Les leçons de DORA pour les fintechs

Dans un contexte marqué par le recours généralisé aux systèmes informatiques et au cloud de la part de l’ensemble des acteurs financiers et par l’accroissement du nombre et de la sophistication des cyberattaques, les régulateurs européens ont convenu de la nécessité de doter l’Union d’une nouvelle réglementation couvrant l’ensemble des aspects liés aux technologies de l’information et de la communication. Entrée en application, le 17 janvier dernier, DORA est un règlement. Pas une directive. Conséquence, le même texte est applicable le même jour, au même moment dans tous les pays de l’Union européenne (UE).

Le périmètre de ce texte est très vaste : il couvre tous les acteurs financiers d’importance. Parmi les fintechs soumises, on compte non seulement les établissements de crédit mais aussi les sociétés de gestion de portefeuille (SGP), les établissements de paiement (EP), les prestataires de services sur crypto-actifs, les prestataires de financement participatifs (PSFP) et les sociétés d’assurance, pour ne citer que les plus importantes catégories. Afin de se conformer à la réglementation, ces sociétés régulées doivent également s’assurer que les services rendus par leurs prestataires essentiels sont également conformes. Ces derniers doivent à leur tour s’assurer que leurs propres prestataires sont conformes, et ainsi de suite. C’est donc tout l’écosystème composé des sociétés financières régulées et de toute leur chaîne de prestataires essentiels qui doit de facto se conformer à la nouvelle réglementation.

La réglementation DORA se compose d’un texte principal de niveau 1, publié en 2022. S’y ajoute des Regulatory Technical Standards plus détaillés et techniques (RTS/ITS) et des actes délégués, publiés en 2023 et début 2024. Elle repose sur cinq piliers : la gestion des risques technologies de l’information et de la communication (TIC) ; la gestion, classification et notification des incidents liés aux TIC ; les tests de résilience opérationnelle numérique ; la gestion des risques liés aux tiers de services TIC ; enfin, les dispositifs de partage d’informations et de renseignements sur les cybermenaces.

Cette réglementation renforce et complète les règles déjà existantes. Une bonne partie des fintechs régulées était déjà soumise à des nomes IT et cyber rigoureuses. Les établissements de crédit et de paiement étaient ainsi soumis à l’arrêté du 3 novembre 2014 et à la notice de l’Autorité de contrôle prudentiel et de résolution (ACPR) sur la gestion du risque informatique. Ce texte couvre en particulier les aspects de gouvernance, d’externalisation, de continuité et du risque informatique. Il y avait aussi les orientations de l’Autorité bancaire européenne. Les SGP sont soumises aux règlements OPCVM et FIA, ainsi qu’aux réglementations cloud de l’ESMA. Les établissements d’assurance, de leur côté, ont droit au règlement Solvabilité, aux orientations de l’EIOPA et à la notice correspondante de l’ACPR. Les principes introduits par DORA ne sont donc pas inédits, même s’ils vont très sensiblement plus loin que ce qui était déjà exigé. À la différence des banques, les fintechs en ont – dans leur ensemble – pris conscience tardivement. Ceci s’explique par leur taille plus petite et des moyens plus limités, mais également car elles ont intégré, par construction, des technologies récentes. En revanche, leur SI est également beaucoup plus simple que celui des grandes banques traditionnelles et elles font fortement appel à des sous-traitants informatiques.

Pour les acteurs qui ont implémenté correctement ce texte et ne se sont pas contentés d’un exercice de « box ticking », l’impact a été significatif. À noter, le régulateur a permis la mise en œuvre du principe de proportionnalité ; cela ne signifie pas une mise en place « au rabais », mais la nécessité de bien analyser ses risques et mettre en œuvre des mesures proportionnées adéquates. Quelques leçons peuvent être tirées.

Surtout lorsque leur formation initiale est technique, les responsables de fintech ont de bonnes connaissances en IT et sécurité. Mais, utilement, DORA les oblige à s’impliquer davantage, avec leur conseil d’administration, dans les décisions IT et sécurité. La cartographie des risques, les fintechs régulées connaissent : elle est nécessaire dans le cadre de leur agrément. Mais DORA les a obligés à la renforcer. Il a fallu mettre en place un inventaire précis et détaillé des actifs informatiques, mis à jour de surcroît, au fil de l’eau avec le niveau de criticité, les liens avec les autres actifs, leur version, les patchs appliqués, leur propriétaire etc. et les actions pouvant être menées en cas d’attaque.

DORA requiert aussi un niveau de formalisation très élevé, ce qui a entraîné l’écriture ou la mise à jour des politiques et procédures cyber, incident, externalisation et plan de continuité d’activité. Ce n’était pas un point fort des fintechs ! Les tests effectifs de continuité (sauvegardes, restaurations), de gestion de crise et de vulnérabilité, eux aussi insuffisamment réalisés, ont dû être renforcés. Enfin, un chantier très important a porté sur les prestataires. La réglementation exige désormais de réaliser une cartographie des prestataires et la maîtrise des prestations essentielles. Cela a nécessité une révision des contrats avec les prestataires externes, la mise en place d’une remontée précise des informations de production (incidents, niveaux de SLA, continuité, etc.) et le contrôle effectif par la société régulée des risques (politique de sécurité, tests de sécurité et de continuité, contrôles opérationnels de sécurité etc.).

L’impact sur les prestataires informatiques et en particulier sur les fournisseurs de core banking system a été majeur. Même s’ils ne sont pas directement soumis à cette réglementation, une part importante de la conformité TIC des sociétés régulées repose sur eux. Une partie significative de la cartographie du SI, des tests de continuité et de sécurité, de la mise en œuvre des politiques et systèmes de sécurité repose sur eux. Ces acteurs ont revu leur corpus procédural, automatisé leur CMDB, se sont certifiés selon la norme ISO 27001, permettant ainsi de réduire leurs coûts d’audit. Comme ils doivent une transparence beaucoup plus grande à leurs clients, ils ont également dû revoir les processus de remontée d’informations afin que ceux-ci puissent piloter la relation et effectuer leurs diligences.

Comme la réglementation requiert l’identification et la maîtrise des risques de l’ensemble de la chaîne, ces prestataires doivent eux aussi, comme les sociétés directement soumises à DORA, maîtriser leurs propres fournisseurs. Chaque changement d’un de leurs propres prestataires critique doit être soumis à l’accord préalable du client. C’est donc toute la chaîne de fournisseurs qui a dû s’adapter, sans quoi le marché des fintechs régulées leur aurait été fermé. Dans le cas des sociétés de Banking as a Service (BaaS), la licence est souvent portée directement par le BaaS, tout comme le core banking system. Mais, en complément, ce sont leurs clients, qui sont aussi leurs agents, et à ce titre également des prestataires essentiels pour eux, qui doivent se conformer à cette nouvelle réglementation, en plus du BaaS lui-même évidemment.

DORA permet à l’UE de se doter d’une nouvelle réglementation sans équivalent dans le monde pour l’instant. Dans un contexte d’une montée des risques informatiques, sa mise en œuvre renforce la transparence des acteurs, la sécurité du système financier et donc la confiance des utilisateurs. Elle permet aussi une meilleure concurrence au sein des pays de l’Union et entre les différents acteurs de la finance, toujours soumis aux mêmes règles informatiques et cyber jusqu’à présent. En revanche, comme toute nouvelle exigence, elle renchérit les coûts des sociétés et en particulier des petites structures ainsi que des prestataires informatiques. En 2024, les fintechs et leurs fournisseurs se sont focalisés sur les projets pour se conformer à DORA. L’année 2025 va être celle du pilotage, c’est-à-dire de la gestion des fournisseurs critiques, de la réalisation des tests et des due diligences.