Le règlement DORA vise à harmoniser les dispositions relatives à la cyber sécurité et à la gestion des risques informatiques dans le secteur financier. Son périmètre inclut pratiquement toutes les entités du secteur financier, ainsi que les entreprises tierces leur fournissant des services informatiques sur des fonctions critiques ou importantes. Face à l’augmentation des risques liés aux technologies de l’information et de la communication (TIC) ainsi qu’à l’augmentation et l’interconnexion du nombre de projets liés à la numérisation, le règlement sur la résilience opérationnelle numérique (Digital Operational Resilience Act ou DORA) a été établi pour renforcer la résilience opérationnelle numérique dans le secteur financier de l’UE en introduisant un cadre juridique commun. De tout ce qui précède, il se pose un problème : quel est le rôle de la résilience opérationnelle dans le système financier ?
Pour répondre à ce problème nous envisagerons d’abord la résilience opérationnelle en tant qu’instrument garantissant la stabilité financière (I) avant de signifier qu’elle est un instrument qui assure l’intégrité du marché financier (II).

I- LA RESILIENCE OPERATIONNELLE, INSTRUMENT GARANTISSANT LA STABILITE FINANCIERE

La résilience opérationnelle comme sa terminologie l’indique amène à adopter une attitude différente qui contribuera à encadrer la gestion du risque lié aux TIC (A) mais également à assurer une notification des incidents liés aux TIC (B).

A- L’encadrement strict de la gestion du risque lié aux TIC

Selon l’article 3 du règlement le risque lié aux technologies de l’information et de la communication (TIC) est un évènement qui peut compromettre un système d’information ou de tout autre outil technologique. Le règlement intervient dans une logique de faire du secteur bancaire un secteur respectable. Dans ce cet ordre d’idée vient à point nommé ces dispositions qui ont pour objectif de renforcer l’arsenal juridique des établissements de crédit. Disons que cette mesure agit en amont, elle est préventive et elle pourrait véritablement aider à gérer au mieux les risques.
Les dispositions précisent que les entités financières devraient identifier et gérer de manière efficace et cohérente tous les types de risques. En effet, durant ces dernières décennies le secteur financier a été la cible de multiples attaques en raison de sa spécialité. De nombreux cyberattaques, des usurpations d’identité ont se sont succédés causant de grave dégâts. Au regard de de tout ceci il est plus qu’important de doter le secteur financier de procédés performants pour lutter contre les attaques actuelles et prévenir celles qui sont futures.

L’usage des technologies échappe progressivement à la maitrise humaine, on assiste à toute sorte de dérive dans l’utilisation de la technologie qui s’exerce de manière nuisible. Alors que, les établissements de crédits sont sensibles en raison des données personnelles des clients qu’elles détiennent. S’introduire frauduleusement dans le système numérique financier causera non seulement la violation des données personnelles mais aussi la divulgation, les piratages et autres. Le législateur européen a adopté une démarche simple mais méthodique parce qu’il a évalué la pesanteur du risque lié aux TIC en fonction des menaces qui sont présentes.
  
B- L’encadrement strict de la notification des incidents liés aux TIC

Dans le but de garantir la sécurité du secteur financier le législateur européen a établi des règles concernant la notification des incidents liés aux TIC. Comme il le révèle fort habilement l’évitement de la violation de données dépend du comportement des entités financières. Car, elles devraient améliorer et rationaliser considérablement la notification des incidents majeurs liés aux TIC. Parlant d’incidents majeurs nous pouvons faire référence aux violations de données personnelles, l’hameçonnage, piratage de données, phishing, et l’escroquerie. Tous ces éléments précités existent et affaiblissent l’évolution du secteur financier. L'intelligence artificielle représente un levier stratégique pour les cybercriminels, leur offrant des opportunités d'accès aux fonctionnalités numériques des systèmes financiers. Par conséquent, il est essentiel et urgent de renforcer les dispositifs de notification des incidents.

Pour éviter une surexposition des incidents le règlement suggère aux états membres de choisir une seule autorité compétente comme destinataire. Ce choix n’est pas anodin puisque les opérations effectuées dans les établissements de crédit requièrent une grande discrétion et un professionnalisme indubitable afin de protéger les clients. Ainsi, pour préserver la sécurité des clients et de leurs biens il est crucial que les notifications soient effectuées avec une discrétion absolue. Bien évidemment cela permettrait de s’armer pour lutter contre d’autres incidents de types cyberattaques. Plus les cybercriminels utilisent des moyens sophistiqués le système numérique financier doit également se doter de mécanismes adaptés pour riposter.

II- LA RESILIENCE OPERATIONNELLE, INSTRUMENT GARANTISSANT L’INTEGRITE DU MARCHE

Ce règlement intervient dans le maintien de l’intégrité du marché en assurant la réduction de la concurrence (A) et en instituant un cadre normatif pour la surveillance des activités financières (B).

A- La réduction de la concurrence

Le règlement a pour vocation de diminuer les déséquilibres compétitifs. A cet effet, il est judicieux d’établir des règles qui seront à mesure de coordonner le régime de tests et faciliter la reconnaissance mutuelle des tests. Compte tenu du fait que chaque état à son approche concernant les tests, il faudrait une uniformité et une homogénéité des règles relatives à cette question pour éviter plus de contentieux dans l’union européenne. Il convient de reconnaitre que ce règlement joue un rôle essentiel dans la régulation de la concurrence entre les Etats, car en son absence, les tests de résilience opérationnelle seraient privés d’un mécanisme de reconnaissance mutuelle des résultats des tests des TIC d’un pays à un autre.

Le législateur estime que la dépendance des entités financières à l'égard de l'utilisation des services TIC s'explique en partie par le fait qu'elles doivent s'adapter à l'émergence d'une économie mondiale numérique compétitive, accroître leur efficacité commerciale et répondre à la demande des consommateurs. Il est en effet important que les entités financières adoptent une approche visionnaire, en s’adaptant continuellement à l’évolution technologique, notamment celle de l’intelligence artificielle, dont l’essor ne cesse de croitre au quotidien.

B- La surveillance des activités financières

La surveillance doit permettre de contrer de manière efficace les risques qui sont potentiellement associées à la gestion du risque lié aux TIC. Concrètement, la surveillance doit être un canal de protection des prestataires de services mais également des clients de ces prestations. Dans le but d’atteindre cette protection, le superviseur a accès à un certain nombre d’informations pour évaluer et contrôler les activités financières. Et suivre aussi les dysfonctionnements s’il en existe.
Le superviseur dispose de pouvoirs étendus pour l'exercice de ses fonctions. Ainsi, si un prestataire de services ne respecte pas les obligations de transparence, il peut faire l'objet de sanctions. L'objectif de sanctionner les prestataires de services non conformes à la législation est de garantir l'intégrité du système et du marché financier. Les dispositions montrent également que les pouvoirs du superviseur doivent s'étendre au-delà des frontières nationales, afin d'assurer une surveillance uniforme.

BIBIOGRAHIE

Le règlement (UE) 2002/2554 du Parlement européen et du conseil du 14 décembre 2022 « DORA », sur la résilience opérationnelle numérique du secteur financier

https://www.amf-france.org/fr/actualites-publications/dossiers-thematiques/dora

https://www.cssf.lu/fr/reglement-sur-la-resilience-operationnelle-numerique-dora