Résultats clés de l'exercice Dry Run 2024 des ESAs sur DORA : Implications pour la résilience numérique du secteur financier

Contexte et objectifs de l'exercice Dry Run

L'exercice Dry Run 2024 mené par les Autorités européennes de surveillance (ESAs - EBA, EIOPA et ESMA) représente une étape cruciale dans la préparation à l'application du règlement DORA (Digital Operational Resilience Act). Cette simulation grandeur nature vise à évaluer la capacité du secteur financier européen à faire face aux défis de la résilience opérationnelle numérique.

Principaux enseignements de l'exercice

Les résultats révèlent plusieurs points d'attention majeurs :

1. Gouvernance et stratégie :

- Nécessité d'une meilleure intégration de la résilience numérique dans la gouvernance globale

- Importance d'une approche coordonnée entre les différentes fonctions de l'entreprise

- Besoin de renforcer les compétences des instances dirigeantes en matière de risques numériques

2. Gestion des risques liés aux tiers :

- Identification des dépendances critiques aux prestataires de services informatiques

- Renforcement nécessaire des processus de due diligence et de surveillance continue

- Développement de stratégies de sortie robustes

3. Tests de résilience opérationnelle :

- Amélioration requise des scénarios de test

- Nécessité d'une approche plus systématique des tests de continuité

- Importance de la documentation et du suivi des résultats

Recommandations et prochaines étapes

Les ESAs formulent plusieurs recommandations clés :

- Renforcement des cadres de gouvernance

- Amélioration de la gestion des risques ICT

- Développement des compétences internes

- Mise en place de processus de reporting harmonisés

- Préparation active à l'entrée en application de DORA

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

1. Réaliser un diagnostic complet de votre dispositif de résilience numérique actuel en le confrontant aux exigences DORA

2. Établir une feuille de route détaillée pour combler les écarts identifiés, en priorisant les actions selon leur criticité

3. Mettre en place un programme de formation adapté pour les équipes et la gouvernance sur les enjeux de la résilience numérique

4. Renforcer vos processus de gestion des prestataires critiques en intégrant les nouvelles exigences DORA

5. Développer un cadre de test robuste incluant des scénarios avancés de cyber-résilience