DORA et l’ordinateur central : Ce que les banques doivent faire avant la fin de 2026
Alors que la transformation numérique déferle sur les industries, le secteur financier se trouve au carrefour de l’innovation et de la réglementation. La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act – DORA) devrait modifier la manière dont les institutions financières de l’UE gèrent, mesurent et atténuent les risques informatiques, en particulier ceux liés aux infrastructures critiques telles que les ordinateurs centraux. En tant que piliers du traitement dorsal et du traitement sécurisé des transactions, les ordinateurs centraux sont au cœur des opérations bancaires. Avec l’échéance imminente de 2026, il est essentiel pour les banques de comprendre les implications de la loi DORA pour les environnements mainframe afin de rester conformes et résilientes.
Comprendre DORA et sa pertinence pour les ordinateurs centraux
La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act – DORA) est un cadre réglementaire complet visant à garantir que les institutions financières au sein de l’UE peuvent résister, répondre et se remettre de tous les types de perturbations et de menaces liées aux TIC. Alors que les banques continuent de s’appuyer sur les ordinateurs centraux pour leur sécurité robuste, leurs capacités de traitement massives et leur fiabilité, il devient essentiel d’aligner ces systèmes sur les exigences rigoureuses de la loi DORA.
Le DORA met l’accent sur plusieurs domaines clés : la gestion des risques, la notification des incidents et la gestion des risques liés aux TIC pour les tiers. Pour les ordinateurs centraux, qui gèrent souvent les processus bancaires de base, depuis les transactions jusqu’à la gestion des données des clients, le processus de mise en conformité doit être stratégique et approfondi.
Améliorer la gestion des risques dans les environnements Mainframe
L’un des principaux mandats du DORA est d’améliorer les cadres de gestion des risques, en veillant à ce que les institutions puissent identifier et atténuer les risques rapidement. Les ordinateurs centraux, qui fonctionnent sur z/OS avec des applications telles que CICS pour les transactions et DB2 pour les bases de données, doivent faire l’objet d’une évaluation continue des vulnérabilités et des menaces potentielles.
- Procéder à des évaluations régulières des risques : Établissez un protocole de routine pour évaluer le niveau de sécurité des environnements centraux. Utilisez les outils qui s’intègrent à la suite IBM pour identifier les vulnérabilités potentielles.
- Mettez en place une surveillance automatisée : Utilisez des solutions de surveillance automatisée pour détecter les anomalies et les cybermenaces potentielles. Recherchez des systèmes qui offrent une visibilité complète sur les opérations de l’ordinateur central.
- Élaborer un plan de réponse aux incidents résilient : Alignez vos stratégies de réponse aux incidents sur les exigences du DORA, en veillant à ce que votre équipe puisse répondre rapidement et efficacement à tout incident.
Répondre aux exigences en matière de déclaration et de gestion des incidents
La loi DORA exige un cadre solide pour le signalement des incidents. Les institutions financières doivent mettre en place des systèmes et des processus qui garantissent une notification précise et en temps voulu des perturbations des TIC. Compte tenu du rôle central des ordinateurs centraux, toute perturbation pourrait avoir des conséquences importantes.
Les banques devraient établir des seuils clairs pour le signalement des incidents liés aux opérations sur ordinateur central. Il s’agit de définir ce qui constitue un incident à signaler, de mettre en place des flux de travail pour recueillir rapidement les informations nécessaires et de veiller au respect des délais et des formats de rapport du DORA.
Gestion des risques liés aux TIC pour les tiers
L’externalisation et les relations avec des tiers introduisent des niveaux de complexité supplémentaires en matière de conformité. La loi DORA impose aux banques de gérer et d’atténuer les risques liés aux prestataires de services tiers, en particulier ceux qui font partie intégrante des fonctions de l’ordinateur central.
- Effectuez un contrôle préalable approfondi : Évaluez l’alignement des fournisseurs tiers sur les exigences de la DORA. Il s’agit notamment d’évaluer leurs mesures de sécurité et leurs capacités de réaction en cas d’incident.
- Audits et évaluations réguliers : Réalisez des audits réguliers pour vous assurer que les services de tiers sont conformes aux normes convenues. Utilisez ces audits pour identifier et rectifier les lacunes de manière proactive.
- Garanties contractuelles : Veillez à ce que les contrats conclus avec des fournisseurs tiers contiennent des clauses spécifiques sur la conformité, la gestion des risques et les responsabilités en cas de perturbations.
Étapes pratiques pour une mise en conformité d’ici 2026
Compte tenu de l’importance stratégique des ordinateurs centraux et des dispositions de la loi DORA, les banques devraient adopter une approche structurée pour se conformer à la date limite de 2026.
Étape 1 : Audit et établissement d’une base de référence pour les opérations actuelles – Lancez un audit complet de l’environnement actuel de l’ordinateur central afin d’établir une base de référence pour la conformité. Identifier les lacunes potentielles et les domaines à améliorer.
Étape 2 : Élaboration d’une feuille de route de conformité – Élaborez une feuille de route détaillée, précisant les délais, les étapes et les ressources nécessaires pour que votre ordinateur central s’aligne sur la loi DORA.
Étape 3 : Investir dans la formation et le développement – Donnez à votre équipe les moyens de suivre une formation spécialisée sur la conformité à la loi DORA, couvrant les changements spécifiques aux opérations des ordinateurs centraux et au paysage informatique dans son ensemble.
Conclusion
Les ordinateurs centraux restent un gage de stabilité et d’efficacité dans le secteur bancaire. Cependant, avec des réglementations telles que DORA, les institutions financières doivent prendre des mesures proactives pour améliorer la résilience opérationnelle et la conformité. En intégrant des pratiques rigoureuses de gestion des risques, en affinant les cadres de signalement des incidents et en gérant avec diligence les risques liés aux tiers, les banques peuvent s’assurer que leurs opérations sur ordinateur central non seulement respectent, mais dépassent les exigences de la loi DORA.
À l’approche de 2026, il est temps pour les DSI et les responsables de la conformité d’agir. Mettez en œuvre ces stratégies, consultez des experts et prenez des mesures délibérées pour transformer vos opérations sur ordinateur central en un modèle de conformité et de résilience. N’attendez pas la date limite – entamez dès aujourd’hui votre voyage vers la résilience opérationnelle numérique.
