L’utilisation des technologies de l’information et de la communication (TIC) est aujourd’hui centrale dans la fourniture de services financiers. Elles ont désormais une importance cruciale dans l’activité et le fonctionnement au quotidien de toutes les entités financières, notamment les banques. La numérisation des activités a aussi renforcé les interconnexions, tout comme les relations de dépendance, non seulement entre entités financières, mais aussi avec des prestataires tiers d’infrastructures et de services. Dans un même temps, le secteur financier fait face à la multiplication et la sophistication des attaques cyber, dans un contexte marqué de surcroît par de nouvelles tensions géopolitiques.
Majeur risque cyber
S’assurer de la résilience numérique des entités financières est donc essentiel. Car tant les cyberattaques que les incidents opérationnels – comme les pertes de données sensibles de clients, la perturbation de services essentiels comme l’octroi de crédits ou le traitement des paiements... – peuvent avoir un impact financier, juridique et de réputation important. Dans un monde interconnecté et interdépendant, cette résilience collective – qui passe par la résilience de chacun – est aujourd’hui nécessaire pour garantir la stabilité financière. Et assurer ainsi un niveau élevé de protection des investisseurs, des consommateurs et des déposants.
Dans son Évaluation des risques du système financier français de 2024, la Banque de France considère le risque cyber comme le risque structurel le plus élevé pour le système financier. Un haut niveau d’exigence en matière de résilience opérationnelle numérique pour l’ensemble du secteur financier s’impose, pour garantir la confiance entre acteurs et dans le système financier dans sa globalité. C’est tout l’objet du Digital Operational Resilience Act, alias DORA.
DORA a des ancêtres
DORA est constitué à la fois d’un règlement européen en application à partir du 17 janvier 2025 et d’une directive, qui doit être transposée par les États membres à la même date. Établissements de crédit, organismes et intermédiaires d’assurance et de réassurance, infrastructures des marchés financiers, entreprises d’investissement, établissements de paiement et de monnaie électronique, sociétés de gestion, prestataires de services sur crypto-actifs : l’immense majorité des acteurs financiers supervisés doivent se conformer à DORA. Pièce majeure apportée à l’édifice réglementaire, cet ensemble ne constitue pas pour autant une complète nouveauté. En effet, depuis plusieurs années, les entités financières ont dû progressivement s’approprier une réglementation sur le risque opérationnel, devenue de plus en plus précise sur la résilience opérationnelle numérique, avec plusieurs orientations des autorités européennes de surveillance (EBA pour la banque, EIOPA pour le secteur de l’assurance, ESMA pour les marchés financiers) relatives à la gestion des risques liés aux TIC, au reporting des incidents ou encore à la gestion des risques liés à l’externalisation.
Ces dernières années, la gestion des risques liés aux TIC a ainsi fait l’objet d’une attention croissante de la part des autorités de supervision du secteur financier. Elle fait partie aujourd’hui des priorités de supervision de l’Autorité de contrôle prudentiel et de résolution (ACPR) et de la Banque Centrale Européenne (BCE). Ainsi, en 2024, cette dernière a conduit un stress-test cyber, testant la capacité de 109 banques européennes à répondre et à reprendre leurs activités à la suite d’une cyberattaque affectant leurs bases de données.
La nécessité d’une stratégie de place
Relever le défi de la cyber-résilience du secteur financier passe également par une préparation collective à la gestion d’une crise cyber et par la création de relations de confiance entre acteurs publics et privés, afin d’être réactifs face à la menace. C’est notamment l’objectif poursuivi par le Groupe de Place Robustesse (GPR). Avec un secrétariat assuré par la Banque de France, il permet aux grands établissements bancaires, infrastructures de marché, autorités financières et services de l’État, d’échanger et de se coordonner dans un cadre organisé et sécurisé, dans le cas d’un choc opérationnel majeur, y compris cyber. L’organisation d’exercices de crise constitue un apport décisif en la matière.
Dès 2025, s’assurer de la bonne préparation et de la mise en œuvre des exigences de DORA par les entités financières constituera un élément majeur du programme de travail de l’ACPR. Pour comprendre, rappelons que DORA est construit sur quatre piliers importants :
– la gouvernance, pilier essentiel pour définir une stratégie claire face aux risques numériques ;
– le reporting des incidents, capital pour mieux comprendre et répondre avec plus de réactivité aux incidents et aux menaces ;
– les tests de résilience opérationnelle numérique, utiles pour simuler et évaluer les vulnérabilités des systèmes d’information face aux menaces et analyser les capacités de réaction aux incidents et attaques ;
– la gestion des tiers, notamment des fournisseurs de services technologiques, déterminant pour s’assurer de la bonne gestion de l’externalisation et des risques associés.
Les organes de direction au cœur du dispositif
Avant toute chose, la résilience opérationnelle doit être une préoccupation au plus haut niveau des organisations. Les organes de direction portent la responsabilité ultime de la gestion des risques liés aux TIC de l’entité financière : ils doivent définir une stratégie opérationnelle numérique définissant notamment le niveau de tolérance au risque informatique de l’entité, avoir des objectifs clairs en matière de sécurité de l’information et affecter les moyens et ressources pour y parvenir. Mais ils doivent aussi s’assurer de manière continue de sa mise en œuvre effective et de son adéquation dans le temps. Pour ce faire, les organes de direction et de surveillance doivent bénéficier, dans le cadre de leur compétence collective, des connaissances leur permettant de prendre des décisions éclairées et pouvoir s’appuyer sur une organisation où les rôles et responsabilités sont clairement définis.
Il est primordial que le dispositif de gestion des risques, placé sous la responsabilité d’une fonction de contrôle indépendante, repose sur une évaluation rigoureuse de l’exposition au risque de l’entité et d’un recensement des actifs informatiques, y compris de ceux qui sont critiques pour la bonne conduite des activités. C’est sur cette base que les entités devront déterminer les mesures pertinentes à mettre en œuvre pour maîtriser ces risques et se protéger, et, en cas d’attaque ou de perturbation grave, être en mesure d’en atténuer les conséquences et d’assurer la continuité d’activité. Il est d’ailleurs attendu, dès à présent, que les entités financières soient en mesure de gérer, classifier et notifier à l’ACPR tout incident majeur ; DORA est en effet entré en application le 17 janvier 2025.
Qui sera soumis aux tests de pénétration
fondés sur la menace ?
Afin d’éprouver leurs défenses et de mettre en œuvre rapidement des mesures correctives, les entités financières doivent élaborer un programme complet de tests des outils et systèmes informatiques qui fait partie intégrante de leur cadre de gestion des risques. À noter, ces tests se distinguent des tests avancés (red teaming). Ces tests d’intrusion fondés sur la menace (TLPT) seront exécutés sur une base triennale et ne s’appliqueront qu’à une sélection d’entités financières considérées comme les plus critiques, désignées et notifiées par leur autorité de supervision compétente dans le courant de l’année 2025.
Le règlement DORA accorde enfin une place centrale à la gestion des risques liés à l’externalisation de services TIC à des prestataires tiers et leurs sous-traitants, en particulier lorsque ces services sous-tendent des fonctions critiques pour l’établissement. Aussi, les entités financières doivent notamment procéder, avant la conclusion de tout accord d’externalisation, à des diligences appropriées sur le prestataire et évaluer les risques liés à l’externalisation, en particulier le risque lié à la trop grande dépendance vis-à-vis d’un prestataire donné et au caractère non substituable de sa prestation. DORA prévoit également un certain nombre de clauses contractuelles obligatoires, variables selon la criticité de la prestation fournie (droits d’audit, stratégies de sortie, délais de préavis...). L’ACPR s’assurera que les nouveaux – comme les anciens – contrats conclus par les établissements respectent bien ces nouvelles exigences.
De la copie à remettre le 15 avril au plus tard !
Enfin, les entités financières doivent tenir un registre d’informations contenant tous les accords contractuels relatifs à l’utilisation des services TIC fournis par des prestataires. Ces registres doivent être remis annuellement aux autorités de supervision. Pour les entités ne relevant pas de la supervision directe de la BCE, ceux-ci devront être transmis au plus tard le 15 avril 2025 à l’ACPR. Elle se chargera ensuite de les communiquer aux autorités européennes de surveillance. Innovation majeure de DORA, ces autorités auront la tâche d’identifier et, avec l’appui des autorités nationales dont l’ACPR, de surveiller directement les prestataires tiers de services TIC considérés comme critiques pour le système financier européen (Critical Third-Party Providers – CTPP). Cette double attention portée sur les prestataires – via des obligations réglementaires incombant aux établissements vis-à-vis de ces acteurs, d’une part, et la surveillance directe des prestataires les plus critiques, d’autre part – devrait renforcer le pouvoir de négociation des entités financières vis-à-vis de leurs prestataires informatiques. Une occasion de rendre plus effective la maîtrise des risques liés à ces interdépendances.
Les entités financières devront mettre en œuvre l’ensemble de ces règles en tenant compte à la fois de leur taille, de leur profil de risque et de la complexité de leurs activités, comme le prévoit DORA. L’ACPR intégrera pleinement cet aspect de proportionnalité dans son cadre de contrôle. Pour autant, il est important que chacun, quelles que soient sa taille et sa place dans le système financier, se sente pleinement concerné et s’approprie l’ensemble des apports de ce règlement. DORA n’est pas seulement une contrainte ou un simple exercice de conformité. Cela constitue une étape majeure pour garantir le maintien d’un secteur financier européen non seulement financièrement solide, mais aussi opérationnellement résilient.
