« DORA : une nouvelle ère pour la cybersécurité dans la finance »

L’objectif de DORA est de renforcer, au niveau européen, la gestion des risques liés aux Technologies de l’Information et de la Communication (TIC) pour les institutions notamment financières.

La panne informatique mondiale de juillet 2024, causée par un bug dans un logiciel de cybersécurité chez « CrowdStrike », a mis en évidence la fragilité des infrastructures numériques, même au sein de secteurs aussi critiques que la banque.

Cet incident a souligné la dépendance croissante des entrerprises à des fournisseurs de services informatiques tiers, sur lesquels elles ont peu de contrôle.

Les banques, en particuler, ont été fortement impactées, révélant leur vulnérabilité face à ce type de perturbations.

Le règlement DORA, qui entrera en vigueur en janvier prochain, apparaît comme une réponse à ces enjeux.

En effet, ce règlement a pour vocation de mieux gérer et d’avoir une assurance raisonnable quant à la survenance d’incidents majeurs.

INTRODUCTION

PRESENTATION DU REGLEMENT DORA

Le règlement (UE) 2022/2554 du Parlement Européen et Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique (dit règlement DORA – Digital Operational Resilience Act), est une nouvelle réglementation européenne qui vise à renforcer la cybersécurité et la résilience opérationnelle des entités financières de l’Union Européenne.
Ce règlement entrera en application le 17 janvier 2025.

L’IMPORTANCE DES MESURES DE DORA

La numérisation croissante du secteur financier a rendu les institutions plus vulnérables aux cyberattaques. DORA vise à combler ce gap en imposant des normes de cybersécurité plus élevées et en renforçant la coopération entre les acteurs du secteur et les autorités de régulation. Il s’appliquera également aux entreprises non européennes opérant en Europe continentale.

Les exigences de DORA font référence à 64 articles que composent le Règlement ainsi qu’à un corpus de documents, intitulés RTS (Regulatory Technical Standards)(1), ITA (Implementing Technical Standards)(2) et Guidelines (ligne directrice), dont les publications récentes sont celles relatives aux dispositions à prendre en considération en matière de sous-traitance.

 

ENJEUX ET ATTENTES DES CINQ PRINCIPAUX PILIERS DE LA RÈGLEMENTATION DORA

GOUVERNANCE ET GESTION DES RISQUES (art. 5-16)

La mise en œuvre d’une gouvernance et d’un cadre de gestion des risques informatiques nécessitent une gouvernance rigoureuse et appropriée pour assurer une coordination efficace entre les différentes parties prenantes ainsi que les tiers.

Un cadre de gestion des risques adapté sera mis en place afin d’identifier et de maîtriser les potentielles menaces. Par ailleurs, des mesures techniques de résilience harmonisées seront définies pour garantir la continuité de services et la protection des données sensibles.

Cette approche globale, dont les enjeux pour les institutions financières et attentes du régulateur sont présentés ci-après, permettra de minimiser les risques et d’homogénéiser les pratiques entre les tiers.

ENJEUX pour les institutions financières
• Mise en place d’un cadre de gestion des risques et une communication efficiente entre les différentes parties prenantes
• Systèmes, protocoles et outils de gestion de TIC
• Dispositif de détection, d’identification, de protection, de prévention, de réponse et de rétablissement
• Politiques et procédures de sauvegardes et méthodes de restauration
• Culture de sécurité (sensibilisation, formation, apprentissage et évolution)

ATTENTES du régulateur
• Définition claire des rôles et responsabilités (clarté et cohérence des objectifs, rôles et responsabilités)
• Politique de Sécurité des Systèmes d’Information exhaustive
• Comité de cybersécurité actif
• Inventaire des actifs informatiques
• Dispositif de formation et sensibilisation

 

CLASSIFICATION ET NOTIFICATION DES INCIDENTS LIES AU TIC (art. 17-23)

Les incidents sont hiérarchisés en fonction de leur impact sur les activités et catégorisés pour faciliter l’analyse des causes.

Afin de renforcer la sécurité des systèmes d’information, DORA impose aux institutions financières la mise en place d’un processus de gestion des incidents robuste, incluant une hiérarchisation rigoureuse des alertes et une catégorisation précise des événements. Les autorités doivent être informées en cas de survenance d’incident majeur.

Les processus de gestion des incidents devront être conçus pour garantir une réponse rapide et efficace face à toute menace.

ENJEUX pour les institutions financières 
• Gestion, classification et déclaration des incidents
• Harmonisation du contenu et modèles de rapport de notification des incidents
• Dispositif d’incidents opérationnels et de centralisation des notifications d’incidents majeurs
• Information en matière de surveillance

ATTENTES du régulateur
• Clarté des procédures d’identification, de gestion et d’archivage des incidents
• Formation des équipes en charge de la gestion et du traitement des incidents
• Mise en place d’un Plan de Reprise des Incidents détaillés
• Communication efficace des incidents notamment majeurs et critiques

 

TEST DE RESILIENCE OPERATIONNEL (art. 24-27)

DORA exige la mise en place d’un programme de tests de résilience opérationnelle rigoureux afin de garantir la conduite des opérations.

Ce programme doit comprendre différents tests pertinents, permettant d’identifier et de corriger les vulnérabilités.

La reconnaissance de la diversité des tests de résilience est essentielle pour garantir la sécurité des systèmes d’information.

ENJEUX pour les institutions financières 
• Tests de résilience opérationnel
• Tests des outils et systèmes de TIC
• Tests avancés d’outils, des systèmes et processus TIC (Pen test) fondés sur la menace
• Exigences applicables aux testeurs

ATTENTES du régulateur
• Evaluation de la capacité de résilience (identification des vulnérabilités)
• Amélioration de la préparation (Plan Continuité d’Activité)
• Démonstration de la conformité face aux exigences réglementaires (tests réguliers, analyse approfondie des résultats, mesures correctives)

 

GESTION DES RISQUES LIES AUX PRESTATAIRES TIERS (art. 28-34)

Ce pilier fait partie des principales mesures de DORA et introduit la notion de prestataire Tiers.

Les AES (3) dans le cadre de DORA, définissent des obligations spécifiques à la gestion des risques liés aux prestataires informatiques notamment une exigence de la complétude intégrant des clauses contractuelles élargies.

ENJEUX pour les institutions financières 
• Evaluation (Risk Assessment) des prestataires tiers
• Dispositions contractuelles relatives aux tiers critiques des services TIC
• Sélection et désignation des prestataires tiers

ATTENTES du régulateur
• Maîtriser les risques liés aux tiers
• Garantir la prestation de services en cas de défaillances du tiers
• Protection des données sensibles
• Fiabilité et robustesse des contrats intégrant des clauses d’audit, de sécurité, de protection des données et de continuité d’activités
• Dispositif de surveillance régulière des prestataires

 

DISPOSITIF DE PARTAGE D’INFORMATIONS ET RENSEIGNEMENTS LIES AUX CYBERATTAQUES (art. 45)

DORA, dans ce chapitre, incite les institutions financières du même secteur à s’échanger des informations via des canaux sécurisés (bonnes pratiques, protocoles d’alerte…) afin de renforcer collectivement les capacités de détections et de réponses aux cybermenaces.

ENJEUX pour les institutions financières 
• Amélioration de la réponse aux menaces en échangeant entre entités financières
• Amélioration de la résilience opérationnelle
• Entraide sécurisée entre entités financières

ATTENTES du régulateur
• Echanges entre entités financières sur des informations, des renseignements sur la cybermenace notamment des indicateurs, des tactiques, procédures et outils de configuration
• Collaboration sécurisée entre entités financières
• Respect de la confidentialité
• Notification aux autorités compétentes de la participation d’une ou de plusieurs entités aux dispositifs de partage d’informations

 

QUELQUES SOURCES D’INFORMATIONS CONSULTABLES SUR LE REGLEMENTATION DORA

Article 28 – Sous-traitant (gdprinfo.eu)

Règlement DORA : la résilience opérationnelle informatique sans frontières – Blog Conformité (esbanque.fr)

JC 2024-53_Final report DORA RTS on subcontracting.pdf (europa.eu)

Finance numérique: le Conseil adopte le règlement sur la résilience opérationnelle numérique du secteur financier – Consilium (europa.eu)

Contrôle interne | ACPR (banque-france.fr)

 

1 Ce sont des normes techniques réglementaires qui précisent les exigences techniques détaillées de DORA. Elles fournissent des indications concrètes sur la manière dont les institutions financières doivent mettre en oeuvre les dispositions du règlement.
2 Les ITS complètent les RTS en fournissant des modèles, des formats et des exemples pour faciliter la mise en conformité. Ils donnent des indications pratiques sur la façon de remplir les obligations prévues par DORA.
3 Autorités Européennes de Surveillance, composées de : l’Autorité Bancaire Européenne (ABE), l’Autorité Européenne des Assurances et des Pensions Complémentaires (AEAPP) et l’Autorité Européenne des Marchés Financiers (AEMF).

CAPACITÉS D’ACCOMPAGNEMENT 

VNCA vous propose une expertise en matière de conformité DORA.

Nous réalisons un diagnostic précis des pratiques actuelles de nos clients, identifions les écarts par rapport aux mesures du règlement DORA, élaborons des roadmaps de transformation, et enfin, aidons à la mise en place des actions correctrices.

Notre accompagnement couvre l’ensemble des aspects, de la définition de nouvelles métriques à l’aide à la mise en place d’outils et de processus.

 

© Article rédigé par votre équipe VNCA