Une nouvelle norme oblige la finance à mieux appréhender le risque informatique. Le règlement européen Dora pour Digital Operational Resilience Act entre en vigueur aujourd'hui. Elle constitue une réponse réglementaire européenne à la montée des cyberattaques que subissent les acteurs du secteur financier. "De la banque en ligne aux paiements mobiles, presque tous les aspects de notre vie financière reposent sur des systèmes numériques", fait remarquer mercredi dans une note Madelein van der Hout, analyste au cabinet Forrester. "Cette dépendance a apporté un confort incroyable, mais elle signifie aussi que toute perturbation, qu'elle soit due à des cyberattaques, à des pannes de système ou à des incidents opérationnels, peut avoir de graves conséquences", continue-t-elle.
A la faveur de standards communs, de tests de résistance ou de consignes précises pour gérer un incident en cours, Dora vise à augmenter le niveau d'exigence de chaque acteur et de limiter le risque de contagion.
La réglementation Dora va toucher en première ligne le secteur bancaire et celui de l'assurance, y compris les courtiers. Elle oblige également les infrastructures des marchés financiers, les sociétés de gestion de portefeuille ou encore les établissements du paiement à s'y conformer.
Des amendes jusqu'à 2% du chiffre d'affaires mondial
Le règlement Dora élève d'abord le niveau d'exigence des acteurs financiers en matière de risque informatique, en imposant une organisation définie, des niveaux de contrôle adéquats, une bonne gouvernance... Il définit ensuite la marche à suivre en cas d'incident. Les établissements concernés doivent d'abord le qualifier - critique ou non critique - et le signaler, s'il est suffisamment grave, dans les quatre heures à leur autorité de tutelle, comme l'ACPR pour les banques et les assurances ou l'Autorité des marchés financiers (AMF). Dora impose par ailleurs des tests de résilience. Les assujettis devront par exemple s'offrir les services de hackers repentis pour tester la résistance de leurs propres systèmes.
L'entrée en vigueur de ces différents piliers s'étalera dans le temps à partir du 17 janvier. En cas de manquement, "les organisations non conformes peuvent se voir infliger des amendes allant jusqu'à 2% de leur chiffre d'affaires annuel mondial ou 10 millions d'euros, le montant le plus élevé étant retenu", prévient Mme van der Hout.
Le secteur y voit sans surprise une couche de réglementation supplémentaire, synonyme de mobilisation de temps et d'argent. "Dora coûte cher", admet François Faure, associé au
sein du cabinet Techfin, qui évoque "plusieurs années de travail" au sein des banques, dès la parution des premiers textes. Ces coûts seront in fine facturés aux consommateurs, a d'ailleurs prévenu le lobbyiste d'Insurance Europe Nicolas Jeanmart, à l'occasion d'une journée de conférence organisée le 19 décembre dernier par France Assureurs. Certaines implications de la réglementation Dora n'ont pas fini d'occuper juristes et responsables des achats du secteur financier, qui devront impérativement mettre à jour les contrats avec leurs prestataires de service informatique en intégrant de nouvelles clauses types.
Et pour les géants de la "tech" ?
Les entités financières "sont tenues d'imposer contractuellement certaines obligations (en matière de protection et d'accès aux données, d'incidents informatiques, de continuité d'activité, de résiliation, etc.) à tous leurs prestataires de services de technologie de l'information et de la communication", détaille l'associé du cabinet Herbert Smith Freehills, Vincent Denoyelle.
Mais obtenir par exemple une capacité à auditer des géants de la "tech" comme Microsoft ou Amazon, même pour des clients au levier de négociation substantiel, s'annonce ardu.Ces prestataires informatiques dits critiques, une petite vingtaine peut-être pour les acteurs financiers européens, seront par ailleurs placés sous la surveillance d'une autorité dédiée, dirigée par le français Marc Andries.
