Post de A2 Consulting

𝗥𝗲𝗴𝗹𝗲𝗺𝗲𝗻𝘁 𝗗𝗼𝗿𝗮, 𝘀𝘂𝗿 𝗹𝗲 𝗰𝗵𝗲𝗺𝗶𝗻 𝗱𝗲 𝗹𝗮 𝗿𝗲́𝘀𝗶𝗹𝗶𝗲𝗻𝗰𝗲 𝗼𝗽𝗲́𝗿𝗮𝘁𝗶𝗼𝗻𝗻𝗲𝗹𝗹𝗲 Le règlement DORA, adopté le 17 novembre 2022, entre en vigueur courant janvier 2025. Il vise à renforcer la résilience opérationnelle des acteurs du secteur financier et leurs prestataires. En effet, le secteur financier est le plus exposé au risque cyber en raison du volume et de la typologie des données manipulées. Selon le rapport 2024 du FMI sur la stabilité financière mondiale, le secteur concentre 20 % des attaques, pour un préjudice estimé à 12Mds $ sur 20 ans. Naturellement, les banques sont les établissements les plus exposés. Le règlement poursuit donc deux objectifs majeurs : 1️⃣ Harmoniser les pratiques au sein des pays de l’UE, ce qui permettra à la fois de réduire les coûts pour les établissements présents dans plusieurs états, mais aussi de rehausser le niveau global de sécurité au sein de l’UE pour, enfin, réduire les risques systémiques ; 2️⃣Améliorer le niveau de résilience des établissements financiers en cas de survenance d’incident, ce qui devient nécessaire compte tenu de l’accroissement de la probabilité et de l’impact des incidents Face à ce défi annoncé depuis 4 ans, le secteur financier s’est mis en marche, mais en ordre dispersé. Les projets de mise en conformité nécessitant parfois un investissement lourd et des compétences techniques particulières, ainsi le niveau d’avancement est-il disparate entre les acteurs de taille systémique, ceux de taille moyenne et les prestataires TIC. Malgré la forte mobilisation des acteurs majeurs lors de la phase préparatoire et une vaste communication autour du sujet, des défis de taille restent à relever, notamment ceux liés à la sous-traitance : ➡️ La concentration de certaines activités au sein de prestataires devenus systémiques (ex- opérateurs de cloud) ; cette concentration rend plus complexe la mise en place d’une 𝘦𝘹𝘪𝘵 𝘚𝘵𝘳𝘢𝘵𝘦𝘨𝘺, la conduite de tests communs de résilience et parfois les négociations contractuelles ; ➡️ A contrario parfois un morcellement des prestataires voire une chaîne de sous-traitance en cascade sur plusieurs niveaux, ce qui rend complexe la supervision pour les établissements financiers ; ➡️ Les coûts de mise en œuvre et les besoins croissants en ressources expertes concomitants à l’entrée en vigueur de nouveaux règlements dans l’UE. Dans ce contexte le règlement DORA, même s’il présente des coûts importants, constitue une opportunité pour le secteur financier européen à la fois en réhaussant le niveau de résilience face aux attaques externes mais aussi en engageant une réflexion sur son positionnement et sa dépendance vis-à-vis de certains géants du numérique. 💡 A2 Consulting accompagne les établissements financiers dans la mise en œuvre opérationnelle du règlement DORA via une offre complète alliant les compétences juridiques, techniques et de conformité. #dora #conformité #finance #banque #cybersécurité #numérique

J'ai co-animé avec Mathieu ZIESING et le soutien de Dominique Wiart d'Eviden le 25 avril dernier au #CyberDay by Finance Innovation une table ronde sur DORA et ses impacts organisationnels pour les entités réglementées avec le témoignage d'Edouard Giard de Crédit Agricole CIB et Abou Ndiaye de Licanam 🙏 Que retenir ? 👇 Un vaste champ d'application 👇 ✅ Le réglement européen DORA (Digital Operational Resilience Act) entre en vigueur le 18/01/2025 et son champ d'application en France est vaste. A l'échelle de l' UE : plus de 22 000 banques, assurances et intermédiaires, institution de retraite, fonds d'investissement,... ainsi que ~15000 prestataires tiers de services TIC. ✅ La résilience opérationnelle numérique est pluri-disciplinaire avec le risque Cyber, le risque IT et la continuité d'activité (PRA/PCA). ✅ La direction d'un programme DORA est souvent pilotée par la direction des risques opérationnels, en responsabilité sur ces 3 types de risque. Du point de vue des acteurs, quels sont les impacts importants de DORA 👇 ✅ Gestion du risque opérationnel - Reporting unifié au top management sur les risques Cyber, IT et continuité d'activité. ✅ Gestion des incidents - Harmonisation des critères de classification des incidents ; - Notification des incidents majeurs liés aux TIC et au paiement aux autorités de surveillance et de contrôle. ✅ Gestion des risques tiers  - Harmonisation de la définition des fournisseurs TIC soutenant les fonctions critiques et importantes. Le nombre des fournisseurs pris en compte dans le champ de la conformité va augmenter. Dans quelle proportion ? Cela reste à évaluer. - Constitution d'un registre central des contrats. La révision des contrats existants est un chantier de plusieurs années. - Le plan de sortie des fournisseurs critiques assorti de plans de contournement et de test est une exigence nouvelle très structurante. ✅ Tests de Résilience - Harmonisation de la définition des SI critiques et importants ; - Obligation de remédiation de toutes les vulnérabilités ; - Pour les 3 types de risques : Cyber, IT, Continuité d'activité ; - Au moins une fois par an ; - Une synthèse sur les tests de résilience cyber doit être intégrée dans les reporting des risques au top management ; - Le nombre et la fréquence de ces tests va sensiblement augmenter. ✅ TLPT (Threat-Led Penetration Testing) - Organisation et déroulement structurés par le framework européen TIBER ; - Durée moyenne d'un exercice entre 6 et 9 mois ; - Au moins une fois tous les 3 ans ; Dans les impacts organisationnels importants cités par les acteurs : - Le régulateur (ACPR), partie prenante dans ces exercices ; - Tests en environnements de production. Si vous souhaitez en savoir plus sur Yogosha et notre plateforme en management des tests de cyber-résilience, je vous invite à me suivre ou à échanger en direct. Hub de conformité YOGOSHA : https://lnkd.in/eRzH9-ng Le replay : https://lnkd.in/eMn9pPAF

Après deux ans de préparation intensive, le secteur financier et bancaire voit enfin l'entrée en application du règlement #DORA depuis le 17 janvier dernier. Cette nouvelle réglementation est cruciale pour garantir la #confidentialité, la #résilience et la #sécurité des #données manipulées par les organismes financiers. Mais DORA ne s'arrête pas là ! Elle incarne également des bonnes pratiques qui peuvent bénéficier à l'ensemble de l'industrie, comme le montrent les premiers exemples que j’ai pu voir chez certains clients. Pour en savoir plus, je vous invite à lire ma tribune publiée dans Les Affiches Parisiennes

La cybersécurité dans les écosystèmes de l'assurance et de la protection sociale, parlons-en : une myriade d'acteurs et de zones d'attaque potentielles dans un contexte international et cyber très tendu. La régulation #dora tente d'organiser la défense des acteurs financiers, #nis2 concerne une population d'acteurs économiques beaucoup plus vaste. Merci Mehdi ElAouni de poser la question dans cet article https://lnkd.in/eM8QUGsH N'hésitez pas à partager votre avis en commentaires de ce post pour nourrir le débat sur le sujet ! Gérald Voitot Jean-Luc GERARD Erick Mottin Thibault Hudry Pauline MENDIELA Clémence Dupont Candide Louniangou #finegan

Le débat sur le paiement des rançons est complexe et nécessite une approche globale. Il est essentiel de renforcer la résilience des entreprises pour réduire la fréquence des attaques et la nécessité de faire face à ce dilemme. https://lnkd.in/erKaP9Kn

⏳ Le compte à rebours est lancé : plus que 100 jours avant DORA ⏳ Dans seulement 100 jours, le Digital Operational Resilience Act (DORA) va redéfinir les normes de cybersécurité dans le secteur financier. Et cela ne concerne pas seulement les banques ! 🇪🇺 Que vous soyez une banque, une compagnie d’assurance ou un prestataire de services de paiement, si vous travaillez avec des données financières, vous êtes également concerné ! 💶 Voici quelques points à prendre en compte dès maintenant : 1. Gouvernance et gestion des risques IKT : DORA impose que les risques IKT soient intégrés à la stratégie globale de gestion des risques, avec une responsabilité directe de la direction pour assurer la résilience opérationnelle. 2. Gestion des risques liés aux prestataires tiers : Vous devrez peut-être revoir et renégocier vos contrats avec les fournisseurs de services IT pour vous conformer aux nouvelles exigences. 3. Continuité des activités et gestion des crises : DORA exige des stratégies claires pour gérer des risques comme les cyberattaques ou les catastrophes naturelles. Vos plans de réponse sont-ils suffisants ? Avec l’échéance de janvier 2025 qui approche, c’est le moment de vous assurer que votre organisation est prête. 📚 Besoin de plus d’informations ? Consultez Kiteworks pour un guide complet sur la conformité à DORA : https://hubs.ly/Q02SJQyY0 #DORA #SecteurFinancier #RésilienceOpérationnelle #RisquesIKT #Conformité #Kiteworks

🚩Lorsqu’en décembre dernier, la profession a été durement touchée par une cyberattaque massive, nous avons œuvré pour que les experts-comptables victimes ne soient pas pénalisés. 💡A ce jour, si un report du dépôt des déclarations de résultats pour les exercices clôturant au 31 décembre 2023 n’a pas été envisagé, les cabinets qui ne sont pas en mesure de respecter le délai légal peuvent toutefois prendre contact avec leur service des impôts des entreprises gestionnaire afin de demander l’octroi d’un délai supplémentaire. Chaque demande doit être justifiée avant la date limite de dépôt et sera appréciée au cas par cas. Retrouvez ici la lettre à la profession que j’ai co-signée sur le sujet avec Anne laure Lagadec, commissaire du Gouvernement auprès du Conseil régional de l’OEC Paris-IDF👇 https://lnkd.in/eppkVFrd Merci encore à Anne-Laure Lagadec pour son soutien aux cabinets tout au long de cette crise. #expertisecomptable #OECParis #cyberattaque

Votre organisation est-elle prête à se conformer à la réglementation DORA ? 🛡️ La réglementation sur la résilience opérationnelle numérique (DORA) modifie la façon dont les institutions financières abordent la résilience opérationnelle dans l'UE. À l'approche de l'échéance de janvier 2025, avez-vous pris les mesures nécessaires ? La réglementation DORA impose des mesures robustes à travers cinq piliers clés : Gestion des risques Gestion des incidents Tests de résilience Gestion des risques liés aux tiers et Partage d'informations. Ces piliers garantissent un niveau élevé de résilience opérationnelle contre les cybermenaces et les perturbations. Alors que vous naviguez dans les méandres de la conformité DORA, n'hésitez pas à laisser un commentaire si vous souhaitez savoir comment Cohesity peut vous accompagner. Des cadres de gestion des risques à l'orchestration de la réponse aux incidents, notre plateforme fournit les outils dont vous avez besoin pour atteindre et maintenir la conformité en toute transparence.  #DORA #Compliance #CohesitySolutions

📢 𝗟𝗮 𝗱𝗶𝗿𝗲𝗰𝘁𝗶𝘃𝗲 𝗗𝗢𝗥𝗔 𝗺𝗮𝗿𝗾𝘂𝗲 𝘂𝗻 𝘁𝗼𝘂𝗿𝗻𝗮𝗻𝘁 𝗽𝗼𝘂𝗿 𝗹𝗲𝘀 𝗶𝗻𝘀𝘁𝗶𝘁𝘂𝘁𝗶𝗼𝗻𝘀 𝗳𝗶𝗻𝗮𝗻𝗰𝗶𝗲̀𝗿𝗲𝘀 Nous en parlerons en mars prochain sur le congrès via : 🎯un REX sur la #résilience #numérique et stratégie de continuité d'activité 💡une Table Ronde sur la #cybersécurité à l'heure de l'#IA Pour aller plus loin, retrouvez ci-dessous l'article de InCyber 👇 #CAPIT25 #InCyber #finance #DORA #gouvernance

Ravi d'avoir échangé avec InCyber News sur les implications de DORA pour les acteurs du secteur financier. 🌍💡 Au-delà d’un nouveau cadre réglementaire, DORA est un véritable projet de transformation transverse, impactant bien plus que les départements IT. Elle redéfinit la résilience opérationnelle numérique et engage toute l’organisation. 📊🔍 Découvrez-en plus dans l'article de Fabrice Deblock 👇 💬 Et vous, où en êtes-vous dans votre mise en conformité avec DORA ? #DORA #RésilienceOpérationnelle #Transformation #Réglementation #Finance MEGA International