DORA, la cyber résilience opérationnelle pour le secteur financier et son écosystème

Au cours des récentes années, les menaces de cybersécurité sont devenues de plus en plus sophistiquées et leurs impacts de plus en plus durables et préjudiciables. Dans la perspective d’attaques menées notamment par des organisations criminelles ou des Etats disposant de ressources technologiques de haut niveau, l’Union européenne se devait de protéger ses entreprises sensibles, quitte à opérer un changement de paradigme. 

Tel est l’objectif du Règlement DORA pour Digital Operational Resilience Act, publié au JO de l’Union Européenne le 27 décembre 2022 et entré en vigueur le 16 janvier 2023. Le texte vient harmoniser les dispositions historiques applicables aux différentes verticales du secteur financier, tout en les renforçant afin de faire face au risque d’interruption des fonctions critiques ou importantes, induit par des cyberattaques et/ou des disfonctionnements des systèmes d’information. 

1. Les exigences fixées par DORA 

Pour renforcer la confiance dans les flux financiers au niveau de toute l’Europe, DORA s’inspire des cinq phases du cycle de gestion des risques de cybersécurité prescrites par le Framework NIST (identifier, protéger et prévenir, détecter, réagir, rétablir) et s’articule autour des 4 piliers ci-après : 

• La gestion des risques IT avec le renforcement des mécanismes de gouvernance (art. 5) et la mise en place de dispositifs adaptés pour chacune des étapes de gestion des risques informatiques allant de l’identification de la menace jusqu’au retour d’expérience (art. 6 à 16),
• La gestion des incidents de sécurité (art. 17 à 23),
• Les tests de résilience opérationnelle numérique (art. 24 à 27),
• La gestion des risques IT liés aux tiers prestataires de services informatiques (art. 28 à 44).

DORA apporte par conséquent des changements significatifs au sein des dispositifs actuels de maîtrise des menaces cyber, avec des exigences relatives à : 

• La responsabilité de l’organe de direction en matière de risque informatique, 
• La mise en œuvre d’un cadre adapté de gestion du risque informatique 
• La classification désormais standardisée des incidents IT et le reporting obligatoire vers une instance européenne unique, 
• Le renforcement et la conduite des tests de résilience opérationnelle numérique, selon des critères définis par les autorités (harmonisés, fréquents et ambitieux) en particulier pour les tests « avancés » que sont les tests d’intrusion fondés sur la menace TLPT,
• La tenue d’un registre standardisé des tiers.

DORA incite en revanche les institutions financières, et c’est une nouveauté, à partager ensemble de manière volontaire les informations liées aux attaques dont elles ont été victimes ou celles pour lesquelles elles s’estimeraient les cibles. 

2. Les entreprises concernées par DORA 

Les entités qui devront mettre en œuvre le Règlement relèvent de 2 catégories :  

• Le secteur financier : les établissements de crédit, de paiement, de monnaie électronique, les compagnies d’assurance, les sociétés de gestion exerçant sur le territoire de l’Union européenne (soit 21 catégories citées). L’enjeu premier pour une entité financière est de s’assurer qu’elle rentre dans le périmètre DORA et d’identifier ses éventuels écarts par rapport aux exigences du Règlement. 
• Les partenaires fournissant des technologies d’information et de communication (TIC), tels que des plateformes cloud ou des services de data analytics. La priorité pour ces derniers sera d’évaluer dans quelle mesure ils seront considérés ou non comme « tiers DORA » au regard soit des services contractuels proposés, soit d’une désignation comme « tiers critiques » par les autorités européennes et devant donner lieu à une surveillance directe. 

3.    Le calendrier de la mise en conformité 

A partir de sa date d’entrée en vigueur mentionnée ci-dessus, il faudra compter deux ans pour la mise en application de DORA, c’est-à-dire le 17 janvier 2025 au plus tard.

Au regard des chantiers à engager, il est important d’établir un plan d’actions permettant d’intégrer toutes les exigences DORA dans les délais impartis, en restant dans une logique de proportionnalité. Par ailleurs, il est à relever qu’au cas où des recommandations émises par le superviseur à l’endroit de l’un de vos prestataires tiers critique de services TIC ne sont pas mises en œuvre par ce dernier dans les délais prescrits par la Directive, des astreintes journalières (limité à 6 mois) s’élevant jusqu’à 1% du chiffre d’affaires quotidien moyen réalisé au niveau mondial par le prestataire tiers critique de services TIC au cours de l’exercice précédent s’appliqueront audit prestataire. Le montant des pénalités pour les établissements financiers est encore en discussion avec les Etats membres.

4.    Nos recommandations 

Pour les entités financières, il est recommandé d’ores et déjà, de : 

• Reconsidérer leurs politiques internes, notamment en matière de sécurité de l'information, de continuité d’activité, de réponse aux incidents et de reprise d’activité,
• Mettre en œuvre les dispositifs permettant de documenter les fonctions métier supportées par l’informatique (avec les rôles et responsabilités, les actifs informationnels et techniques, les interdépendances, l’exposition aux risques IT et la détection des activités atypiques) et d’établir un processus de révision annuelle de ces classifications et scénarios de risques applicables,  
• Identifier tous les fournisseurs de services TIC ainsi que les contrats associés. 

Pour les prestataires de services informatiques, il importe de pouvoir : 

• Evaluer la probabilité de leur désignation en tant que prestataire de services tiers TIC critiques en vertu de DORA et de se préparer à participer pleinement aux inspections, audits et autres enquêtes menées par le régulateur ; 
• Déterminer dans quelle mesure leurs obligations contractuelles peuvent nécessiter des mises à jour de politiques et procédures et ce, quel que soit le résultat de la désignation.

Cette indispensable analyse des écarts entre l’existant et les obligations DORA permettra de définir la stratégie la plus efficiente de mise en conformité. Aujourd’hui, l’objectif pour tous les acteurs concernés est de se doter d’un rétroplanning réaliste et adapté à leurs enjeux de cyber résilience.