DORA (Digital Operational Resilience Act) est le règlement du Parlement européen et du Conseil sur la résilience opérationnelle numérique pour le secteur financier. En tant qu’établissement bancaire, Société Générale est donc directement concernée par ce règlement et devra rendre des comptes à la Banque Centrale Européenne (BCE) sur sa conformité. DORA s’applique au Groupe Société Générale, à toutes ses entités situées dans l’Union européenne (UE) pour les activités commerciales énumérées à l’article 2 du règlement. Les infrastructures situées dans l’UE et utilisées par des entités non européennes sont également concernées. Le champ d’application précis sera défini prochainement.
Nous considérons que DORA se rapproche des lignes directrices de l’Autorité bancaire européenne (ABE) sur les TIC (Technologies de l’information et de la communication) et de la gestion des risques de sécurité informatiques, entrées en vigueur le 30 juin 2020. Les sujets ne sont donc pas tous nouveaux mais les exigences en matière de résilience opérationnelle se sont renforcées. On peut également noter que la réglementation en matière de cybersécurité (en particulier, la NIS – Network and Information System Security – et certaines directives nationales) concerne aussi déjà une partie du périmètre du système d’information concerné. Les dispositifs de mises en conformité DORA devraient également contribuer aux exigences de la NIS et consorts. Néanmoins, le périmètre DORA est plus large et va nécessiter la mobilisation de davantage d’acteurs en interne. Les exigences DORA permettront de faire mûrir et grandir les acteurs des services financiers et il s’agit d’une étape positive pour encore renforcer la protection des établissements financiers présents sur le marché européen. Ce règlement établit un corpus de règles communes pour les entités financières et les fournisseurs de services tiers TIC.
La dernière version disponible de DORA a été rendue publique en juin 2022 et la version finale sera publiée d’ici la fin de l’année. Les 5 piliers (voir ci-après) de DORA seront applicables 24 mois après la date d’entrée en vigueur du texte. Les ESA (European Supervisory Authorities) élabore un projet commun de RTS (Regulatory Technical Standards) qui sera transmis dans un délai de 12 à 18 mois après la date d’entrée en vigueur du règlement pour préciser les attendus des exigences DORA.
En ce qui concerne les sanctions, chaque État membre devra préciser son barème (sanctions administratives et/ou pénales le cas échéant) à la Commission et à aux ESA, 24 mois après la date d’entrée en vigueur de DORA.
À l’heure où les directions générales et les conseils d’administration mesurent l’impact en termes commercial, d’image ou systémique des conséquences de perturbations liées aux risques numériques, DORA va pousser les établissements bancaires et financiers à élargir leur vision de la Résilience Opérationnelle. DORA va demander de développer des moyens plus sophistiqués pour encore mieux maîtriser ses risques liés aux TIC, comme « sévériser » les scénarios adressés, renforcer les méthodes de test, affiner la granularité de la cartographie des systèmes sous-jacents ou comme l’exhaustivité du travail de correction pour remédier aux vulnérabilités jusqu’à donner la capacité aux autorités à ordonner aux établissements bancaires et financiers de suspendre ou de résilier leurs contrats avec les tiers.
Nous avons du travail devant nous...
Cinq domaines de mise en œuvre
Le premier pilier concerne la gestion des risques liés aux TIC. Les entités financières doivent mettre en œuvre un cadre de gestion des risques liés aux TIC : identifier tous les actifs TIC (en particulier ceux qui soutiennent des fonctions importantes ou critiques), toutes les sources de risque, mettre en œuvre des solutions pour protéger les actifs TIC, prévenir les incidents liés aux TIC, assurer la continuité des fonctions critiques ou importantes en cas d’incident, ainsi que mettre en œuvre des politiques et procédures de sauvegarde. Les entités financières devront également définir et mettre en place une gouvernance, avec des rôles et des fonctions spécifiques, dans laquelle la direction générale de la Banque devra assurer la responsabilité pleine et entière de la gestion des risques liée aux TIC. Des plans et politiques de communication devront être établis pour permettre la remontée des incidents liés aux TIC aux parties prenantes externes et communiquer correctement avec le personnel et les autorités compétentes. Enfin, les entités financières organiseront des programmes de sensibilisation à la sécurité des TIC et des formations sur la résilience opérationnelle pour l’ensemble du personnel (y compris la direction générale), les fournisseurs de services tiers dans le domaine des TIC seront aussi concernés.
Le deuxième pilier traite des incidents liés aux TIC. Les entités financières doivent mettre en place un processus de gestion des incidents liés aux TIC, enregistrent et classent (sur la base de critères de normalisation) les incidents liés aux TIC et les cybermenaces, et signalent à l’autorité compétente les incidents liés aux TIC classés comme majeurs. Cela va créer néanmoins un nouveau cadre substantiel de classification, de notification et de rapport qui mettra les établissements bancaires au défi d’améliorer leur capacité à collecter, analyser, faire remonter et diffuser des informations concernant les incidents et les menaces liés aux TIC. La rationalisation du signalement des incidents liés aux TIC devrait réduire le poids de la conformité aux multiples exigences en matière de déclaration des incidents dans le secteur financier, tout en favorisant une meilleure compréhension collective des cybermenaces.
Le troisième pilier concerne les tests de résilience opérationnelle numérique. Les entités financières élaborent un programme de tests de résilience dans le cadre duquel plusieurs types de tests doivent être effectués sur tous les actifs TIC, tels que des tests sur les plans de continuité des activités TIC au moins une fois par an, de tests périodiques des stratégies de sauvegarde, des tests de tous les systèmes et applications TIC critiques au moins une fois par an, des tests des plans de communication de crise et des tests périodiques des plans de sortie d’un tiers TIC.
Les entreprises dépassant un certain seuil d’importance systémique et de maturité (à préciser par les RTS) devront effectuer des tests d’intrusion « avancés » TPLP (Threat Led Penetration Testing) tous les trois ans. En outre, ces tests d’intrusion devront être effectués sur des systèmes en production.
Tous ces tests doivent être effectués par des entités indépendantes et les tests d’intrusion axés sur la menace doivent être effectués par des testeurs externes, pour des établissements de crédit importants (comme Société Générale).
Le quatrième pilier traite de la gestion des risques liés aux tiers liés aux TIC. Les entités financières définissent et réexaminent régulièrement leur stratégie en matière de risque de tiers, en particulier pour les services couvrant des fonctions importantes ou critiques. Ils tiennent et mettent également à jour un registre relatif à tous les dispositifs contractuels relatifs à l’utilisation des services TIC fournis par les prestataires de services TIC tiers (internes ou externes), communiquent au moins une fois par an aux autorités compétentes des informations sur le nombre de nouveaux accords relatifs à l’utilisation des services TIC, les catégories de prestataires de services tiers TIC, le type dispositifs contractuels et les services et fonctions qui sont fournis. Ils informent également l’autorité compétente en temps utile de tout arrangement contractuel envisagé sur l’utilisation des services TIC concernant des fonctions critiques ou importantes et lorsqu’une fonction devient critique ou importante.
Avant d’entrer dans une relation contractuelle avec un tiers (interne ou externe à Société Générale), les entités financières doivent appliquer une liste de contrôles. Les contrats relatifs à l’utilisation des services TIC doivent comporter des dispositions spécifiques (clauses contractuelles types en cours d’élaboration par la Commission européenne pour des services spécifiques), en particulier pour les arrangements contractuels visant à fournir des fonctions critiques ou importantes.
Les entités financières doivent également mettre en place des stratégies de sortie pour les services TIC liés à des fonctions critiques ou importantes qui leur permettent de sortir des arrangements contractuels sans perturber leurs activités commerciales, limitant ainsi le respect des exigences réglementaires et nuisant à la continuité et à la qualité de leur prestation de services aux clients.
En outre, les ESA désignent et publient chaque année une liste des fournisseurs de services tiers TIC essentiels pour les entités financières et évaluent directement si chaque fournisseur de services tiers TIC critiques dispose d’un cadre pour gérer les risques TIC qu’il peut présenter. Un forum de surveillance (avec un représentant de la BCE) procède chaque année à une évaluation collective des résultats et des conclusions des activités de surveillance menées pour tous les fournisseurs de services tiers TIC critiques.
Le cinquième pilier concerne les modalités d’échange d’informations. Le règlement fournit des lignes directrices pour l’échange d’informations et de renseignements sur les cybermenaces entre les entités financières et notamment au travers des CERT (Computer Emergency Response Team).
L’ESA élabore un projet commun de RTS sur quatre piliers
En ce qui concerne le premier pilier, le RTS précisera davantage le contenu du cadre de gestion des risques liés aux TIC (tels que les éléments à inclure dans les politiques de sécurité des TIC, les composantes de la politique de continuité des activités dans le domaine des TIC, les plans de réponse et de redressement des TIC, ou le contenu et le format du rapport sur l’examen du cadre de gestion des risques liés aux TIC, etc.).
Dans le cadre du deuxième pilier, le RTS précisera en outre les critères, y compris les seuils d’importance relative pour déterminer les incidents majeurs liés aux TIC qui sont soumis à l’obligation de déclaration (ou les cybermenaces importantes), le niveau de déclaration des incidents majeurs liés aux TIC (et la notification des cybermenaces importantes) et le délai de soumission des rapports.
Pour le troisième pilier, le RTS précisera en outre les exigences et les normes régissant l’utilisation de testeurs internes et les exigences relatives aux tests d’intrusion dirigés par la menace.
Enfin, en ce qui concerne le quatrième pilier, le RTS précisera en outre le contenu détaillé de la politique relative à l’utilisation des services TIC fournis par les fournisseurs de services tiers TIC concernant des fonctions critiques ou importantes. Ils préciseront également les éléments à déterminer par une entité financière F lors de la sous-traitance de fonctions critiques ou importantes. Les ESA élaborent également un projet de normes techniques d’exécution établissant les modèles de normes pour le registre d’informations.
Quelques points d’attention relevés
• Publication RTS – Étant donné que DORA sera applicable 24 mois après la date d’entrée en vigueur du texte et que l’ESA dispose de 12 à 18 mois après la date d’entrée en vigueur du texte pour publier la RTS, les délais de mise en conformité risquent d’être courts.
• Pilier 3 – Tests : la portée des tests (y compris des tests sur tous les systèmes et applications TIC critiques chaque année) est extrêmement large ; cela pourra nécessiter beaucoup de ressources pour se conformer à la réglementation.
• Pilier 4 – Définition du fournisseur de services tiers TIC : la définition du fournisseur de services tiers TIC dans DORA reste à clarifier.
• Pilier 4 – Impacts de la résiliation des contrats : la résiliation des obligations contractuelles sur tous les fournisseurs de services tiers TIC pourrait avoir des conséquences financières importantes et entraîner de fortes contraintes opérationnelles.
