L’acronyme DORA aurait pu laisser croire qu’il avait été choisi par l’Union européenne (UE) en référence au grec doron et theos, en français « cadeau » et « Dieu », dont est issu le prénom Dorothée. Les acteurs qui doivent mettre en œuvre DORA évoqueront plus « le fardeau et le Diable »... Mais le progrès passe souvent par l’épreuve. En fait, DORA n’est pas d’inspiration poétique, c’est la contraction de l’anglais Digital Operational Resilience Act. Nous remarquerons au passage que plus les Britanniques s’éloignent de l’Europe, plus celle-ci s’exprime en anglais. Mais restons sérieux !
DORA est la lex specialis de la directive NIS2 – encore de l’anglais ! Notons que c’est un règlement européen qui est automatiquement intégré dans la loi française, tandis que la directive fait l’objet d’une adaptation par chaque État membre. C’est dire si le législateur européen entend unifier la réglementation sans laisser la moindre place à l’interprétation locale. NIS2 a pour ambition de renforcer le niveau de cybersécurité global au sein de l’UE, tandis que DORA veut assurer l’intégrité et la disponibilité du secteur financier. Plus les transactions se dématérialisent, plus elles deviennent sensibles aux cyberattaques. Si l’on veut garder la confiance, les vingt et une entités du secteur financier doivent mettre en œuvre les mesures garantissant la résilience. Celle-ci peut être imagée par la fable de La Fontaine « le Chêne et le Roseau » (Livre I, fable 22). Ce dernier plie mais ne rompt pas. Il absorbe le souffle du vent et redevient droit sitôt la tempête passée. Or la tempête est de plus en plus fréquente et de plus en plus violente.
La cybercriminalité est la « criminalité du XXIe siècle ». Tel était le titre du premier Forum InCyber (FIC), il y a près de vingt ans déjà, en 2007. Ce n’est que récemment que les autorités européennes et nationales ont pris conscience de la double migration qui s’opère vers les cyberespaces. Les délinquants ont compris qu’ils ont une opportunité « historique » en optimisant le rapport gain-risque pénal. Jamais ils n’ont été aussi près de leur victime et aussi loin de leur juge. Agir depuis un État voyou est une garantie d’impunité. Les délinquants retrouvent d’autres migrants dans le cyberespace : les États peu scrupuleux qui pensent pouvoir régler leurs comptes par des « banderilles numériques », lesquelles blessent mais pourraient aussi être invalidantes ou mortelles. Ces États ont le plus souvent recours à des groupes criminels organisés, « tiers attaquants » servant de paravent.
Les prédateurs sont de plus en plus nombreux, de plus en plus « industrialisés » par leur organisation, leurs modes d’action. La donnée est leur objectif privilégié. Elle est l’alpha et l’oméga, qu’elle soit la cible ou le moyen de leur méfait. Les données financières figurent parmi les plus sensibles, dans une société qui privilégie les transactions dématérialisées. S’il est un domaine qui s’appuie sur la confiance, c’est bien celui de la finance. C’est le nerf de l’économie et il ne peut être coupé ou anesthésié sans entraîner une paralysie de la société, créer un trouble majeur à l’ordre public. DORA n’est pas une opportunité mais une impérieuse nécessité !
Le règlement s’inscrit dans une démarche souveraine, semblable à celle qui a inspiré le règlement général de protection des données (RGPD) pour les données à caractère personnel. Cette norme, conçue pour les États membres, a des répercussions internationales, car les flux financiers ne s’arrêtent pas aux frontières de l’Union. En agissant ainsi, l’Europe affiche son unité : l’Union fait la force ! Mais l’Europe doit se montrer aussi ambitieuse lorsqu’il s’agit du stockage des données, notamment celles qui relèvent du secteur financier. Le projet de certification européenne EUCS, relatif à l’informatique en nuage, ne doit pas être une régression, un projet « moins-disant » par rapport au SecNumCloud français. Comme le souhaitait très justement Thierry Breton, l’Europe doit être ouverte, mais elle ne doit pas être une « passoire ».
Toute réglementation appelle une période d’adaptation aussi courte que possible. Pour gagner la bataille de la résilience, il faut bien sûr agir sur les organisations, les process. Mais l’essentiel repose sur l’humain. Celui-ci doit être conscient des enjeux et se préparer à maîtriser les risques. Un humain averti en vaut deux, selon le proverbe. Tout commence par une acculturation au numérique, par une éducation à l’ « hygiène informatique », pour reprendre l’excellente expression de l’ANSSI. Toute initiative qui éclaire par la pédagogie la lecture d’un texte aride est la bienvenue. Ce hors-série collectif de la revue Banque et Droit contribue à une nécessaire appropriation par tous des nouvelles normes. Sa publication intervient au bon moment. Chaque auteur est un interprète qui rend simple et accessible ce qui est complexe. Puisse sa lecture permettre à tous les acteurs concernés de franchir le cap sans douleur ! n
