Conformité DORA : un enjeu stratégique pour les banques et leurs prestataires techniques

Depuis l'adoption du règlement DORA (Digital Operational Resilience Act), les entités financières réglementées au sens large sont confrontés à une exigence accrue en matière de résilience opérationnelle et de cybersécurité. Ce texte, vise à garantir la continuité des services financiers essentiels en cas de cyberattaque ou d'incident majeur.

Dans ce contexte, les Prestataire de Services Essentiels Externalisés (PSEE) des banques occupent une place centrale dans leurs stratégies de mise en conformité et de gestion des risques. Les banques doivent désormais s'assurer que leurs prestataires de services TIC (comme Qombo qui opère la vérification des bénéficiaires avant chaque virement) contribuent activement à la résilience numérique de l'ensemble de la chaîne.

Les attentes des banques vis-à-vis de leurs fournisseurs de services critiques sont multiples :

• La notification rapide des incidents est devenue un impératif

Les institutions attendent d'être informées sans délai de tout événement pouvant affecter la disponibilité, l'intégrité ou la confidentialité des services souscrits.

• La continuité de service est également un enjeu majeur

Les prestataires doivent démontrer qu'ils disposent de processus de gestion des risques solides et de dispositifs de surveillance capables d'assurer la disponibilité constante des services, même en cas de crise ou d'incident technique. La capacité à prévenir les interruptions, à y répondre efficacement et à s'en remettre rapidement est au cœur des exigences DORA.

• Le contrôle des sous-traitants ultérieurs figure parmi les préoccupations essentielles

Les banques exigent de leurs fournisseurs qu'ils sélectionnent et surveillent rigoureusement leurs propres prestataires et partenaires technologiques, afin de garantir que la chaîne de sous-traitance respecte les mêmes standards de sécurité et de conformité que l'entité principale.

• La capacité des fournisseurs à garantir une réversibilité complète est désormais incontournable

Les banques attendent de pouvoir récupérer les données critiques et poursuivre leur activité sans rupture, y compris en internalisant temporairement ou durablement certaines fonctions.

Dans ce cadre, tous les prestataires fournissant des services TIC critiques aux institutions financières, notamment dans le domaine des paiements, doivent se conformer aux exigences de DORA. C'est le cas des opérateurs de services de Verification of Payee (VoP), considérés comme essentiels pour sécuriser les paiements dans le cadre du règlement sur les paiements instantanés (IPR).

En tant que fournisseur de VoP disposant du statut de Routing & Verification Mechanism (RVM) certifié par le European Payments Council (EPC), Qombo agit comme un prestataire TIC critique et met en œuvre l'ensemble des engagements nécessaires en matière de cybersécurité, de résilience opérationnelle, de gestion des incidents et de réversibilité, afin d'accompagner les établissements financiers dans leur mise en conformité réglementaire.