Comment la nouvelle réglementation DORA affectera-t-elle les entités d’investissement ?
L’entrée en vigueur du Règlement sur la résilience opérationnelle numérique (DORA) marque un tournant dans le paysage de la réglementation financière européenne. Cette norme, qui oblige les entités financières, y compris celles d’investissement ou de financement participatif, à renforcer leur résilience numérique, à gérer correctement les risques technologiques et à améliorer leurs protocoles de réponse aux cyberattaques, est destinée à transformer non seulement l’organisation interne de ces acteurs, mais aussi l’écosystème dans lequel ils évoluent, notamment les secteurs Fintech et Proptech.
Urbanitae, en tant qu’acteur clé dans le domaine de l’investissement, se trouve au cœur de ce changement, soulignant l’importance de s’adapter à un environnement réglementaire de plus en plus exigeant.
Qu’est-ce que DORA ?
DORA, ou Digital Operational Resilience Act, est une réglementation de l’Union européenne qui établit un cadre juridique uniforme pour garantir la résilience opérationnelle numérique dans le secteur financier. Son objectif principal est que toutes les entités financières, des banques aux sociétés d’investissement en passant par les fournisseurs de services TIC, disposent de systèmes robustes leur permettant de gérer les risques technologiques et opérationnels, de protéger les informations de leurs clients et d’assurer la continuité de leurs services en cas de cyberattaques ou d’incidents perturbateurs.
Le règlement est entré en vigueur le 16 janvier 2023 et a commencé à s’appliquer le 17 janvier dernier, offrant un délai d’adaptation de deux ans aux entités pour se conformer à ses exigences strictes. Parmi celles-ci figurent la mise en place de plans de contingence, des évaluations périodiques des risques et des tests de résilience opérationnelle, des mesures essentielles pour renforcer la résilience numérique et protéger les données dans un environnement de plus en plus interconnecté et vulnérable.
Comme l’indique le Ministère de l’Économie, du Commerce et des Entreprises, cette réglementation est particulièrement pertinente pour les entités d’investissement, car elle renforce la cybersécurité dans la gestion de grands volumes d’informations sensibles et établit une norme harmonisant les pratiques dans toute l’UE.
Selon Nacho Bautista, responsable du pôle crowdfunding de l’AEFI (Association espagnole de FinTech et InsurTech) et PDG de Fundeen, « DORA n’est pas une recommandation, c’est une obligation. Et cette obligation impose aux entités d’investissement d’arrêter de considérer la cybersécurité comme une simple case à cocher et de commencer à la traiter comme un pilier fondamental de leur activité. Il ne suffit plus d’avoir un antivirus performant ou de faire une sauvegarde de temps en temps. Nous parlons maintenant de gérer les risques numériques avec le même sérieux que les risques financiers. »
Comment les entités doivent-elles se préparer à la nouvelle réglementation ?
L’adaptation à DORA exige une transformation complète dans la gestion des risques et des opérations numériques. Les institutions financières doivent commencer par un diagnostic approfondi de leur infrastructure technologique, en identifiant et classifiant leurs actifs et processus critiques. Cela leur permettra de détecter les vulnérabilités et de mettre en place des mesures de protection appropriées pour minimiser les risques.
« La gestion des risques deviendra plus proactive que réactive. Il ne s’agira plus seulement de résoudre des problèmes lorsqu’ils surviennent, mais d’anticiper et de les prévenir. Cela implique d’instaurer un contrôle continu sur tous les systèmes critiques, de réaliser des audits internes fréquents et de maintenir une surveillance constante des éventuelles vulnérabilités », explique Bautista.
En parallèle, il est essentiel de revoir les relations avec les fournisseurs externes. Comme le souligne l’Autorité européenne des marchés financiers (ESMA), DORA impose un contrôle rigoureux sur l’ensemble de la chaîne d’approvisionnement des services TIC, exigeant que chaque prestataire respecte les normes de sécurité établies. La révision et la mise à jour des contrats, avec des clauses claires définissant les responsabilités et les protocoles de notification, sont indispensables.
De plus, les entreprises devront se doter d’équipes dédiées à la cybersécurité, avec des professionnels maîtrisant à la fois la technologie et les risques spécifiques au secteur financier, précise le représentant de l’AEFI et de Fundeen. « Il faudra également mettre en place des outils de surveillance en temps réel et des systèmes de détection d’intrusions permettant de réagir immédiatement face à toute menace. »
Quel est l’impact de DORA sur des entités comme Urbanitae ?
Urbanitae, en tant que plateforme de financement participatif régulée par la CNMV (Commission nationale du marché des valeurs espagnole), est soumise à un cadre réglementaire garantissant la transparence et la protection des investisseurs. Elle doit néanmoins s’adapter aux exigences du nouveau règlement DORA.
« Les plateformes de crowdfunding immobilier et d’autres secteurs, en raison de leur nature numérique, sont particulièrement exposées aux risques technologiques. Se conformer à DORA peut sembler être un fardeau au début (plus de coûts, plus de processus, plus d’audits…), mais cela peut aussi devenir un facteur différenciateur clé », explique Bautista.
L’impact de DORA sur une entité comme Urbanitae se traduit par la nécessité de renforcer la cybersécurité et la gestion des risques technologiques. Le règlement exige que les entités financières, y compris celles spécialisées dans le crowdfunding immobilier, mettent en place des systèmes solides pour identifier et atténuer les vulnérabilités de leurs infrastructures numériques.
Cela signifie qu’Urbanitae devra non seulement revoir et auditer ses propres systèmes, mais aussi contrôler l’ensemble de la chaîne de fournisseurs technologiques impliqués dans le traitement et le stockage des informations de ses investisseurs et des projets financés.
À ce sujet, Nacho Bautista souligne que « les investisseurs ne recherchent pas seulement une bonne rentabilité, ils veulent aussi de la confiance. Et dans un monde où les cyberattaques sont de plus en plus fréquentes, savoir que son argent est protégé par une plateforme respectant les normes de sécurité les plus strictes est, sans aucun doute, une valeur ajoutée. »
L’adaptation à DORA, bien qu’impliquant des défis en matière d’investissement et de mise à jour technologique, est perçue chez Urbanitae comme une opportunité pour se positionner comme une référence dans le secteur, en démontrant un engagement fort envers la sécurité numérique et la résilience opérationnelle.
L’application de DORA dans d’autres secteurs
Bien que DORA vise principalement le secteur financier, ses implications s’étendent à d’autres domaines. Les compagnies d’assurance, les fournisseurs de services cloud et les entreprises de télécommunications seront également contraintes d’élever leurs standards de protection, favorisant l’harmonisation des pratiques de sécurité à l’échelle européenne.