Entré en vigueur le 17 janvier 2025, le règlement DORA (Digital Operational Resilience Act) fixe un nouveau cadre pour anticiper le risque cyber. Un risque qui atteint un niveau de criticité très élevé ces derniers mois. Le « O » pour opérationnel pouvait laisser penser que le texte n’est que technologique. Question d’éviter les intrusions dans les systèmes, de remettre en place rapidement les systèmes après attaques...
Il n’en est rien ! Son volet juridique est particulièrement important. Il concerne toutes les entités couvertes. Et elles sont nombreuses. Tel est le cas des institutions financières traditionnelles : établissement de crédit, de paiement et de monnaie électronique, entreprises d’investissement et gestionnaire de fonds, dépositaires centraux de titres et contrepartie centrales, et institutions de retraite professionnelles. Sont aussi concernées les intermédiaires et prestataires de services spécialisés : communication de données, financement participatif, intermédiaires d’assurance et de réassurance, prestataires de services sur crypto et émetteurs de jetons. Enfin, car la liste n’est pas terminée, le règlement DORA s’applique aussi aux entités liées aux marchés financiers : plateformes de négociation, agence de notation de crédit, administrateurs d’indices de référence d’importance critique et référentiels de titrisation.
Jusqu’à 10 millions de sanctions !
Mais l’autre spécificité du règlement DORA est de descendre dans la chaîne, à savoir de prendre en compte les prestataires et de les inclure dans la réflexion globale. Tel est le cas des prestataires classiques de TIC, mais également des prestataires soutenant des fonctions critiques ou importantes. Citons, à la Prévert, l’hébergement en cloud pour les systèmes de transaction, la sécurité informatique pour la protection des données sensibles, la gestion des réseaux pour la continuité des services, les systèmes de récupération des données en cas de sinistre pour les données critiques ou encore les systèmes de détection et de réponse aux incidents de cybersécurité.
Avis, à tous, le non-respect des règles pourra être sanctionné. À la clef, pour les établissements financiers, une sanction administrative pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuels au niveau mondial. Avec potentiellement la publication et l’affichage de la sanction. Pour les prestataires de services critiques, une astreinte par jour de retard peut être prononcée pour un montant maximal de 1 % de leur chiffre d’affaires quotidien réalisé au niveau mondial au cours de l’exercice précédent pourra être demandé pendant six mois au plus.
Autant donc connaître la règle ! Le règlement DORA liste un certain nombre de livrables que ces entités doivent fournir : plans d’audit, politiques diverses, process de gestion, ainsi que divers rapports et registres. Avec de telles contraintes, le règlement DORA peut certes être ressenti par les entités financières comme une contrainte, mais il apporte surtout des outils pour maîtriser les risques. Juridiquement, il comporte deux volets.
Une documentation fournie à fournir...
Le premier est interne. Les entités financières soumises à DORA sont tenues de mettre en place un cadre formel de gouvernance et disposer d’un portefeuille de documents à établir. Par exemple, les politiques liées aux actifs informatiques (contrôle des accès, chiffrement...), les procédures de gestion des risques TIC, les mesures de sécurité, les politiques de continuité d’activité, les apports d’incidents informatiques, avec détails sur leur impact et leur résolution sans oublier les registres d’information. Tous ces livrables rédigés devront être à la disposition de l’ACPR, des régulateurs et des assureurs. Ces documents ont pour objectif de garantir la résilience opérationnelle numérique des entités financières et leurs prestataires.
Mais DORA met aussi l’accent sur les risques provenant des prestataires informatiques et impose des clauses « obligatoires » dans les contrats, en distinguant les contrats conclus avec les prestataires TIC dit classiques, et les prestataires informatiques, qui soutiennent des fonctions critiques ou importantes. Ces nouveaux engagements contractuels ont pour objectifs d’assurer plus de sécurité, une meilleure gestion des incidents, une confidentialité optimale des données et des mécanismes de résiliation applicables plus souples en cas de manquement.
De nouvelles contractuelles applicables aux anciens contrats
Les entités financières et les prestataires de services TIC doivent revoir leurs accords contractuels. Non seulement les accords à venir devront prévoir de nouvelles clauses, mais les accords existants doivent être modifiés par voie d’avenants. Cette revue contractuelle concerne tous les services TIC, c’est-à-dire l’ensemble des services liés aux infrastructures informatiques, aux applications logicielles nécessaires au fonctionnement des systèmes d’information, comme les prestataires d’hébergement, la gestion et la supervision des systèmes, la sécurité et la sauvegarde, le cloud, etc. Par ailleurs, les établissements bancaires et d’assurances ont désormais l’obligation d’enregistrer tous les contrats de prestations TIC externalisées.
Il convient toutefois de distinguer entre typologies de prestataires. Pour les contrats TIC traditionnels, il y a neuf clauses très identifiées, notamment l’engagement des sous-traitants, la continuité des services, l’accès à la documentation sur toute la chaîne, ainsi que les audits et les cas de restitution des données traitées.
Importante n’est pas critique... et vice-versa
Pour les accords contractuels avec des prestataires proposant des services avec des fonctions dites critiques ou importantes, cette fois, les clauses doivent être encore plus renforcées pour assurer la sécurité juridique des contrats informatiques. Attention : il faut distinguer les « fonctions critiques », dont la défaillance a des conséquences sur la stabilité financière, la continuité des services ou la capacité à respecter les obligations réglementaires, des « fonctions importantes », dont la défaillance affecte l’efficacité des opérations. Il existe alors une méthodologie à suivre pour identifier et catégoriser les prestataires TIC.
Lorsque le service soutient une de ces fonctions, alors les clauses doivent être encore plus sécurisantes. Par exemple, il doit être imposé au prestataire TIC une clause de continuité d’activité et de reprise de sinistre, une clause de gestion des incidents. Une obligation renforcée est également à prévoir pour le prestataire de notifier rapidement tout incident ou dysfonctionnement affectant les services critiques, avec les détails permettant une analyse approfondie (impact, résolution, mesures correctives, etc.). En cas de cyberattaque, par exemple, le contrat doit prévoir une obligation renforcée de signalement dans un délai fixe (24 heures maximum, par exemple), avec un protocole précis de gestion (équipe, délais, mesures, notification CNIL, etc.). Les contrats doivent donc impérativement être mis à jour pour y inclure ces clauses, et respecter les évolutions réglementaires, des recommandations de la CNIL ou de l’ACPR en France.
