Depuis le 17 janvier 2025, date d’entrée en vigueur de Digital Operational Resilience Act (Dora), les institutions financières doivent revoir leurs contrats avec leurs prestataires technologiques. Ces contrats doivent s’aligner sur de nouvelles exigences en matière de sécurité, de continuité d’activité et de gestion des incidents.
Les autorités augmentent la surveillance des fournisseurs de services critiques, comme ceux du cloud computing ou de la gestion des données. Elles imposent des clauses strictes pour garantir que Dora soit respecté, un processus souvent complexe.
Les nouvelles obligations contractuelles
Dora oblige les institutions financières à imposer à leurs prestataires technologiques des engagements contractuels clairs. Ceux-ci portent sur plusieurs aspects, notamment :
- La protection et l’accès aux données sensibles.
- La continuité des services en cas d’incident.
- La mise en place de procédures de résilience et de tests réguliers.
- L’auditabilité des systèmes.
Ces exigences impliquent une renégociation approfondie des contrats existants, souvent avec des prestataires internationaux. La capacité à auditer des géants technologiques comme Microsoft ou Amazon reste toutefois un défi de taille, même pour les institutions disposant d’un poids négociateur significatif. L’intelligence artificielle (IA) facilite la gestion des incidents et améliore les tests de résilience grâce à son efficacité analytique et prédictive.
Surveillance renforcée des prestataires critiques
Une autorité européenne spécifique a été mise en place pour superviser les prestataires technologiques critiques. Cette entité, dirigée par Marc Andries, veille à ce que ces acteurs respectent les standards imposés par Dora. Parmi les obligations, on retrouve la nécessité pour les fournisseurs d’établir des plans de gestion des incidents et de garantir la continuité des services critiques.
Les tests de résilience, effectués par des experts indépendants, sont également devenus une exigence centrale. Ces simulations permettent d’évaluer la robustesse des systèmes face à des cyberattaques potentielles ou à des perturbations opérationnelles majeures. Toutefois, les avancées en intelligence artificielle compliquent la donne en permettant aux cyberattaques de devenir plus sophistiquées et ciblées, ce qui oblige les institutions financières à redoubler d’efforts pour contrer ces menaces.
Coûts et implications pour les institutions financières
L’implémentation de Dora entraîne des coûts considérables pour les institutions financières. Les équipes juridiques, techniques et opérationnelles mobilisent leurs ressources pour adapter les systèmes internes. Elles doivent aussi réviser les contrats avec les prestataires. Ces efforts ajoutent une charge aux entreprises mais préviennent des pertes majeures en cas d’incident critique.
Un cadre clair pour l’avenir
Bien que complexe, la mise en conformité avec Dora fixe un cadre clair pour protéger les systèmes critiques. Elle réduit les risques opérationnels. Les institutions financières travaillent en collaboration avec leurs partenaires technologiques. Cette coopération renforce la résilience et la sécurité des opérations face à des menaces cybernétiques toujours plus évoluées.
