DORA : comment les entreprises canadiennes ayant des opérations en Europe doivent s’y préparer
Le Digital Operational Resilience Act européen est entré en vigueur le 17 janvier 2025. Ce guide explique qui est concerné au Canada, ce que DORA exige et comment aligner votre programme GRC existant.
Le règlement européen DORA (Digital Operational Resilience Act) transforme en profondeur la gestion du risque technologique dans le secteur financier. Entré pleinement en application le 17 janvier 2025, il impose des exigences strictes en matière de résilience numérique opérationnelle. Les institutions financières canadiennes qui pensaient être à l’abri parce qu’elles ne sont pas européennes se trompent : le règlement a une portée extraterritoriale significative.
Qui est concerné au Canada ?
Toute institution financière canadienne qui : (1) possède une filiale ou succursale dans l’Union européenne, (2) offre des services financiers à des clients européens, ou (3) est un fournisseur TIC critique d’entités financières européennes, est directement concernée par DORA.
Les 5 piliers de DORA
- Gestion du risque TIC : cadre de gouvernance formalisé avec cartographie des actifs TIC critiques, évaluation des risques et plans de traitement
- Gestion et classification des incidents TIC : processus de détection, confinement, résolution et notification aux autorités compétentes
- Tests de résilience opérationnelle numérique : tests de pénétration avancés (TLPT) obligatoires pour les entités significatives
- Gestion du risque lié aux prestataires TIC tiers : évaluation de concentration, contrôles contractuels obligatoires, registre des prestataires
- Partage d’informations sur les cybermenaces : participation à des dispositifs de partage d’informations sur les menaces cyber
Synergies avec les réglementations canadiennes
- Ligne directrice BSIF B-10 (Risque lié aux tiers) : forte synergie avec le pilier DORA « Risque TIC tiers »
- Ligne directrice BSIF E-21 (Cyberrésilience) : exigences quasi identiques à celles de DORA sur la gestion des incidents
- Recommandations CCC : les contrôles recommandés par le Centre canadien pour la cybersécurité s’alignent directement sur DORA
- ISO 27001:2022 : un SMSI ISO 27001 mature couvre la majorité des exigences DORA
Plan d’action pour les organisations canadiennes concernées
- Étape 1 : évaluer votre exposition (filiales européennes, clients européens, contrats avec des entités financières européennes)
- Étape 2 : réaliser une analyse d’écart entre vos pratiques actuelles et les 5 piliers DORA
- Étape 3 : prioriser les chantiers selon les écarts identifiés et la date d’entrée en vigueur applicable
- Étape 4 : documenter votre registre des prestataires TIC critiques avec les clauses contractuelles DORA
- Étape 5 : mettre en place un programme de tests de résilience (tests de pénétration, simulation de crise)
CapGRC intègre le référentiel DORA préconfiguré
Cartographiez vos écarts DORA, documentez vos prestataires TIC et générez vos preuves de conformité.