Adopté par l’Union européenne en 2022 et applicable dès janvier 2025, le règlement DORA vise à renforcer la résilience des institutions financières face aux cybermenaces. Il s’applique aux banques, assurances, gestionnaires d’actifs, et fournisseurs de services technologiques. Contrairement à l’IA Act, qui encadre l’utilisation de l’intelligence artificielle (IA) pour garantir une utilisation éthique et sécurisée, DORA se concentre sur la résilience des institutions financières contre les risques numériques.
Principales exigences de DORA
DORA impose aux institutions financières de développer une stratégie de résilience numérique. Cela inclut l’identification des risques, la mise en œuvre de mesures de sécurité, et l’élaboration de plans de continuité des activités. L’IA pourrait aider à identifier plus rapidement les risques en analysant de grandes quantités de données et en détectant des anomalies. De plus, l’automatisation pourrait faciliter la mise en place de mesures de sécurité et la gestion des incidents de manière réactive et proactive.
La gestion des risques numériques est une composante essentielle de DORA. Les institutions financières doivent évaluer les menaces potentielles et mettre en œuvre des mesures pour atténuer ces risques. L‘IA pourrait améliorer cette gestion en anticipant les menaces grâce à des modèles prédictifs et en fournissant des analyses en temps réel qui aident à ajuster les stratégies de sécurité.
Surveillance des prestataires tiers
Les fournisseurs tiers, tels que les prestataires de cloud, sont essentiels pour les institutions financières. DORA exige une surveillance rigoureuse de ces prestataires, incluant une évaluation des risques liés à l’externalisation. L’IA pourrait permettre une surveillance continue de la performance et de la sécurité des prestataires, détectant rapidement les anomalies et aidant à prendre des mesures correctives. Des audits réguliers sont nécessaires pour vérifier leur conformité, et l’IA pourrait rendre ces audits plus efficaces en analysant les données de manière automatisée.
DORA impose également aux institutions de prévoir des stratégies de sortie pour les contrats critiques, afin de garantir la continuité des services en cas de défaillance d’un fournisseur. L’IA pourrait soutenir la planification de ces stratégies en anticipant les risques et en évaluant la performance des prestataires en temps réel, ce qui contribuerait à minimiser les interruptions.
Tests de résilience opérationnelle et reporting de surveillance
Les tests de résilience sont un élément central de DORA. Ils incluent des simulations de cyberattaques et des exercices de continuité pour vérifier la robustesse des systèmes. Ces tests doivent être menés régulièrement pour démontrer la capacité des systèmes à faire face aux menaces. L’IA pourrait automatiser ces simulations, permettant de repérer les vulnérabilités plus rapidement et de réduire la charge de travail des équipes. Ces tests permettent d’identifier les faiblesses, d’améliorer les systèmes et de garantir une meilleure préparation face aux incidents.
DORA requiert également un reporting de surveillance détaillé, qui inclut la collecte, l’analyse et la communication des informations sur les incidents de cybersécurité aux régulateurs. L’IA pourrait jouer un rôle essentiel en facilitant la collecte de ces données et en générant des rapports clairs, précis et en temps réel, permettant ainsi une réponse rapide et une meilleure conformité aux exigences réglementaires.
Le règlement DORA représente une avancée majeure pour renforcer la résilience numérique du secteur financier européen. En imposant des normes strictes de gestion des risques, de tests de résilience, de reporting de surveillance, et de surveillance des prestataires tiers, DORA vise à protéger le système financier tout en renforçant la confiance des investisseurs et des consommateurs. L’IA, bien que non spécifiquement requise par DORA, pourrait être un outil précieux pour se conformer aux exigences de manière plus efficace et proactive.