Depuis les accords Bâle II, le risque lié aux TIC est bien identifié au travers du risque opérationnel. Toutefois, le cadre réglementaire a été jugé insuffisant pour gérer efficacement le risque lié aux TIC étant donné la complexification de ses causes et l’intensification de ses conséquences. C’est pourquoi la préservation et l’amélioration de la résilience opérationnelle numérique du secteur financier appellent une évolution de la règlementation pour mieux guider les entités financières dans la gestion du risque lié aux TIC, et en particulier sur le plan de la cybersécurité.
DORA, le compte à rebours est lancé pour la résilience opérationnelle dans le secteur Banque et Assurance
Après l’adoption d’une réglementation de l’UE sur la protection des données, le RGPD, c’est au tour d’une réglementation européenne sur la résilience opérationnelle informatique d’être mise en place !
Afin de répondre à ces enjeux, le règlement relatif à la résilience opérationnelle numérique du secteur financier intitulé Digital Operational Resilience Act (DORA) entre en vigueur le 17/01/2023 et en application le 17/01/2025. D’ici cette date, les entités visées doivent se mettre en conformité avec DORA.
Ce règlement a pour ambition de réunir dans un seul et même acte législatif toutes les dispositions relatives à la résilience opérationnelle numérique pour le secteur financier à l’échelle de l’Union Européenne.
Il s’agit d’un règlement majeur par sa portée et son champ d’application. En effet, il concerne environ 22 000 entités financières au sein de l’UE auxquelles s’ajoutent leurs tiers prestataires de services TIC critiques. Les Autorités Européennes de Surveillance (AES) vont dresser une liste des prestataires tiers de services TIC qui sont considérés critiques pour les entités financières et ces derniers feront l’objet d’une surveillance par le régulateur.
« Le règlement DORA a été adopté, nous travaillons déjà avec les DSI, les RSSI mais aussi les directions du risque opérationnel pour mettre en place leur feuille de route de conformité DORA en fonction des autres cadres normatifs et réglementaires déjà existants tels que NIS v2, NIST, ISO 27002, RGPD, etc » Bertrand HELFRE.
La résilience opérationnelle numérique au cœur du sujet
DORA a pour objectif de renforcer la résilience opérationnelle numérique du secteur financier au sein de l’UE. Les entités financières doivent être en capacité de faire face des perturbations liées aux TIC en particulier à des cyberattaques et à assurer la fourniture des opérations critiques dont elles ont la charge.
Le sujet de la résilience opérationnelle numérique a pris de plus en plus d’importance depuis la crise financière de 2008. De nombreuses autorités et organismes ont développé au fur et à mesure des années, davantage de mesures et exigences en la matière.
DORA ne fait que souligner l’importance accrue de la résilience opérationnelle numérique et la nécessité de gérer efficacement le risque lié aux TIC afin de préserver solidité des entités financières et ainsi garantir la stabilité du système financier.
Les 5 piliers de DORA
DORA repose sur 5 principaux piliers : la gestion du risque lié aux TIC, la gestion des incidents liés aux TIC, les tests de résilience opérationnelle numérique, la gestion des risques liés aux prestataires tiers de services TIC et les dispositifs de partage d’informations.
Le 1er pilier de DORA est consacré à la gestion du risque lié aux TIC. Les entités financières sont tenues d’établir notamment une gouvernance adéquate et un solide cadre de gestion du risque lié aux TIC.
DORA exige des entités financières de disposer de solides capacités sur la gestion des incidents liés aux TIC afin d’en contrer efficacement les impacts. La notification des incidents majeurs liés aux TIC sous forme de rapports d’incidents normés fait partie des exigences de ce règlement afin de renforcer la surveillance par les autorités compétentes.
DORA prévoit également des exigences en matière de tests de résilience opérationnelle numérique afin de détecter de manière régulière les vulnérabilités auxquelles l’entité financière est exposée et les traiter efficacement. Le dispositif prévu par DORA va également faciliter la reconnaissance mutuelle des tests avancés pour les entités financières remplissant les critères énoncés dans le règlement.
Compte tenu du recours accru à l’externalisation de services TIC dans le secteur financier, DORA prévoit des dispositions relatives à la gestion du risque lié aux tiers prestataires de services TIC en particulier ceux soutenant des fonctions critiques ou importantes.
Enfin, DORA prévoit les dispositifs de partage d’informations entre les entités financières sur les cybermenaces afin de mieux s’en prémunir.
La publication dans les prochains mois d’ITS (Implementing Technical Standards) et RTS (Regulatory Technical Standards) vous apporter des précisions sur l’interprétation de certaines exigences du règlement.
La vision onepoint pour se mettre en conformité avec DORA
Onepoint a développé un catalogue d’assets autour de DORA. Ce catalogue est constitué de plusieurs ressources, dont un questionnaire d’évaluation appelé DORA Maturity Model (DMM). Celui-ci est basé sur les principaux piliers et objectifs du règlement DORA. L’objectif de cet outil est d’accompagner les organisations dans une démarche d’analyse de maturité et d’identification des chantiers prioritaires à mettre en place afin d’atteindre la cible de conformité.
Le DMM permet :
- D’identifier les exigences de DORA,
- D’évaluer sa conformité à DORA de manière fine et exhaustive,
- D’identifier les plans d’actions,
- De prioriser les chantiers prioritaires,
- De fournir un reporting et une feuille de route clairs.
Le DMM permet ainsi d’obtenir un niveau de conformité sur les principaux piliers de DORA, avec les scores actuels et cibles.
En conclusion, l’application des exigences DORA par les entités financières et leurs prestataires tiers critiques de services TIC doit permettre une meilleure gestion du risque lié aux TIC et de garantir une résilience opérationnelle numérique dans le secteur financier de l’UE.
A peine sortis de la mise en conformité à d’autres actes législatifs tels que le RGPD, tous les acteurs concernés par DORA doivent poursuivre leurs efforts et s’atteler à l’application de ce nouveau règlement. Même si beaucoup d’exigences DORA ne sont pas nouvelles pour les grandes organisations, les acteurs de plus petite taille auront sans doute plus de chemin à parcourir pour y répondre. De plus, l’enjeu n’est pas seulement d’atteindre la conformité à un instant t mais d’être en capacité de la maintenir dans le temps. Le risque lié aux TIC évoluant en permanence, la conformité à DORA n’est pas une destination mais un voyage. Les acteurs concernés doivent dès à présent prendre le train en marche pour être prêts en janvier 2025.
Cet article a été écrit avec la participation de Waël BENABADJI, Mehdi EL OUAKOUAK, Ouafia HERMAN, sous la direction de Bertrand HELFRE
