L’année 2023 est là et DORA également, avec son lot d’exigences en matière de résilience digitale et opérationnelle au niveau européen. Objectif : s’assurer de la capacité des entités financières à développer, garantir et réévaluer leur intégrité opérationnelle d’un point de vue technologique.
C’est un progrès et même un grand pas. Malgré tout, si le Digital Operational Résilience Act apporte une cohérence juridique et une homogénéité des attentes dans l’Union européenne, la réponse opérationnelle et organisationnelle appartient aux banques et à leurs prestataires.
Alors que les règles changent, voilà les établissements financiers contraints de se mettre au diapason. Charge à eux, dès à présent de réaliser un diagnostic de l’existant et une analyse d’écart par rapport au nouveau règlement DORA, de mettre en place un projet de mise en conformité sur l’ensemble des écarts constatés.
Six domaines stratégiques
Les questions à se poser sont nombreuses. Ce premier diagnostic doit couvrir six domaines stratégiques.
Le premier de ces domaines concerne la gouvernance et l’organisation. Les établissements financiers vont devoir passer au crible leur stratégie informatique, s’assurer qu’elle est en lien avec les objectifs d’affaires et analyser comment elle se décline de façon opérationnelle auprès des lignes métiers/entités/filiales. Il faudra ainsi répondre à plusieurs questions, notamment :
– quelle est l’implication de l’organe de direction dans la définition, la validation, la mise en œuvre et le suivi de cette stratégie ?
– les moyens financiers, organisationnels et humains sont-ils suffisants pour réussir sa mise en œuvre ?
– et quid du pilotage ? Les tableaux de bord de pilotage du risque informatique transmis à l’organe de direction le sont-ils de façon régulière et exhaustive, afin de permettre une prise de décision effective ?
Le deuxième aspect à envisager est la gestion des risques liés aux Technologies de l’information et de la communication (TIC). Il s’agit ici de définir si l’établissement dispose d’un cadre de gestion du risque informatique. Et si oui, s’il inclut les trois lignes de défense en matière de contrôle interne (ou d’un contrôle permanent et périodique) et y consacre des ressources en qualité et en quantité suffisantes.
Au-delà de cet aspect, plusieurs points doivent être analysés avec précaution :
– une cartographie des risques informatiques est-elle mise à jour a minima de façon annuelle ? et des plans de contrôle permanent et périodique couvrant l’ensemble des risques identifiés selon une périodicité correspondant à leurs criticités ?
– existe-t-il un inventaire des actifs informatiques, permettant d’apprécier leur niveau d’importance pour la bonne gestion des processus informatiques (notamment le traitement des incidents opérationnels et de sécurité, la gestion des changements, la conformité aux standards techniques et la gestion de l’obsolescence des composants en fin de vie) ?
La gestion, la classification et la notification des incidents liés à l’informatique devront ensuite être examinées. Avec pour corollaire ces questions : l’établissement dispose-t-il de procédures de détection, de classification et de réponse aux incidents informatiques ? Quel est le dispositif de reporting existant en cas d’incidents majeurs auprès des autorités de supervision ?
Les établissements vont également devoir effectuer des tests de résilience opérationnelle numérique. Pour cela, il faudra avoir mis en place des procédures de sauvegarde et de restauration des données et des systèmes d’information. Le type de scénarios doit également faire l’objet d’un examen. Car il sera nécessaire que le programme de test de résilience couvre les principaux scénarios de risque. Enfin, les établissements devront sans doute s’adresser à des tiers spécialisés et indépendants pour la mise en œuvre et l’évaluation de ces tests.
Cet aspect soulève la question de la problématique de la gestion des risques liés aux tiers prestataires de services informatiques. Les établissements financiers vont devoir détailler leur stratégie d’externalisation en matière informatique, appréhender de la façon la plus précise possible comment elle se décline. Cette stratégie devra en outre être validée par l’organe de direction. À toutes fins utiles, un registre des contrats d’externalisation sera à conserver et il devra être suivi de contrôles sur l’ensemble du cycle de la prestation. Les banques auront en effet la charge d’identifier, d’évaluer, et de gérer les risques auxquels elles sont ou pourraient être exposées dans le cadre d’accords conclus avec des prestataires de services informatiques, qu’il s’agisse d’accords d’externalisation ou de souscriptions de services informatiques.
Enfin, le partage d’informations et de renseignements devra être réfléchi à l’aune des cybermenaces qui pèsent sur les entités qui les détiennent. Ainsi, un dispositif de partage d’information entre entités financières ou au sein des entités financières pourra être mis en place afin de limiter ou de bloquer la propagation des cybermenaces. Une question fondamentale se pose pour les groupes financiers : comment s’organiser avec les pairs afin de mettre en place ce partage d’informations tout en garantissant la confidentialité et la protection des données ?
Une fois ce diagnostic effectué, les établissements devront s’aligner sur les nouveaux standards DORA. Les exigences imposées et qui devront être couvertes par les programmes de mise en conformité des entreprises concernées sont exhaustives.
Des exigences concrètes
Du point de vue de la gouvernance et de l’organisation, DORA impose que l’implication de l’organe de direction dans la définition de la stratégie d’entreprise en matière de risque informatique soit renforcée. La direction doit désormais avoir un rôle actif dans le pilotage du cadre de gestion des risques informatiques mais aussi veiller au respect d’une hygiène informatique rigoureuse.
La mise en œuvre de la stratégie définie doit se décliner en exigences concrètes quant aux rôles et aux responsabilités de l’ensemble des fonctions liées à l’informatique.
Elle doit aussi s’accompagner :
– d’un engagement continu dans le contrôle du suivi de la gestion des risques informatiques au travers de reportings réguliers et exhaustifs ;
– d’une refonte des processus d’approbation et de contrôle.
D’un point de vue opérationnel, les entités financières doivent à présent disposer d’un cadre de gestion des risques informatiques robuste, complet et bien documenté, leur permettant de faire face aux risques de manière rapide, efficiente et exhaustive, mais aussi de garantir un niveau élevé de résilience opérationnelle numérique qui soit conforme aux besoins, à la taille et à la complexité de leurs activités.
Cela englobe la stratégie informatique, les politiques, les procédures, les protocoles et les outils informatiques nécessaires pour protéger efficacement toutes les composantes et infrastructures physiques de l’entreprise, tout en garantissant l’atteinte de ses objectifs.
En termes d’organisation du dispositif de gestion du risque informatique, il faut garantir :
– une séparation nette entre les fonctions de gestion informatique, de contrôle et d’audit IT, selon le modèle reposant sur trois lignes de défense ;
– ou un autre modèle de gestion des risques et de contrôle internes.
La gestion, la classification et la notification des incidents liés à l’informatique revêtent désormais le caractère d’obligation. L’objectif : déterminer et annihiler leurs causes profondes afin d’éviter leur apparition. Les entités assujetties doivent mettre en place des processus adéquats pour assurer la surveillance, le traitement et le suivi cohérents et intégrés des incidents liés à l’informatique. Les entités financières sont aussi tenues de notifier à l’autorité compétente les incidents « majeurs » liés à l’informatique.
Les entités financières doivent établir un programme solide et pérenne de tests de résilience opérationnelle numérique. Ce programme de tests doit comprendre une série d’évaluations effectuées par des parties indépendantes internes ou externes.
Au cœur de DORA
La gestion des risques liés aux tiers prestataires de services informatiques constitue un élément fondamental de DORA. Les nouvelles mesures visent à veiller à ce que les entités financières disposent d’un niveau de contrôle et de surveillance suffisants de leurs prestataires TIC, principalement pour ceux qui ont une fonction critique. Les exigences demandées par le règlement DORA portent sur l’ensemble du cycle de la prestation : depuis la phase contractuelle, son exécution, sa résiliation, jusqu’à la phase post-contractuelle. Une attention particulière devra d’ailleurs être portée aux clauses contractuelles de ce type de service.
Enfin, dans le cadre de l’amélioration de la résilience opérationnelle numérique, les entités financières sont autorisées à échanger des informations entre elles. Ces échanges doivent notamment permettre une meilleure sensibilisation aux cybermenaces tout en :
– limitant ou bloquant leur propagation ;
– densifiant l’éventail des capacités défensives, des techniques de détection des menaces et des stratégies d’atténuation des entités financières ;
– améliorant leurs phases de réponse et de rétablissement.
Ce partage d’informations doit se dérouler au sein de communautés d’entités financières de confiance et reposer sur des dispositifs préservant la nature potentiellement sensible des informations partagées. Tous les échanges doivent être régis par des règles de conduite impliquant le plein respect de la confidentialité des affaires, la protection des données à caractère personnel, et les lignes directrices de la politique de concurrence.
