DORA, mode d’emploi

Pour la première fois, toutes les règles relatives au risque numérique dans le domaine financier sont réunies dans un seul et même acte législatif, le Digital Operational Resilience Act (DORA) ou, en français, loi sur la résilience opérationnelle numérique.

DORA étant un règlement et non une directive, son application dans son intégralité par tous les acteurs concernés sera obligatoire. Adopté par le Parlement européen le 10 novembre 2022 et paru dans sa version finale le 27 décembre 2022, le texte de loi sera applicable vingt jours après sa publication au Journal officiel de l’Union européenne, à savoir le 17 janvier 2025.

Tous les prestataires financiers – banques, assurances et gestionnaires de placement – ont donc deux années devant eux pour se conformer à l’ensemble du règlement DORA. Pour s’assurer du bon respect de ses 64 articles par les entités financières, la Commission européenne a mis en place un système de contrôle renforcé. Il sera assuré par les Autorités européennes de surveillance (AES) telles que l’Autorité bancaire européenne (EBA), l’Autorité européenne des marchés financiers (Esma) et l’Autorité européenne des assurances et des pensions professionnelles (EIOPA). Les autorités nationales compétentes respectives assumeront le rôle de surveillance de la conformité et appliqueront le règlement si nécessaire. Au cours de cette période, les AES définiront par ailleurs plus précisément les normes techniques de réglementation et énonceront des exigences plus concrètes.

Dès l’entrée en vigueur de la loi, les AES exigeront que des rapports obligatoires décrits par DORA soient disponibles, à leur demande. Les organismes concernés devraient aussi être prêts à effectuer les évaluations demandées. Une non-conformité au règlement pourrait potentiellement entraîner un arrêt des activités de l’entreprise. La certification par les AES devra être obtenue d’ici la fin de l’année 2025.

Se pose alors une question très concrète : comment se préparer à l’entrée en vigueur de ce nouveau règlement ?

La première étape, pour pouvoir se préparer à l’application de DORA, sera d’évaluer l’ensemble de son Système d’information (SI), afin d’identifier les éventuels écarts de conformité. Une étude approfondie du SI est nécessaire afin d’apprécier le niveau de maturité de l’entité en matière de cybersécurité.

Cela permettra de définir par la suite une feuille de route comprenant toutes les mesures de sécurité à mettre en œuvre pour une mise en conformité de l’organisme au nouveau règlement européen, mais aussi les actions à mener en priorité, les moyens humains et financiers à allouer, ainsi que les livrables clés à produire.

Dès lors, les principaux chantiers seront déterminés et la stratégie globale de l’entreprise en termes de résilience opérationnelle numérique sera définie. Dans cet objectif, quelques chantiers principaux vont s’imposer.

Le premier chantier concerne l’analyse des risques. Il est en effet impératif de réaliser une analyse de risques en identifiant clairement les principaux actifs critiques de l’entreprise, les processus qu’ils soutiennent et les données hébergées. À partir de cette analyse, il faudra mettre en place un cadre de gestion des risques qui pèsent sur l’entité et surtout des plans de sécurisation et d’amélioration continue de la sécurité, avec une stratégie de communication et une attribution claire des rôles et des responsabilités.

La loi DORA opère par ailleurs un transfert des responsabilités de la Direction du système d’information (DSI) à la Direction de l’entreprise. L’organe de gestion, ainsi que l’ensemble du personnel, devra suivre une formation obligatoire sur la résilience opérationnelle numérique.

Le deuxième chantier relève de la gestion de la classification et de la déclaration des risques de cybersécurité. DORA comprend plusieurs exigences en termes de classification et de signalement des incidents liés aux TIC dans le secteur financier. Il faudra être capable d’évaluer le seuil de gravité d’un incident en fonction notamment du nombre d’utilisateurs touchés par la cyberattaque, la répartition géographique, la perte de donnée, l’impact économique, la durée, la criticité des services touchés et la gravité sur les systèmes TIC.

Les incidents classés majeurs selon la méthodologie de DORA devront être signalés en moins de 48 heures et des rapports de suivi devront être fournis. L’intérêt de cette mesure est de récolter tous les rapports d’incidents, les anonymiser et les mettre à disposition de la communauté pour limiter les impacts de la cyberattaque et promouvoir l’amélioration collective.

DORA prévoit que les entités financières puissent tester leur résilience opérationnelle numérique, c’est-à-dire l’efficacité du cadre de gestion des risques liés aux TIC et des mesures en place pour répondre à divers scénarios de risques, tout en étant capable de s’en remettre avec un minimum d’impact.

Les prestataires financiers auront à réaliser un test interne annuel obligatoire et à fournir le rapport et les résultats aux AES, selon un format spécifique fourni par l’organisme de réglementation. Un second test avancé sera à effectuer trois fois par an et s’appliquera aux entreprises répondant à certains critères qui seront définis par les régulateurs dans les prochains mois. Ce dernier test avancé, à réaliser par une entité externe, permettra aux AES de délivrer un certificat attestant de la bonne conformité de l’organisme à DORA.

Ce nouveau règlement européen introduit la notion de gestion des risques liés aux tiers, soit des exigences non seulement envers les prestataires financiers, mais aussi envers leurs fournisseurs essentiels.

Les prestataires financiers vont ainsi devoir mettre en place une stratégie de gestion des risques liés aux tiers, ainsi que des dispositifs appropriés de contrôle et de surveillance de leurs prestataires TIC, surtout ceux qui soutiennent des fonctions critiques. Un registre standard d’informations, permettant d’avoir une vision claire de tous leurs fournisseurs TIC, les services fournis et les fonctions qu’ils sous-tendent, devra être tenu et mis à jour, et les organismes devront faire un rapport annuel aux régulateurs sur les modifications apportées à ce registre. Les entités financières devront aussi prévoir une stratégie de sortie en cas de risque ou de non-conformité de l’un des fournisseurs.

Les fournisseurs essentiels feront quant à eux l’objet d’évaluations annuelles au regard des exigences de résilience (disponibilité, intégrité, continuité, gouvernance, sécurité physique, gestion des risques, etc.). Ce sont les régulateurs qui effectueront ces tests et attribueront des sanctions en cas de non-conformité.

Les organismes financiers ont désormais deux ans pour évaluer leur conformité à DORA et doivent identifier le plus rapidement possible les principaux chantiers à prévoir avant l’entrée en vigueur de ce nouveau règlement européen.

Deux ans pour se préparer