programmes distincts. Un programme DORA couvre la majorité, complété pour les sujets Cbw que DORA ne réglemente pas spécifiquement (par ex. la formation du conseil sous Cbw art. 24, DORA en parle moins explicitement).

DORA article 13, sensibilisation TIC et formation

L'article 13 de DORA oblige les entités financières à mettre en place "des programmes de sensibilisation TIC et des formations à la résilience opérationnelle numérique" comme partie obligatoire de la gestion des risques TIC. Les exigences :

• Tout le personnel doit recevoir une formation de base régulière, pas seulement le personnel TI
• Le personnel en fonctions critiques reçoit une formation spécialisée supplémentaire
• Les formations doivent être adaptées au rôle et au risque, un collaborateur trésorerie, un agent service client et un responsable conformité ont chacun des accents différents
• Le conseil suit périodiquement une formation sur le risque TIC et la résilience opérationnelle numérique
• L'efficacité doit être mesurée et évaluée, pas seulement la participation, mais aussi le changement de comportement

Fraude au CEO et BEC, la menace n°1 en finance

Les institutions financières sont touchées de manière disproportionnée par le Business Email Compromise (BEC) et la fraude au CEO. Selon les données du FBI, la finance représente chaque année 15-20 % de tous les incidents BEC signalés au niveau mondial, alors que le secteur ne représente qu'environ 5 % de l'économie.

Le profil de risque diffère du phishing générique. Les attaquants ciblent spécifiquement les fonctions finance et trésorerie avec des scénarios tels que : un ordre urgent du "CFO" en dehors des heures de bureau, un e-mail fournisseur avec un numéro de compte modifié, une "question conformité" sur une transaction spécifique, une demande de due diligence M&A.

Une sensibilisation DORA efficace en finance forme spécifiquement à ces scénarios, avec des protocoles de vérification (rappel via numéro connu, validation à deux personnes au-dessus d'un seuil) comme réflexe concret. Le contenu phishing générique est insuffisant ici.

Signalements d'incidents DORA versus Cbw

L'article 19 de DORA introduit un régime propre de signalement des incidents pour les institutions financières. Les incidents TIC significatifs doivent être signalés à l'autorité compétente (aux NL : DNB) selon les délais DORA. L'article 25 de la Cbw a également une obligation de signalement (sous 24/72 heures, rapport final dans le mois) pour les incidents de cybersécurité généraux.

Pour les institutions financières : en cas d'incident TIC significatif relevant à la fois de DORA et de la Cbw, utilisez le processus de signalement DORA (parce que DORA est lex specialis). Pour les incidents relevant uniquement de la Cbw (par ex. une fuite de données qui n'est pas opérationnelle TIC), utilisez la voie de signalement Cbw.

En pratique, les grandes institutions financières gèrent un processus intégré de réponse aux incidents qui satisfait les deux cadres, avec un triage automatique pour déterminer si un incident relève de DORA, de la Cbw ou des deux. Cela évite la double déclaration ou, pire, des délais manqués.

Supervision et sanctions

Aux Pays-Bas, DORA est appliquée par De Nederlandsche Bank (DNB) et l'Autoriteit Financiële Markten (AFM), selon le type d'institution. Pour les banques d'importance systémique, la BCE (via SSM) est en outre impliquée.

Les sanctions DORA peuvent atteindre 1 % du chiffre d'affaires journalier mondial par jour de violation persistante, uniquement élevé parmi les régimes de conformité. Les régulateurs peuvent en outre émettre des directives, retirer des licences et radier des prestataires TIC de la liste des "prestataires TIC critiques".

Dans les 12-18 premiers mois après le 17 janvier 2025, les régulateurs adoptent une approche graduée : focus sur les progrès démontrables, pas les amendes maximales. Exception : signalements d'incidents tardifs et prestataires TIC critiques ne respectant pas leurs obligations contractuelles, application immédiate.

Articles connexes

• Qu'est-ce que la loi néerlandaise sur la cybersécurité (Cbw) ?
• Cbw article 24 : formation du conseil
• Reconnaître la fraude au président

Sources

• DORA, Règlement 2022/2554 (EUR-Lex)
• DNB, portail DORA
• EBA, DORA Regulatory Technical Standards

FAQ

Les fintechs et le crypto relèvent-ils aussi de DORA ?

Oui. DORA couvre explicitement les PSP, les établissements de monnaie électronique, les prestataires de financement participatif et les prestataires de services sur crypto-actifs (CASP sous MiCA). Les petites fintechs sous certains seuils peuvent avoir des régimes simplifiés, mais sont rarement totalement exclues.

Comment DORA se positionne-t-il par rapport à Solvency II ?

DORA est spécifique au risque TIC, Solvency II à la prudence financière. Le risque TIC sous DORA est une catégorie propre à côté des risques de crédit, de marché et opérationnel.

Que sont les "prestataires TIC critiques" sous DORA ?

Prestataires TIC désignés par les autorités européennes de surveillance (AES) comme "critical third-party providers" (CTPP), typiquement grands fournisseurs cloud, processeurs de paiement et plateformes fintech utilisées par de nombreuses institutions financières en même temps. Les CTPP relèvent de la supervision directe de l'UE.

Les assureurs doivent-ils suivre le même régime que les banques ?

Substantiellement oui, avec des accents propres au secteur. Les assureurs ont moins de risque opérationnel TIC en temps réel, mais une plus grande exposition aux données de sinistres et aux modèles actuariels. La mise en œuvre DORA chez les assureurs se concentre davantage sur la continuité et l'intégrité des données que pour les banques.

Qu'est-ce que le Threat-Led Penetration Testing DORA ?

Les articles 26-27 de DORA obligent les grandes institutions financières à effectuer périodiquement (tous les 3 ans) des Threat-Led Penetration Tests, exercices red-team structurés sous supervision. Pour les institutions plus petites, un régime allégé d'évaluations de vulnérabilité s'applique.

Comment commencer en tant que petite institution financière ?

Trois priorités : (1) analyse d'écart sur DORA art. 5-19 ; (2) revoir les contrats fournisseurs TIC pour les clauses requises par DORA ; (3) construire un programme de formation couvrant à la fois DORA art. 13 et Cbw art. 21. De nombreux collectifs sectoriels (FBF, FFA, France FinTech) proposent des programmes de mise en œuvre DORA partagés.