La nouvelle réglementation DORA : qu’implique-t-elle ?
DORA : Digital Operational Resilience Act
Dans un contexte de plus en plus marqué par la transformation numérique, l’interconnexion grandissante des réseaux et la multiplication des cyberattaques, les services financiers doivent redoubler de vigilance.
La nouvelle réglementation DORA s’inscrit dans ce constat et a pour finalité de garantir la stabilité financière et la protection des consommateurs en cas de cyberattaque.
Son objectif : améliorer la résilience opérationnelle informatique des entités financières. Comment ? Grâce à un cadre de gouvernance et de contrôle interne spécifique, qui vient renforcer les normes et directives existantes (comme ISO27001 ou encore NIS2).
Le règlement DORA a été publié au Journal Officiel de l’UE le 27 décembre 2022 et entrera en application le 17 janvier 2025.
Qui est concerné par DORA ?
DORA concerne tout le secteur bancaire et financier des entités financières, de toutes tailles et opérant au sein de l’Union-Européenne (établissements de crédit, entreprises d’investissements, établissements de paiement…).
Elle impacte également les prestataires TIC (Technologies de l’Information et de la Communication), qui leur fournissent des services.
La réglementation se compose de 5 piliers :
- Pilier 1 : La gestion des risques liés aux TIC
- Pilier 2: La gestion et le reporting des incidents TIC et des cybermenaces
- Pilier 3: Les tests de résilience opérationnelle numérique
- Pilier 4: La gestion des risques liés aux prestataires de services TIC
- Pilier 5: Le partage d’informations et de renseignements en matière de cybersécurité
Nous avons choisi de concentrer cet article sur les piliers 3 et 4 de la réglementation : les tests de résilience et la gestion des risques liés aux tiers. Les autres piliers feront l’objet d’un article spécifique.
Focus sur les tests de résilience opérationnelle numérique (Pilier 3)
Qu’est-ce que ça implique ?
Toutes les entreprises concernées sont désormais dans l’obligation de mettre en place un programme spécifique complet pour adresser les nouvelles exigences de la réglementation. Ce programme intègrera une série d’évaluations, de tests, de méthodologies, de pratiques et d’outils, tout en mettant l’accent sur les tests techniques.
Son objectif : mettre en place des contrôles afin de s’assurer de l’efficacité des systèmes qui garantissent la résilience du SI.
À l’issue de ce programme, les entreprises devront se faire auditer et se verront délivrer un certificat de conformité.
Les entreprises classifiées critiques selon la réglementation devront organiser un test de pénétration complémentaire à grande échelle tous les 3 ans (exercice de type « Red Team »).
Ce test devra être réalisé par des testeurs indépendants et couvrira les services critiques en impliquant les tiers du secteur des TIC basés dans l’UE. Le scénario devra être approuvé en amont par l’autorité de régulation.
Le défi est lancé !
Pour être en conformité en janvier 2025, les entreprises concernées par la réglementation devront prévoir une campagne d’évaluation de la résilience de leurs systèmes d’informations critiques avec récupération des preuves d’ici la fin de l’année 2024.
Cet enjeu nécessitera beaucoup de préparation et une charge de travail importante. Le fait que cette campagne implique obligatoirement les tiers critiques dans le domaine des TIC signifie aussi que ces derniers devront participer à cette préparation.
Focus sur la gestion des risques liés aux prestataires de services TIC (Pilier 4)
Ce pilier a pour vocation de veiller à ce que les organismes financiers disposent d’un niveau approprié de contrôle et de surveillance de leurs sous-traitants et ressources externes liés aux TIC, en particulier ceux qui sous-tendent des fonctions critiques.
Qu’est-ce que ça implique ?
Les organismes financiers seront dans l’obligation de disposer d’une stratégie et d’une politique définies en matière de risques des tiers liés aux TIC. Le directeur des risques et conformité ou un membre de l’organe de gestion en sera propriétaire.
Devra être établi un registre standard d’informations contenant la vue complète de tous leurs fournisseurs concernés ainsi que les services qu’ils fournissent et les fonctions qu’ils traitent. Un rapport sur les modifications apportées à ce registre devra être remis au régulateur tous les ans.
Les fournisseurs de services TIC devront être évalués selon certains critères avant la conclusion d’un contrat (ex : leur niveau de sécurité, le risque de concentration, le risque de sous-traitance…).
En prévision d’une éventuelle défaillance d’un fournisseur, une stratégie de sortie devra avoir été définie dès le départ. À savoir que la réglementation DORA contient également des lignes directrices concernant le contenu des contrats et les raisons de leur résiliation (qui doit être liée à un risque ou à une preuve de non-conformité).
Avec ce nouveau cadre de surveillance, les fournisseurs essentiels feront aussi l’objet d’évaluations annuelles au regard des exigences de résilience, telles que la disponibilité, la continuité, l’intégrité des données, la sécurité physique, les processus de gestion des risques, la gouvernance, les rapports, la portabilité, les tests…
Ces évaluations seront directement effectuées par le régulateur et impliqueront des sanctions en cas de non-conformité.
Encore un défi !
Rassembler les informations de tous ses fournisseurs TIC, et pas seulement les plus importants, comprenant les services fournis et les fonctions qu’ils sous-tendent est une tâche fastidieuse.
Les grandes organisations financières dépendent généralement de milliers de petits et grands fournisseurs et de systèmes de gestion d’anciens contrats qui peuvent compliquer considérablement l’extraction des données.
Une mise en place plus ou moins difficile
DORA s’applique à la totalité du secteur bancaire et financier et concerne toutes les tailles d’entreprises : de la TPE au grand groupe.
Certains chantiers liés aux exigences de DORA vont nécessiter beaucoup de temps et d’efforts aux équipes impliquées et toutes les entreprises ne sont pas égales face à la mise en place de cette réglementation. En effet, toutes ne disposent pas forcément des moyens d’analyse et de contrôle nécessaires, il leur faudra alors sûrement se faire accompagner.
Pour en savoir plus, n’hésitez pas à nous contacter.
Nos experts peuvent vous faire bénéficier de leurs expériences en termes d’exigences et de bonnes pratiques liées à la résilience opérationnelle numérique, et peuvent vous accompagner de la révision de votre existant à la mise en conformité aux exigences de DORA.