CryptaCount
FR
EnglishENDeutschDEEspañolESFrançaisFRItalianoIT日本語JA한국어KONederlandsNLPolskiPLPortuguêsPT
Connexion Essai gratuit

Rapport DORA sur les incidents ICT : ce que les entreprises de l'UE doivent savoir

CryptaCount Editorial · · 5 min de lecture
LBC / KYC / AGRÉMENT Rapport DORA sur les incidents ICT : ceque les entreprises de l'UE doiventsavoir

Les trois autorités européennes de surveillance, l'ABE, l'EIOPA et l'ESMA, ont publié conjointement le premier rapport annuel sur les incidents majeurs liés aux ICT en vertu du règlement sur la résilience opérationnelle numérique (DORA). Le constat principal est frappant : environ un tiers des 3 383 incidents majeurs signalés par les entités financières de l'UE ont eu un impact transfrontalier, révélant à quel point les infrastructures partagées et les services externalisés ont tissé ensemble les profils de risque opérationnel des entreprises. Le rapport souligne également la menace croissante posée par les outils pilotés par l'IA très performants et appelle les entités financières à relever leurs normes de cybersécurité en conséquence.

Rapport DORA sur les incidents ICT : ce que les entreprises de l'UE doivent savoir

Ce que DORA exige et pourquoi ce rapport existe

L'article 22(2) de DORA oblige les AES à publier chaque année un résumé des incidents majeurs liés aux ICT dans l'ensemble du secteur financier de l'UE. Chaque édition doit couvrir au minimum : le nombre d'incidents, leur nature, leur impact opérationnel et sur la clientèle, les mesures correctives prises et les coûts encourus. Ce premier rapport remplit cette obligation légale et établit la base de référence par rapport à laquelle les années futures seront mesurées.

Comment DORA définit un incident ICT majeur

En vertu de DORA, un incident lié aux ICT est tout événement unique non planifié, ou série d'événements liés, qui compromet la sécurité des réseaux et des systèmes d'information et affecte négativement la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données ou des services. Un incident ICT majeur est un incident qui a un impact négatif élevé sur les systèmes soutenant des fonctions critiques ou importantes. Cette distinction est importante pour la classification, les délais de notification et l'enregistrement des mesures correctives que les entreprises doivent tenir.

Principales conclusions du premier rapport annuel

Trois thèmes se dégagent des données.

L'exposition transfrontalière est déjà significative

Sur les 3 383 incidents majeurs enregistrés, environ un sur trois avait une dimension transfrontalière. Les AES attribuent cela aux infrastructures interconnectées et à l'utilisation commune de prestataires de services tiers partagés. L'implication est qu'une perturbation chez un seul fournisseur de technologie ou de cloud peut se propager simultanément à plusieurs entités financières dans différents États membres.

Les défaillances système et les événements externes génèrent le volume

Les causes dominantes étaient les défaillances système et les événements externes plutôt que les attaques délibérées. Cela renforce l'accent mis par les régulateurs sur la gestion des risques liés aux tiers, la supervision efficace des services externalisés et la mise en place dès le départ d'arrangements clairs en matière de réponse aux incidents et de remédiation avec les prestataires de services.

Les incidents de cybersécurité sont une part plus petite mais croissante

Les incidents liés à la cybersécurité représentaient environ 10 % du total. L'impact direct sur les clients et les transactions était généralement limité dans l'ensemble des données. Les AES considèrent néanmoins ce chiffre de 10 % comme une préoccupation prioritaire, notamment parce que les outils d'attaque pilotés par l'IA gagnent en capacité. Les entités financières sont tenues de répondre à cette menace croissante par des améliorations équivalentes de leurs défenses.

Ce que le rapport signifie pour les équipes de conformité

Les entreprises soumises à DORA, qui inclut les établissements de crédit, les entreprises d'investissement, les établissements de paiement, les prestataires de services sur crypto-actifs et une série d'autres entités réglementées, font face à des obligations concrètes que ce rapport renforce. Comprendre comment les règles de risque ICT de DORA affectent les flux de comptabilité crypto est désormais essentiel pour toute entreprise détenant ou traitant des actifs numériques.

Le risque lié aux tiers est le point de pression

La concentration des incidents transfrontaliers remontant à des infrastructures partagées indique exactement aux équipes de conformité et de gestion des risques où concentrer leurs efforts. Les arrangements contractuels avec les prestataires de services ICT tiers, le suivi des SLA, les stratégies de sortie et les évaluations du risque de concentration doivent tous être à jour et testés. Les régulateurs utiliseront les rapports annuels ultérieurs pour suivre si les entreprises ont agi.

Le paysage réglementaire plus large des actifs numériques dans l'UE évolue également rapidement. Les législateurs européens évaluent les cadres réglementaires pour la DeFi, le staking et les NFT, ce qui étendra les obligations de résilience opérationnelle au domaine des actifs numériques au fil du temps.

Rapport DORA sur les incidents ICT : ce que les entreprises de l'UE doivent savoir

FAQ

Quelles entités doivent déclarer les incidents ICT majeurs en vertu de DORA ?

DORA s'applique à un large éventail d'entités financières de l'UE, y compris les banques, les entreprises d'investissement, les établissements de paiement et de monnaie électronique, les prestataires de services sur crypto-actifs, les entreprises d'assurance et certains prestataires de services ICT tiers désignés comme critiques. Chaque entité concernée doit classer, gérer et notifier les incidents ICT majeurs à son autorité compétente dans des délais définis.

En quoi un incident ICT majeur diffère-t-il d'un incident ICT standard en vertu de DORA ?

Un incident ICT standard est tout événement non planifié qui compromet la sécurité des réseaux et des systèmes d'information avec un effet négatif sur les données ou les services. Il devient un incident majeur lorsque l'impact négatif est jugé élevé et que les systèmes affectés soutiennent des fonctions critiques ou importantes de l'entité. La classification détermine les obligations de notification et le niveau de contrôle réglementaire qui s'ensuit.

Que signifie concrètement « impact transfrontalier » pour les entreprises ?

Un incident a un impact transfrontalier lorsqu'il affecte les opérations, les clients ou les services dans plus d'un État membre de l'UE, généralement parce que l'infrastructure sous-jacente ou le prestataire tiers concerné sert des entités dans plusieurs juridictions. Les AES utilisent cette classification pour évaluer le risque systémique et coordonner les réponses de surveillance entre les autorités compétentes nationales.

Quelles actions les entreprises doivent-elles entreprendre suite à ce rapport ?

Au minimum, les entreprises doivent examiner leurs registres de risques liés aux tiers ICT, vérifier que les critères de classification des incidents sont alignés sur les définitions de DORA, confirmer que les procédures et délais de notification sont documentés et testés, et évaluer si les contrôles de cybersécurité actuels sont calibrés pour les scénarios d'attaque assistés par l'IA. Les conclusions des AES sur les défaillances système soulignent également la nécessité d'une surveillance contractuelle et opérationnelle renforcée des services externalisés.

Les AES publieront-elles d'autres rapports DORA sur les incidents ?

Oui. L'article 22(2) de DORA impose un rapport annuel. Chaque édition successive s'appuiera sur la base de référence établie par cette première publication, permettant aux régulateurs et au marché de suivre les tendances en matière de volume, causes, propagation transfrontalière et efficacité des efforts de remédiation dans l'ensemble du secteur financier de l'UE.

Source : ESMA

EUGLOBALGénéralEn vigueurLCB-FT/KYC & Licences

Articles liés

LCB-FT/KYC & Licences
Protocole d'accord NYDFS-EBA sur les stablecoins, règles VATP à Hong Kong et perpétuels de la CFTC : ce que les entreprises doivent savoir
LCB-FT/KYC & Licences
Cinq typologies de criminalité financière crypto pour les programmes de conformité des IF
LCB-FT/KYC & Licences
Trois lignes de défense : le modèle de gouvernance dont les sociétés crypto régulées ont déjà besoin
LCB-FT/KYC & Licences
Échelle de maturité des risques blockchain : où se situe votre institution financière ?