La proposition de règlement du Parlement européen et du Conseil sur la résilience opérationnelle numérique du secteur financier1 (DORA) s’inscrit dans les démarches européennes visant à soutenir la transition numérique dans l’Union, comme priorité de la Commission. Si l’utilisation accrue des technologies numériques rend le secteur des services financiers plus agile, compétitif et certainement mieux adapté aux besoins de déploiement à grande échelle, il n’en est pas moins vrai que tant les opérateurs que les utilisateurs des services financiers doivent être protégés contre les risques découlant de ce recours à la finance numérique.
Or, un risque informatique mal géré menace non seulement la résilience opérationnelle et les performances d’une entité financière mais, eu égard à un si haut degré d’interconnexion des services, marchés financiers et de leurs infrastructures, et notamment les interdépendances de leurs systèmes informatiques, il peut aussi engendrer une vulnérabilité collective du secteur, en se propageant avec rapidité et sans entrave de nature géographique à une partie ou à l’ensemble. La propagation, à travers les canaux de transmission financière, des vulnérabilités localisées, peut ainsi porter préjudice à la stabilité même du système financier de l’Union, en termes de fuite de liquidité ou d’érosion de la confiance dans les marchés financiers, avec de potentielles conséquences systémiques.
La réforme suivant la crise de 2008 avait pour objectif principal de renforcer la résilience financière, en s’occupant des risques traditionnels qui peuvent surgir dans la livraison des services financiers. Les mesures de protection contre les risques de type numérique sont restées moins développées et sans doute n’ont-elles pas eu vocation à couvrir l’entièreté du secteur financier européen.
Des règles ciblées mais flexibles
Ainsi, DORA, partie intégrante de la nouvelle stratégie en matière de finance numérique de l’UE2, répond essentiellement à deux besoins spécifiques. Le premier est celui de mettre en place au niveau européen un cadre législatif homogène et exclusivement dédié au renforcement de la résilience opérationnelle des entités financières européennes, à travers une série de règles ciblées mais flexibles de gestion des risques numériques.
Le deuxième est celui de permettre tant aux entités financières qu’aux autorités de surveillance du secteur financier de regarder de plus près les risques qui pourraient être induits par les pratiques accrues d’externalisation, de sous-traitance et la concentration des dépendances à l’égard des tiers prestataires de services informatiques.
Ainsi, l’exposition du secteur financier européen aux tiers prestataires critiques de services informatiques soulève la problématique d’un potentiel risque systémique en relation avec cette dépendance, surtout si celle-ci n’est pas bien connue et analysée. À travers un nouveau cadre de supervision de ces tiers prestataires critiques de services informatiques (appelé en anglais Oversight), DORA vise à combler les lacunes en la matière, notamment l’absence de mandats et outils spécifiques permettant aux autorités nationales de surveillance d’acquérir une bonne compréhension des relations de dépendance et d’assurer un suivi adéquat des risques en découlant.
Pour y remédier, DORA propose un monitorage dans lequel les trois autorités européennes de surveillance (AES) pourront examiner les tiers prestataires critiques de services informatiques afin de mieux comprendre les risques associés et la gestion qu’ils en font, ainsi que de proposer des recommandations dans le contexte d’un mécanisme sui generis de contrôle et de collaboration.
S’inscrire de manière cohérente
dans le régime existant
DORA touchera un grand nombre d’entités financières, environ 20 typologies. Il s’agit essentiellement d’entités pour lesquelles un cadre réglementaire (notamment prudentiel) existe déjà au niveau européen, de sorte que le régime de résilience numérique mis en place par DORA s’inscrit de manière cohérente dans l’exigence de gestion de risque opérationnel plus ample à laquelle ces entités sont déjà soumises. On peut mentionner les établissements de crédit et de paiement, les entreprises d’investissement, les dépositaires centraux de titres et les contreparties centrales, les plates-formes de négociation, les gestionnaires de fonds d’investissement alternatifs, les entreprises d’assurance et de réassurance, les agences de notation de crédit ou les prestataires de services sur crypto-actifs.
DORA établit une série d’exigences uniformes relatives à la sécurité des réseaux et des systèmes d’information sous-tendant leurs processus opérationnels. Le chapitre de DORA dédié à la gestion des risques informatiques établit un socle de règles génériques et homogènes requérant des entités financières qu’elles établissent un cadre de gestion des risques informatiques comprenant une série de stratégies, de procédures, protocoles et d’outils informatiques pour dûment protéger les données, les actifs informationnels et les actifs ICT (Information and Communication Technologies), matériels ou immatériels, y compris les infrastructures physiques tels le matériel informatique, les serveurs, les locaux et les centres de données.
Ce chapitre énonce une série de règles sur les systèmes, protocoles et outils informatiques, ainsi que des règles plus détaillées dédiées à chacune des étapes du processus de gestion de risque : identification des risques, mesures de protection et prévention, détection, réponse et rétablissement, plans de communication, apprentissage et évolution. Ces règles ne sont excessivement pas prescriptives, laissant aux entités financières une marge nécessaire pour le calibrage des mesures, conformément à leurs spécificités et aux profils de risque cyber. En outre, certaines entités financières, en raison de leur taille et régimes spécifiques, bénéficieront d’un cadre simplifié de gestion des risques informatiques.
Les normes techniques visent à l’harmonisation
Les entités financières devront également mettre en place un processus de gestion et classification des incidents cyber et notifier à leur autorité de surveillance tout incident majeur. Ce qui constitue un tel incident sera établi sur la base de normes techniques de réglementation à développer par les trois AES, notamment au vu des seuils d’importance significative. Les AES ont aussi reçu le mandat de proposer des normes techniques de réglementation visant à l’harmonisation du contenu et des modèles des rapports de notification des incidents majeurs.
Les entités financières devront aussi incorporer dans la gestion courante des risques informatiques un programme de tests de résilience opérationnelle numérique comme outil indispensable afin d’évaluer la préparation aux incidents et notamment aux cyberattaques et de recenser des éventuelles faiblesses et lacunes de leurs systèmes ICT.
Si toutes les entités financières (avec des simplifications pour les microentreprises ayant reçu un régime allégé en DORA) auront l’obligation d’exécuter des tests basiques (tels des analyses de vulnérabilité, analyses des logiciels libres, des sécurités des réseaux, examens du code source lorsque possible, tests de performance, etc.), seules certaines d’entre elles – identifiées sur la base des critères notamment de criticité des services fournis, ainsi qu’au vu de leur potentiel caractère systémique – devront effectuer, au moins tous les trois ans, des tests avancés au moyen des tests de pénétration fondés sur la menace (TPFM ou Threat-Led Penetration Testing, TLPT en anglais). Ces tests couvriront au minimum les systèmes liés aux fonctions critiques ou importantes de l’entité financière, ils seront effectués sur des systèmes de production en direct qui appuient ces fonctions et pourront être réalisés en utilisant des testeurs externes ou, sur accord de l’autorité compétente, des testeurs internes. L’harmonisation des règles TPFM permettra leur reconnaissance mutuelle dans l’Union européenne.
En quatrième lieu, DORA prévoit une série de principes clés que les entités financières devront assurer pour la bonne gestion des risques liés aux tiers prestataires de services informatiques. Le règlement prévoit à cet égard une série de principes et objectifs à respecter lors de la conclusion des contrats avec les tiers prestataires de services informatiques. Les accords contractuels des entités financières relatifs à l’utilisation de services informatiques devront comporter au moins ces éléments prescrits dans le règlement.
Davantage de précision dans les clauses contractuelles
Par exemple, les contrats devront inclure des descriptions exhaustives des services informatiques fournis par le tiers prestataire et des descriptions des niveaux de service. Ils devront indiquer les lieux (régions ou pays) où ces services seront fournis et où les données seront traitées ainsi que prévoir les dispositions assurant la confidentialité, la disponibilité, l’intégrité ou l’authenticité des données et celles garantissant l’accès, la récupération et la restitution des données dans un format facilement accessible. Ils devront également comporter l’obligation du tiers de fournir à l’entité financière, sans frais supplémentaires ou à un coût déterminé ex ante, de l’assistance, en cas d’incident lié à l’informatique en rapport avec le service fourni, l’obligation du tiers de coopérer avec les autorités compétentes et de résolution de l’entité financière, ainsi que prévoir les droits de résiliation et les délais de préavis minimal, conformément aux attentes des autorités compétentes et de résolution.
Pour ce qui est des accords contractuels portant sur les services informatiques appuyant des fonctions critiques ou importantes, ils devront en outre comporter des éléments plus détaillés, tels des objectifs de performance quantitatifs et qualitatifs précis, dans le cadre des niveaux de service convenus, des délais de préavis et notifications de tout développement ayant une incidence significative sur la capacité du tiers à fournir les services. Ils devront aussi prévoir l’obligation du tiers de mettre en œuvre des plans d’urgence et de participer au TPFM effectués par l’entité financière, ainsi que le suivi permanent des performances du tiers (droits illimités d’accès, d’inspection et d’audit par l’entité financière et l’autorité compétente). Ils devront enfin inclure des stratégies de sortie, en particulier la fixation d’une période de transition adéquate obligatoire permettant à l’entité financière de migrer vers d’autres tiers prestataires de services informatiques ou de recourir à des solutions en interne adaptées à la complexité du service fourni. Les recommandations de l’Autorité bancaire européenne sur l’externalisation seront révisées afin d’assurer l’alignement avec DORA et s’appliqueront en parallèle avec le règlement.
Finalement, DORA clarifie pour la première fois la possibilité des entités financières d’échanger des renseignements sur les cybermenaces (e.g. des indicateurs de compromis ou alertes de cybersécurité) dans la mesure où ce partage se déroule au sein de communautés d’entités financières de confiance, protège la nature sensible des informations partagées, dans le respect de la confidentialité des affaires, de la protection des données à caractère personnel et des lignes directrices sur la politique de concurrence.
Les tiers prestataires évalués par le superviseur
L’écosystème financier européen est devenu dépendant des services informatiques fournis par des prestataires spécialisés. Or, si des tiers prestataires critiques de services informatiques venaient à subir des perturbations opérationnelles, y compris des cyberincidents majeurs, ceci engendrerait des conséquences directes et sérieuses pour la continuité de la fourniture des services financiers qui dépendent de l’utilisation de la technologie. La désignation comme tiers prestataire critique de services informatique sera faite par les AES, à l’issue d’une évaluation tenant compte des critères d’impact établis par DORA et détaillés par un futur acte délégué. Une des AES sera désignée comme superviseur principal pour chaque tiers prestataire critique de services.
En tant que superviseur principal, les AES devront déterminer si les tiers prestataires critiques ont mis en place des règles, procédures et mécanismes solides et efficaces pour gérer les risques informatiques qu’ils sont susceptibles de faire peser sur les entités financières. À cette fin, elles se voient confier tous les pouvoirs nécessaires pour mener des enquêtes, réaliser des inspections (sur place et hors site des locaux et sites des tiers prestataires critiques), obtenir des informations, adresser des recommandations et même imposer des astreintes pour sanctionner le manque de coopération du prestataire critique (par exemple le refus de se soumettre à une inspection). Ces pouvoirs permettront au superviseur principal de se faire une idée plus précise du type, de la dimension et des incidences du risque que les tiers prestataires de services informatiques représentent pour les entités financières et pour le système financier de l’Union.
S’il faut bien souligner que les AES ne peuvent pas sanctionner la conformité en tant que telle avec les recommandations, car celles-ci restent volontaires, il est tout aussi vrai qu’un éventuel non-respect ou rejet de ces recommandations sera intégré dans le suivi effectué par les autorités nationales de surveillance compétentes, qui, en fonction des conséquences concrètes engendrées par un tel non-respect ou rejet, peuvent exiger des entités financières que celles-ci prennent les mesures nécessaires pour remédier aux risques (par exemple, suspension temporaire, partielle ou en totalité, de l’utilisation ou du déploiement d’un service fourni par le tiers prestataire critique, voire, en dernier ressort, résiliation, en partie ou en totalité, des accords contractuels conclus avec les tiers prestataires critiques de services informatiques).
Finalement, il faut rappeler que DORA constitue une lex specialis par rapport à la directive NIS 2 (Network and Information System Security, révisée). Dès lors, les entités financières qui restent dans le champ d’application de la directive NIS 2 dériveront leurs obligations en matière de cybersécurité du règlement DORA, et non pas de la directive NIS 2. En même temps, le besoin d’assurer une coopération étroite entre les autorités financières et les autorités NIS comportera la participation des AES et des autorités financières de surveillance aux travaux du groupe de coopération NIS, ainsi que la consultation et la coopération des autorités NIS dans le cadre de supervision des tiers prestataires critiques de services informatiques, qui sont en même temps fournisseurs de services et infrastructures numériques au sens de la directive NIS.
Après adoption formelle par les colégislateurs en novembre 2022, il est estimé que DORA entrera en vigueur début 2023 et s’appliquera deux ans à partir de la date de son entrée en vigueur.
Ruxandra-Gabriela Adam interviendra
lors du Club Banque
du 18 octobre consacré à la cyber-résilience opérationnelle.
