DORA,
mère des transformations...

La réglementation européenne DORA, pour Digital Operational Resilience Act, constitue une étape cruciale dans la régulation du secteur financier en Europe. Adoptée en 2022, entrant en vigueur en janvier 2025, elle vise à renforcer la résilience opérationnelle numérique des institutions financières. Plus concrètement, elle doit leur permettre de mieux prévenir, répondre à et se remettre de perturbations graves liées, entre autres, aux cyberattaques.

Pour cela, DORA impose des exigences strictes en matière de gestion des risques, de résilience des systèmes d’information, de communication en cas d’incident, de gestion du risque des tiers et de reporting. Elles font de DORA un outil plus puissant qu’une énième réglementation supplémentaire : elle est à l’origine de profonds changements structurels, notamment sur les organisations et les systèmes d’information.

Le système d’information est aujourd’hui au cœur du fonctionnement des établissements financiers, incontournable pour tous, au quotidien. Dans le cadre de DORA, obligation est faite d’adopter une approche holistique en matière de gestion des risques IT. Dirigeants, fonctions centrales, direction des services informatiques, métiers : tous doivent être ainsi sensibilisés aux enjeux de résilience numérique, risques, traçabilité et qualité des données...

Cette nouvelle approche induit un pivot stratégique : elle implique une gouvernance forte, avec les dirigeants comme sponsors et authentiques leaders de ces sujets. En conséquence, elle nécessite de faire prendre conscience de l’importance des enjeux de résilience opérationnelle numérique au plus haut niveau de la hiérarchie. Une montée en compétences sur ces sujets est indispensable, pour permettre la meilleure de prise de décision possible.

Les équipes opérationnelles sont également concernées. Elles aussi doivent mieux comprendre les risques IT, et notamment les enjeux clients à cet égard. Cet engagement doit aussi être étendu aux prestataires. D’après les textes, ils doivent bénéficier des mêmes formations de sécurité IT que les collaborateurs internes. Cette nouvelle approche induit naturellement un changement des pratiques, des processus et de l’organisation.

Parmi les principaux défis rencontrés par les institutions financières avec DORA, une problématique de transversalité apparaît, susceptible de complexifier la donne. Pour déployer DORA, il est crucial de réunir autour d’une même table plusieurs acteurs. Ainsi, les équipes opérationnelles, les directions des risques, les DSI, les directions des achats et les directions juridiques doivent travailler de concert afin de mettre, au plus vite, leurs processus en conformité. Mais tous ne parlent pas toujours le même langage.

Il se trouve que certaines exigences sont assez techniques et se révèlent parfois difficiles à interpréter, en particulier pour les petites structures. Afin de bien comprendre ces exigences, il est donc primordial de faire participer toutes les parties prenantes aux travaux de remédiation. Cela permettra à chacun d’en appréhender les enjeux et d’apporter sa compréhension et sa vision, facilitant le désilotage de l’organisation par la même occasion.

Les processus sont également impactés. Certes, DORA s’inscrit dans la droite ligne de certains textes et orientations de l’autorité européenne bancaire et n’a pas vocation à chambouler les pratiques métiers. Toutefois, certaines activités demeurent impactées opérationnellement : de nouveaux contrôles sont à mettre en place, de nouvelles comitologies sont à définir... Dans les douze prochains mois, de nombreux processus organisationnels concernant les projets, les contrôles et la traçabilité seront adaptés aux exigences de DORA. Leur bonne traduction est nécessaire afin de ne pas introduire des erreurs ou incompréhensions, une fois la vague 2024-2025 passée.

La formalisation est un des défis de la réglementation DORA. Les entités financières doivent définir un cadre de gouvernance et de contrôle interne exhaustif et normalisé. Cela inclut des plans de crises et de communication, des politiques de gestion des risques tiers et des procédures définissant clairement les rôles et responsabilités relatifs à la gestion des risques IT. La mise à jour des plans de continuité d’activité est par exemple capitale. Ceux-ci doivent prendre en compte des scénarios sans cesse nouveaux : instabilité politique, catastrophes naturelles, attaques et fraudes internes. Les équipes opérationnelles devront être acculturées à ces politiques dans leurs tâches quotidiennes, condition sine qua non d’un déploiement efficace.

Par essence, DORA doit renforcer la capacité à juger de la continuité du système d’information en cas de dysfonctionnements divers. Exemple : la panne d’un datacenter. Elle pousse donc chaque institution financière à identifier ses applications critiques afin de pouvoir effectuer sur elles les tests de résilience pertinents, et ce, au moins une fois par an. Une fois cette cartographie établie, l’établissement peut identifier les prérequis à la réalisation de chaque typologie de test de résilience. Cela permet d’obtenir une vision claire de la capacité ou non à faire le test et à mettre en place des remédiations le cas échéant.

De plus, les établissements peuvent étudier la nécessité de transformer en contrôles à part entière certains tests réalisés dans le cadre des projets de développement IT. Cette configuration permettrait de combler les menaces induites par la non-réalisation de certains tests lors d’un projet du fait de contraintes temporelles.

La veille sur la robustesse du SI et sur ses processus passe également par des tests de pénétration, ou pentests. À effectuer tous les trois ans, ces derniers permettent de simuler des attaques externes afin de tester la résilience des SI et la capacité de réponse des entités, ainsi que d’auditer et de documenter les applications concernées.

DORA vise aussi à réduire les risques liés à des applications externes. Elle impose donc des pratiques précises de gestion des risques quant aux fournisseurs tiers. La relation contractuelle est directement impactée. Ces nouveaux éléments sont en effet à intégrer dans de nouveaux clausiers et avenants conformes à la réglementation DORA, à faire signer par les prestataires. Ces avenants amènent donc à redéfinir la relation contractuelle et à mettre en place de nouveaux contrôles et des comitologies ad hoc destinés à répondre au plus vite aux exigences de ce volet. Les acteurs concernés par ce point se trouvent nécessairement à la fois à la DSI et aux achats. En conséquence, une bonne connaissance du cycle de vie des actifs numériques et des contrats IT, parfois en SaaS, devient un avantage compétitif.

Au-delà de cette dimension contractuelle, l’ombre du régulateur plane. Ce dernier exigera des reportings à fréquence régulière. Cela implique donc de créer très vite des modèles de rapports relatifs au registre des tiers, qui permettra d’identifier l’exhaustivité des prestations des établissements, à la déclaration des incidents informatiques...

Les chantiers sont nombreux, et être au rendez-vous de DORA aurait supposé une bonne préparation, précoce. Beaucoup ne seront pas à l’heure. Cependant, il est primordial pour les établissements d’au moins identifier les carences dans leurs dispositifs et de lancer sans plus attendre les chantiers de remédiation, avant l’échéance du 17 janvier 2025. C’est une occasion unique qui se présente. Elle permettra aux banques de tirer avantage d’une rampe de lancement vers un SI résilient face aux menaces actuelles.