I – DORA : contexte et champ d’application
A) Contexte
Le DORA a été adopté par le Parlement européen et le Conseil le 14 décembre 2022. Il définit les exigences uniformes pour renforcer et harmoniser la gestion des risques liés aux technologies de l’information et de la communication (TC) et à la sécurité des réseaux et des systèmes d’information au niveau de l’Union européenne (UE).
Le règlement est entré en vigueur le 16 janvier 2023 et prévoit un calendrier afin de laisser un délai aux assujettis de se mettre en conformité. Le règlement DORA s’appliquera directement aux Etats membres de l’UE à compter du 17 janvier 2025. La Commission européenne profitera de ce délai pour publier des actes délégués sur la base des projets finaux de normes réglementaires techniques et d’exécution qui seront soumis par les autorités européennes de surveillance. Ces textes auront pour objectif de préciser les exigences du DORA et participeront au cadre réglementaire.
B) Champ d’application
La Commission européenne souhaite disposer d’un champ d’application large en visant les professionnels du secteur financier, qu’ils soient traditionnels, ou qu’ils fassent partie des acteurs récents tels que les fintechs (établissements de paiement, établissements de monnaie électronique, prestataires de services sur actifs numériques).
Le règlement inclut également les établissements qui bénéficient des exemptions prévues par les dispositions de la DSP 2 et de la DME 2.
La nouveauté du DORA réside dans l’assujettissement des prestataires tiers qualifiés de critiques fournissant des services numériques. Ces prestataires seront identifiés et désignés par les autorités de surveillance et seront soumis à une supervision directe et renforcée. Cette supervision impose des exigences semblables à celles que l’on retrouve pour les établissements du secteur financier en matière de gouvernance, de gestion des risques, de mesures de sécurité et de correction, de plan de continuité, etc.
II – L’approche par les risques
A) Gouvernance et organisation
Les organes de direction jouent un rôle prépondérant dans l’application des dispositions de DORA. Ils devront occuper un rôle central dans l’adoption, la gestion et le suivi du cadre interne de gestion des risques TIC. Ils devront donc participer à la mise en place de la stratégie de résilience opérationnelle numérique.
Les organes de direction auront également le contrôle de la bonne application des politiques et processus internes de la gestion des risques TIC. Les entités devront disposer d’une politique en interne.
Par ailleurs, ils devront être continuellement informés des incidents relatifs aux TIC et sur les solutions correctives mises en œuvre.
Pour finir, le DORA encourage les entités financières à partager les renseignements et les informations concernant les actes de cybermalveillance et de cybercriminalité auprès des autres acteurs. L’objectif étant d’inciter la transparence entre les acteurs de la place afin de bénéficier de capacité de défense, d’identification contre les menaces, atténuer la sévérité des actions malveillantes ou de réduire le temps de réaction.
B) Cadre de gestion des risques liés aux TIC
Les établissements financiers devront disposer d’un dispositif de gestion des risques liés aux TIC afin d’identifier les risques rapidement et de pouvoir y répondre de manière adéquate et efficiente. Ce dispositif sera tout naturellement intégré au dispositif global de gestion des risques et devra définir ses modalités de mise en œuvre afin d’avoir une stratégie de résilience opérationnelle numérique cohérente.
- Mettre en place des processus et procédures pour l’évaluation et la gestion intégrées des risques, l’analyse des menaces et les tolérances d’impact ;
- Mettre en place des mesures techniques et organisationnelles de protection et de prévention des risques TIC/cybermalveillants, incluant la surveillance prédictive et la détection précoce des anomalies ;
- Mise à jour continue, principales causes et analyse des incidents post-traitement.
C) Gestion, classification, reporting des incidents TIC et partage de l’information
L’enjeu majeur de DORA repose sur l’harmonisation de la notification des incidents liés aux TIC. Cette harmonisation permettra aux autorités de surveillance d’être proactives à l’encontre des risques de cybermalveillance et de cybercriminalité afin de fournir une assistance aux acteurs sur la compréhension de l’évolution du panorama des menaces.
En résumé les entités financières devront :
- Définir et implémenter des processus et des procédures pour surveiller, gérer et enregistrer les incidents TIC/cybermalveillance et cybercriminalité ;
- Mettre en place une classification des incidents selon leurs seuils d’importance définis par les autorités de surveillance européennes ;
- Signaler les incidents TIC aux membres de la direction, aux organes de direction et aux autorités compétentes selon des délais et moyens définis par les autorités de surveillance européennes.
D) Test de résilience opérationnelle numérique
Les établissements financiers, en dehors des micro-entreprises, devront mettre en place et mettre à jour un programme de test de résilience opérationnelle numérique intégré au dispositif de gestion des risques liés aux TIC.
Ce test devra comprendre différents volets afin :
- D’inclure un large éventail d’évaluations, de tests, de méthodologies, de pratiques et d’outils à appliquer ;
- De surveiller les outils et les systèmes TIC et accorder une vigilance particulière au moins une fois par an aux TIC qui agissent dans des fonctions critiques ou importantes ;
- De s’assurer de la conduite des tests par des personnes indépendantes en interne ou par le biais de prestataires externes ;
- De prévoir des procédures et des stratégies afin de hiérarchiser, classer et résoudre les alertes relevées lors des tests ;
- Définir les procédures de revue et de validation de la mise en œuvre des plans de remédiation.
En complément, les entités financières significatives (dont les critères ne sont pas encore définis), devront effectuer au moins une fois tous les trois ans des contrôles avancés au moyen de tests d’intrusion fondés sur les menaces.
E) Gestion des risques liés aux tiers prestataires de services TIC
Comme vu précédemment, le DORA introduit une harmonisation des exigences en matière de risques liés aux tiers prestataires de services TIC. Dans ce cadre, les entités financières doivent mettre en place une stratégie en matière de risques liés à ces tiers. Elles devront définir une politique d’utilisation des services TIC sur les fonctions critiques ou importantes.
Par ailleurs, les entités financières devront tenir un registre d’informations concernant l’ensemble des contrats conclus avec les tiers prestataires de services TIC et prévoir des clauses minimales et uniformes pour les différents acteurs du marché. Elles devront également faire preuve de diligence avant l’entrée en relation, mettre un œuvre un dispositif de KYC, et évaluer le risque de concentration auprès d’un même prestataire de service.
Les contrats devront contenir des clauses standard minimales et les entités financières devront mettre en œuvre une surveillance continue dans le cadre de la relation.
Pour finir, il est important de noter que le DORA prévoit un dispositif de surveillance directe des prestataires de services TIC critiques par les autorités de surveillance européennes.
Source : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A52020PC0595