À proposTechnologiesBlog
GWARDNEW
Retour au blog

Conformité DORA pour les institutions financières belges

1 mai 20269 min de lectureCaner Korkut

Le Digital Operational Resilience Act (DORA) est le cadre réglementaire de l'UE pour garantir que les institutions financières puissent résister, répondre et se remettre des perturbations liées aux TIC. Depuis sa date d'application du 17 janvier 2025, les entités financières belges supervisées par la Banque Nationale de Belgique (BNB) et la FSMA doivent se conformer à ses exigences complètes.

Qu'est-ce que DORA ?

DORA établit un ensemble uniforme d'exigences pour la résilience opérationnelle numérique des entités financières à travers l'UE. Contrairement à NIS2, qui s'applique largement à tous les secteurs, DORA est spécifiquement conçu pour le secteur financier et prévaut pour les entités dans son périmètre.

Le règlement vise à garantir que tous les participants au système financier disposent des garanties nécessaires pour atténuer les risques TIC, y compris les cyberattaques, les pannes technologiques et les perturbations de services tiers. Il dépasse une approche purement axée sur la conformité pour exiger une véritable résilience opérationnelle.

Qui doit se conformer en Belgique ?

DORA s'applique à un large éventail d'entités financières opérant en Belgique :

  • Établissements de crédit — banques supervisées par la BNB dans le cadre du Mécanisme de surveillance unique.
  • Établissements de paiement — prestataires de services de paiement agréés.
  • Entreprises d'investissement — entités supervisées par la FSMA.
  • Entreprises d'assurance et de réassurance — tous les assureurs et réassureurs agréés.
  • Prestataires de services sur crypto-actifs — entités autorisées en vertu de MiCA.
  • Dépositaires centraux de titres — dont Euroclear Belgium.
  • Plateformes de négociation — dont Euronext Brussels.
  • Prestataires tiers de services TIC — prestataires tiers critiques désignés par les Autorités européennes de surveillance, y compris les fournisseurs cloud et les services IT managés au service des institutions financières.

Les cinq piliers de la conformité DORA

DORA est organisé autour de cinq domaines clés que les institutions financières doivent traiter :

1. Gestion des risques TIC

Les entités financières doivent établir un cadre complet de gestion des risques TIC incluant l'identification et la classification des actifs TIC, l'évaluation continue des risques, la mise en œuvre de mesures de protection et de prévention, et des capacités de détection. L'organe de direction porte la responsabilité ultime de la définition et de l'approbation de la stratégie de gestion des risques TIC.

2. Signalement des incidents liés aux TIC

DORA exige des entités financières qu'elles classifient les incidents liés aux TIC selon des critères standardisés et signalent les incidents majeurs à la BNB ou à la FSMA. Le calendrier de signalement comprend une notification initiale dans les quatre heures suivant la classification, un rapport intermédiaire dans les 72 heures et un rapport final dans le mois. Cela s'aligne sur les délais de signalement NIS2 tout en en différant.

3. Tests de résilience opérationnelle numérique

Les entités doivent effectuer des tests réguliers de leurs systèmes TIC, notamment :

  • Tests de basevulnerability scanning, évaluations de la sécurité réseau et analyses des écarts réalisées annuellement.
  • Tests avancés (TLPT) — penetration testing piloté par les menaces, inspiré du cadre TIBER-EU, requis au moins tous les trois ans pour les entités financières significatives. Cela va au-delà du penetration testing standard et simule des scénarios de menaces réels.

4. Gestion des risques liés aux tiers TIC

Les institutions financières doivent tenir un registre de tous les prestataires tiers de services TIC, effectuer une due diligence avant tout engagement, inclure des dispositions contractuelles obligatoires en matière de sécurité et de résilience, et surveiller régulièrement les performances des tiers. Les prestataires tiers TIC critiques seront soumis à une supervision directe par les Autorités européennes de surveillance.

5. Partage d'informations

DORA encourage le partage volontaire de renseignements sur les cybermenaces entre entités financières. Les institutions financières belges peuvent participer à des accords de partage d'informations, notamment par le biais des mécanismes de coordination du CCB, tout en respectant les exigences de protection des données.

DORA vs NIS2 : différences clés pour les entités financières belges

Les institutions financières belges peuvent se demander comment DORA se rapporte à NIS2 :

  • DORA prévaut — en tant que réglementation sectorielle, DORA prime sur NIS2 pour les entités dans son périmètre (principe lex specialis).
  • Exigences plus strictes — DORA impose généralement des exigences plus détaillées et plus strictes que NIS2, en particulier en matière de tests et de gestion des tiers.
  • Superviseurs différents — la conformité DORA est supervisée par les régulateurs financiers (BNB/FSMA), tandis que NIS2 est supervisée par le CCB.
  • Prestataires tiers TIC — les entreprises fournissant des services TIC aux institutions financières peuvent devoir se conformer à la fois à DORA (par le biais d'exigences contractuelles) et à NIS2 (directement).

Étapes pour atteindre la conformité DORA

  1. Évaluez votre état actuel — effectuez une analyse des écarts comparant les pratiques existantes de gestion des risques TIC aux exigences DORA.
  2. Établissez la gouvernance — assurez-vous que l'organe de direction a défini les responsabilités en matière de risques TIC et que les lignes hiérarchiques sont claires.
  3. Construisez votre cadre de risques TIC — mettez en place ou améliorez les capacités d'identification, de protection, de détection, de réponse et de récupération.
  4. Cartographiez les dépendances aux tiers — créez et maintenez un registre complet de tous les prestataires de services TIC et évaluez les risques de concentration.
  5. Mettez en place le signalement des incidents — établissez des processus pour classifier, escalader et signaler les incidents TIC dans les délais DORA.
  6. Planifiez les tests de résilience — développez un programme de tests incluant des tests de base annuels et, le cas échéant, des exercices TLPT triennaux.
  7. Documentez tout — DORA exige une documentation extensive. Assurez-vous que les politiques, procédures et registres sont complets et prêts pour l'audit.

Comment ICTLAB peut vous aider

ICTLAB accompagne les institutions financières belges dans la satisfaction des exigences exigeantes de DORA. Nos services de cybersécurité incluent des évaluations des écarts DORA, la conception de cadres de risques TIC, des programmes de tests de résilience comprenant penetration testing et évaluations de vulnérabilités, ainsi qu'un accompagnement en gestion des risques tiers. Nous comprenons les défis uniques auxquels font face les entités financières belges et fournissons des conseils pratiques et orientés vers la mise en œuvre.

Que vous soyez une banque, un assureur, un prestataire de paiement ou un prestataire de services TIC pour le secteur financier, notre équipe basée à Bruxelles peut vous aider à construire la résilience opérationnelle que DORA exige.

Besoin d'aide avec Audit de sécurité ?

Évaluation complète de votre posture de sécurité par rapport aux normes du secteur. Nos audits identifient les lacunes et fournissent des plans de remédiation exploitables.

En savoir plus Nous contacter

Articles connexes

15 janvier 2025

NIS2 Belgique : Guide Complet de Mise en Conformité

Guide conformité NIS2 pour les organisations belges : qui doit se conformer, exigences clés, délais, sanctions et checklist de préparation étape par étape.

20 février 2025

Tarif Pentest Belgique 2026 : Prix Test d'Intrusion

Tarif pentest en Belgique : pentest web dès 4 000 €, pentest réseau dès 5 000 €, red team dès 20 000 €. Tous les prix et conseils budget.