Le compte à rebours est lancé ! Dans un mois et demi, les exigences du règlement DORA (Digital Operational Resilience Act) s’appliqueront aux entités financières, à quelques exceptions près, ainsi qu’à leurs prestataires tiers de services TIC dans l’ensemble des pays de l’Union. A travers ce texte d’une exigence inédite, l’objectif est de renforcer la résilience du secteur financier, particulièrement stratégique et cible privilégiée des hackers. Les cyberattaques visant les prestataires de services financiers ont en effet plus que doublé (+ 119 %) en Europe entre le deuxième trimestre 2022 et le deuxième trimestre 2023. Pour parvenir à cette résilience, l’UE a donc adopté une série de nouvelles obligations classées en quatre piliers (voir encadré) : la gestion des risques liés aux technologies de l’information et de la communication (TIC), la gestion des incidents, les tests de résilience opérationnelle numérique et enfin la gestion des risques liés aux tiers prestataires de services TIC.

Néanmoins, à ce stade, malgré l’imminence de l’entrée en vigueur de la réglementation et l’ampleur du chantier qui les attend, l’avancement des entreprises dans leur travail de mise en conformité est assez inégal. « Nous sommes sur un niveau de préparation à deux vitesses, avec d’un côté les grandes entités financières qui ont bien pris le sujet en main et les entités de plus petite taille qui sont moins avancées, souligne Elisabeth Marrache, avocate associée en IP/IT et protection des...