Dans un an, le 17 janvier 2025, Dora (Digital Operational Resilience Act) entrera complètement en vigueur. Autant dire demain pour la Place, qui se prépare à cette lourde réglementation de l’UE. L’objectif du texte? Augmenter la capacité des institutions financières à se relancer très rapidement après un incident numérique. Pour ce faire, Dora prévoit d’harmoniser les processus et de renforcer la transparence, le partage d’informations et le suivi des fournisseurs de services tiers, en particulier ceux liés au cloud.
PwC appelle à l’action et dévoile une étude (»). Le groupe d’audit et de conseil ne veut pas considérer Dora comme une simple obligation de conformité, mais comme l’occasion d’optimiser les opérations. «Vous pouvez réellement saisir des opportunités commerciales autour de cela», insiste l’associé de PwC Luxembourg et leader en technologie et transformation, .
Dora n’est pas uniquement l’affaire du responsable des systèmes d’information.
Associé et conseiller réglementaire en services financiers chez PwC, Michael Horvath met en avant l’importance de définir clairement les responsabilités au sein des institutions financières: «Nous sommes sur le sujet depuis le deuxième trimestre de l’année dernière. Au début, dans les entreprises, la grande question était: qui est responsable de Dora? Personne ne se portait volontaire et tous les regards se tournaient vers le responsable IT.»
Or, fait valoir PwC, Dora ne doit pas être réduite à une dimension purement informatique. «Cette réglementation n’est pas uniquement l’affaire du responsable des systèmes d’information ou du responsable de la sécurité de l’information. C’est bien plus que de la cybersécurité ou de l’infrastructure d’information. C’est une question globale d’opérations et de stratégie commerciale», reprend Olivier Carré, soulignant la nécessité de comprendre les multiples facettes de cette réglementation.
Les fonctions dirigeantes mobilisées
Dans son étude, et c’est là son originalité, PwC attribue des responsabilités spécifiques à chaque fonction dirigeante, transcendant ainsi les limites institutionnelles. «Dora engage toute la palette des décideurs d’une entreprise», explique l’associé. «Nous avons défini le rôle de chaque fonction, car il est essentiel de comprendre comment chacune peut contribuer à renforcer la résilience face à la complexité croissante des affaires.»
Le CEO et le directeur des opérations (COO) devraient ainsi prendre un rôle proactif dans l’orientation stratégique, en s’assurant que la vision de Dora est intégrée dans toutes les opérations. Le directeur des systèmes d’information (CIO) devrait, lui, équilibrer la complexité des opérations informatiques avec la nécessité de garantir la conformité et la résilience. Quant au responsable de la sécurité de l’information (CISO), il devrait se concentrer sur sa mission et guider la mise en œuvre de mesures de cybersécurité conformes à Dora.
La gestion de l’IT, question cruciale
Pour Michael Horvath, cette réglementation offre donc des opportunités de repenser la manière dont les opérations sont menées. «À condition de se poser les bonnes questions, notamment: comment avez-vous organisé vos données? Utilisez-vous des technologies adaptées? Travaillez-vous avec les bons sous-traitants?»
Autre question cruciale: la gestion globale de l’informatique. Certains acteurs, notamment ceux avec des sièges aux États-Unis, font face à des dilemmes complexes. «Nous avons un certain nombre de clients dont l’IT est aux États-Unis. Ils doivent désormais décider de créer un hub IT spécifique pour l’Europe ou d’ajuster leurs normes pour correspondre aux exigences des autorités américaines et européennes», détaille Olivier Carré.
L’industrie des fonds et les assureurs doivent s’adapter à cette nouvelle réalité.
On l’aura compris: Dora doit être l’affaire de tous. Au sein de chaque institution, mais aussi à l’échelle de la Place, selon celui qui est considéré comme le numéro 2 de PwC Luxembourg: «Toutes les institutions financières sont impactées, mais le niveau de préparation varie. Les banques, ayant déjà adopté des normes élevées, se situent à un niveau de maturité plus avancé. Cependant, d’autres segments tels que l’industrie des fonds et les assureurs, moins exposés par le passé, doivent s’adapter à cette nouvelle réalité.»
Pour être conformes à Dora d’ici janvier 2025, les dirigeants du secteur financier doivent agir rapidement: c’est l’autre message de PwC, qui parle d’une course contre la montre. «Nous sommes encore au début de ce voyage. Même si la mise en œuvre complète est prévue pour 2025, de nombreux acteurs commencent tout juste à se concentrer sérieusement sur cela. C’est un point à l’ordre du jour pour 2024», souligne Olivier Carré.
Et l’histoire ne s’arrêtera pas en janvier 2025. Bien que Dora soit spécifique au secteur financier, son influence va au-delà: les principes de résilience et de gestion des risques qu’elle promeut deviennent des modèles pour d’autres secteurs, observe le spécialiste: «L’énergie, les télécommunications et d’autres domaines ont déjà des régulations similaires. Dora devient ainsi une sorte de modèle pour plusieurs réglementations à venir, toutes axées sur la résilience des technologies de l’information.»