Le secteur financier face à DORA

En quelques mots, en quoi la loi DORA consiste-t-elle ?

L’Union européenne (UE) a adopté la loi sur la résilience des opérations numériques (Digital Operations Resilience Act – DORA) afin de réduire les risques liés à l’utilisation des services numériques. Cette réglementation est entrée en vigueur en janvier 2023 et les sociétés financières vont devoir s’y conformer d’ici au 17 janvier 2025, date d’entrée en application. Les banques sont concernées, mais aussi les prestataires de services de paiement, les sociétés d’investissement et les fournisseurs de crypto-monnaie. La loi DORA s’applique même aux pays non-membres de l’UE qui font des affaires dans l’Union européenne.

L’objectif principal du règlement est de fournir un cadre juridique cohérent dans l’UE pour la sécurité des systèmes TIC et des services numériques dans le secteur financier. Pour la première fois, la loi s’applique également aux fournisseurs de services TIC des banques et des compagnies d’assurance.

Comment les entités concernées peuvent-elles concrètement préparer leur conformité ?

La période de mise en œuvre étant bien entamée, le temps presse pour les organisations qui doivent donner la priorité aux efforts de mise en conformité afin d’éviter les conséquences réglementaires et financières. Pour les prestataires de services financiers et d’assurance, les directives concernant les risques liés aux technologies de l’information et de la communication TIC pour les tiers sont source d’efforts considérables. En effet, un large éventail de services TIC est concerné, notamment les services liés au matériel ainsi que les mises à jour de logiciels et de microprogrammes.

Cela signifie que chaque société financière doit dès maintenant et régulièrement vérifier la conformité d’un grand nombre de contrats avec la loi DORA. Les caractéristiques suivantes des contrats doivent être évaluées : les efforts déployés par le fournisseur, le stockage des données, la restitution des données en cas d’insolvabilité du fournisseur, la conformité des fournisseurs avec la loi ainsi que le niveau de contrôle des services du prestataire tiers. Cela peut être mis en œuvre au moyen de solutions automatisées de gestion du cycle de vie des contrats (CLM) et d’intelligence contractuelle comprenant des fonctions d’intelligence artificielle.

L’IA pourrait-elle ainsi aider les organismes à se conformer ?

Tout à fait. Les solutions basées sur l’IA vont offrir des avantages supplémentaires aux sociétés financières. Elles permettent aux utilisateurs de gérer de manière proactive le renouvellement des contrats avec les fournisseurs externes de TIC et de vérifier les alternatives potentielles. Il s’agit notamment de comparer les obligations et les services des différents fournisseurs, y compris les implications financières résultant de la clôture éventuelle d’un contrat avec un certain fournisseur de services TIC.

Cette transparence est indispensable à l’optimisation de l’environnement du partenaire, tant en termes d’implications financières qu’en ce qui concerne les directives réglementaires telles que la loi DORA. Et l’intégration de l’IA sera clairement un atout en matière de conformité.

Sur qui la responsabilité de cette résilience opérationnelle va-t-elle reposer ?

L’objectif du cadre juridique pour la sécurité des systèmes TIC et des services numériques dans le secteur financier ne signifie pas que les utilisateurs de ces services, comme les banques, peuvent transférer la responsabilité du respect de la réglementation DORA à leurs partenaires TIC. Les sociétés financières doivent plutôt vérifier et s’assurer que leurs fournisseurs de services TIC respectent les lignes directrices du règlement de l’UE.

Avant de conclure un contrat, les sociétés financières sont tenues, conformément au DORA, de déterminer et d’évaluer tous les risques potentiels liés à l’exécution du contrat. Elles sont en outre tenues de rendre compte aux autorités compétentes des nouveaux accords conclus avec des fournisseurs de services TIC, ainsi que du type et du contenu de ces accords, au moins une fois par an.

Quel rôle jouera la gestion du cycle de vie des contrats dans cette quête de la conformité ?

Dans la plupart des organismes, une vérification manuelle des contrats serait aujourd’hui impensable au regard du volume de données et de documents à traiter quotidiennement. Cela prendrait un temps colossal, sans compter sur le risque d’erreur. Les solutions offrant une gestion automatisée de bout en bout du cycle de vie des contrats (CLM), soutenue par l’intelligence artificielle (IA) et l’apprentissage automatique (ML) sont incontournables pour être en mesure d’optimiser les processus et tendre vers la conformité.

Une gestion et analyse des contrats basée sur l’IA utilise un référentiel de données central comme source unique de vérité. Une société financière peut ainsi regrouper tous les contrats avec des fournisseurs de TIC externes en un seul endroit. Cela minimise le risque d’oublier certains accords et de non-conformité aux directives du DORA. 

Cela permet également aux organismes de tenir un registre des contrats avec tous les services TIC, ce qui fait partie des directives, tout comme l’exigence d’un suivi complet du risque. Pour ces deux exemples, une solution de gestion des contrats va permettre de cartographier l’ensemble du cycle de vie des contrats : de la signature à la période de validité complète, à la résiliation et à la période après contrat.

À la fin du processus, les deux parties auront des contrats conformes à la loi DORA, basés sur des données vérifiées. Le risque de voir des clauses obsolètes, voire illégales, se glisser dans les contrats est ainsi réduit au minimum.

Par ailleurs, les utilisateurs peuvent intégrer les données vérifiées dans leur environnement applicatif, y compris les systèmes CRM et ERP. Il n’est pas nécessaire d’exploiter une solution distincte pour la vérification des données, ce qui permet d’économiser de l’argent et de soulager les équipes du prestataire de services financiers d’un grand nombre de tâches manuelles.

Les décisions stratégiques en matière de numérique prises par les entreprises sont de plus en plus guidées par de nouvelles réglementations. Au-delà de la contrainte légale, peut-on dire que le règlement DORA représente une opportunité pour le secteur ?

La numérisation permet aux organismes de fournir de meilleurs services à leurs clients et de lancer de nouvelles offres de produits tout en optimisant leurs processus. Aussi, une gestion efficace des risques est cruciale pour que cette numérisation permette de tirer pleinement parti des nombreuses opportunités qu’elle offre au secteur bancaire et financier.

À cette fin, la loi DORA ouvre la voie à une approche transformatrice de la résilience, dans laquelle les entités financières doivent être prêtes à résister, à réagir et à se remettre d’un large éventail de perturbations et de menaces liées aux TIC. Ainsi, les organismes doivent y voir là l’opportunité de tirer parti des possibilités offertes par la technologie et l’innovation tout en atténuant les nouveaux risques associés.