REGLEMENT DORA 2025 : derrière cet acronyme ultrasimple à retenir, se cache un nouveau cadre réglementaire, le Digital Operational Resilience Act. Adoptées fin 2022 par le Conseil de l’Union européenne et applicables dès janvier 2025, ses dispositions visent à renforcer la résilience du secteur financier vis-à-vis des risques liés à la cybersécurité et à assurer un meilleur contrôle du secteur sur l’externalisation des services informatiques. La résilience numérique peut se définir comme la capacité d’une organisation à résister, s’adapter et se rétablir dans les meilleures conditions vis-à-vis de dysfonctionnements et/ou de cyberattaques qui toucheraient ses systèmes d’information.
Introduction au Digital Operational Resilience Act
Origines et contexte de la législation
Ce nouveau cadre réglementaire se justifie pour au moins trois raisons : tout d’abord, la numérisation croissante du secteur et notamment des transactions financières, y compris pour les paiements au quotidien. Ensuite, une interconnexion de plus en plus poussée entre les systèmes financiers au niveau global. Enfin, une recrudescence exponentielle des cyberattaques qui figurent en tête des risques les plus redoutés par les entreprises, selon un baromètre de l’assureur Allianz 2024 ! Avec bien sûr des impacts financiers toujours plus lourds et des conséquences catastrophiques pour la réputation des établissements financiers.
Objectifs clés de DORA
Les objectifs clés du Digital Operational Resilience Act (DORA) sont :
- Renforcer la capacité du secteur financier à prévenir, absorber et se remettre de toutes les formes de perturbations informatiques.
- Harmoniser les règles relatives à la sécurité numérique pour les entités financières dans l’Union européenne.
- Établir des exigences strictes pour la gestion des risques liés aux technologies de l’information et de la communication (TIC) au sein des institutions financières.
- Imposer des tests de résilience pour évaluer la capacité des entités financières à résister à des incidents de sécurité numérique.
- Faciliter le partage d’informations et d’intelligence sur les menaces numériques entre les acteurs financiers.
- Régir la gestion des relations contractuelles avec les prestataires de services de TIC tiers, y compris les fournisseurs de services cloud.
- Renforcer les obligations de déclaration en matière d’incidents liés à la cybersécurité, en assurant une notification rapide et efficace des incidents majeurs.
- Assurer une supervision et une coordination efficaces entre les autorités nationales de surveillance et les instances d’application de la loi à travers l’UE pour une meilleure réponse intégrée aux crises numériques.
Quel est l’Impact de DORA sur les institutions financières de l’UE ?
L’impact du règlement sur la résilience opérationnelle numérique (DORA) sur les institutions financières de l’UE est significatif et multidimensionnel. D’abord, il imposera aux entités concernées de renforcer leur cybersécurité et leurs processus de gestion des risques TIC, augmentant ainsi leur résilience face aux cyberattaques et dysfonctionnements informatiques. De plus, les exigences de DORA en matière de tests de résilience permettront d’identifier et de corriger les vulnérabilités avant qu’elles ne puissent être exploitées. La mise en place d’un cadre de partage d’information sur les menaces améliorera la capacité collective du secteur financier à répondre aux incidents et menaces émergentes. En outre, la réglementation sur la gestion des risques liés aux tiers prestataires de services TIC assurera un contrôle et une surveillance améliorés sur les chaînes d’approvisionnement numériques. Enfin, la conformité à DORA constituera une assurance pour les consommateurs et les investisseurs de la solidité et la fiabilité des infrastructures financières face aux risques numériques.
Les délais d’application du règlement DORA
Les délais d’application et dates clés concernant le Digital Operational Resilience Act (DORA) sont les suivants :
- Adoption de la loi DORA : Le règlement a été proposé pour renforcer la résilience opérationnelle numérique au sein du secteur financier européen.
- Entrée en vigueur officielle : DORA devra être mis en œuvre à partir du 17 janvier 2025.
Voici quelques étapes importantes que les institutions financières doivent anticiper pour se préparer à la mise en œuvre de DORA :
- Période de préparation : Entre la publication de la loi et le 17 janvier 2025, les institutions financières sont censées analyser et adapter leurs procédures pour répondre aux exigences de DORA. C’est aussi une période propice pour eux de simplifier et renforcer leurs architectures de sécurité numérique en conséquence.
- Mise en conformité : Les entités financières doivent être pleinement conformes aux exigences du DORA à sa date d’application. Cela impliquera des mises à jour des politiques, des procédures d’audit interne, des tests de résilience, et une révision des contrats avec des prestataires tiers de services TIC.
Ces délais sont cruciaux pour que les institutions financières se préparent et mettent en œuvre les pratiques requises, garantissant ainsi la conformité avec les directives du règlement européen sur la résilience opérationnelle numérique (DORA), essentielle pour renforcer leur capacité à faire face aux défis informatiques et cybernétiques contemporains.
Gestion des risques TIC selon DORA
Identification et évaluation des risques
Une chose est sûre : quel que soit le niveau de maturité des établissements financiers en cybersécurité, il va falloir investir ! Car on peut admettre que, même dans ce secteur, les postulats de la cybercriminalité s’appliquent :
- Tout système numérique comporte au moins une faille (technique, humaine, organisationnelle, procédurale…).
- Chaque faille est susceptible d’être découverte en interne ou en externe (par un pirate, un client, un collaborateur, un partenaire).
- Si une faille est susceptible d’être découverte, elle le sera un jour ou l’autre. Hélas, on ne sait jamais quand !
- Quiconque a accès à cette faille sera tenté de l’utiliser à son profit surtout si les gains financiers potentiels sont élevés ! Y compris en interne, car, quelquefois, l’éthique et l’honnêteté ont des limites…
- Si les risques sont nuls ou faibles, cette faille sera exploitée, d’autant plus vite que l’enjeu financier est significatif.
Stratégies de prévention et mesures de protection dans le cadre DORA
Dans le cadre du Digital Operational Resilience Act (DORA), les stratégies de prévention et les mesures de protection pour les institutions financières de l’Union européenne doivent comprendre:
- Évaluation exhaustive des risques TIC : Conduire des analyses de risques régulières pour identifier et évaluer les vulnérabilités potentielles au sein de l’organisation.
- Politique de sécurité TIC robuste : Développer et mettre en œuvre des politiques de sécurité informatique qui couvrent tous les aspects de la technologie, y compris l’accès aux données, l’utilisation des dispositifs, et la sécurité des réseaux.
- Gouvernance des TIC : Mettre en place une gouvernance qui définit clairement les rôles et les responsabilités en matière de gestion des TIC et de résilience opérationnelle.
- Formation et sensibilisation : Assurer une formation continue du personnel sur les meilleures pratiques de cybersécurité et renforcer la culture de la sécurité au sein de l’organisation.
- Mesures de cybersécurité : Implémenter des solutions technologiques avancées pour la détection des intrusions, la prévention, et la gestion des incidents.
- Plans de réponse aux incidents : Établir des procédures d’intervention et de récupération pour réagir efficacement aux incidents de sécurité TIC.
- Tests de résilience : Réaliser des tests de résilience tels que des tests de pénétration et des exercices de simulation d’incident pour évaluer la capacité de l’organisation à résister et à récupérer de diverses attaques ou pannes.
- Audit et revue régulière : Mener des audits de sécurité pour s’assurer que les mesures de protection sont efficaces et respectent les dernières normes et réglementations.
- Gestion des fournisseurs et des tiers : Évaluer et gérer les risques associés aux fournisseurs de services TIC et à d’autres partenaires externes.
Ces mesures doivent être envisagées comme faisant partie d’un programme de résilience opérationnelle globale et intégrée, aligné sur les exigences de DORA pour assurer une préparation adéquate contre les risques TIC dans le secteur financier européen.
Collaboration et partage d’informations sur les menaces
En vertu du Digital Operational Resilience Act (DORA), la collaboration et le partage d’informations sur les menaces dans le secteur financier sont devenus une priorité pour renforcer la sécurité des infrastructures financières de l’Union européenne. Voici quelques points clés relatifs à cette collaboration :
Mécanismes de partage au sein du secteur financier :
- Plateformes de Partage d’Informations et de Signalement (ISACs) : Ces structures permettent aux institutions financières d’échanger des informations sur les cybermenaces et les vulnérabilités en temps réel.
- Cadres de collaboration réglementaires : DORA pourrait encourager la création de cadres formels pour faciliter le partage d’informations entre entités réglementées et autorités nationales de surveillance.
- Partenariats public-privé : Ces partenariats visent à unir les efforts entre le secteur financier et les gouvernements ou les organismes de régulation.
Importance de la coopération inter-entreprises :
- Réponse coordonnée aux incidents : La coopération permet une réaction plus rapide et plus efficace lors d’incidents majeurs, en partageant des connaissances et des ressources.
- Amélioration continue des pratiques de cybersécurité : Les entreprises peuvent apprendre les unes des autres et adopter les meilleures pratiques sectorielles, en élevant le niveau de sécurité dans tout le secteur.
- Réduction des risques systémiques : En partageant des informations sur les menaces et les vulnérabilités, les entreprises contribuent à réduire la probabilité d’événements qui pourraient affecter le système financier dans son ensemble.
Relations et gestion des prestataires tiers de services TIC
Le Digital Operational Resilience Act (DORA) définit des exigences précises concernant les relations et la gestion des prestataires tiers de services des technologies de l’information et de la communication (TIC), notamment en termes de due diligence et de cadre contractuel, ainsi que sur la supervision et l’évaluation des performances. Voici quelques points clés :
Due diligence et cadre contractuel :
- Évaluations de due diligence approfondies : Avant d’établir des relations avec des prestataires tiers de services TIC, les institutions financières doivent effectuer des vérifications de due diligence pour s’assurer de la fiabilité et de la solidité de ces prestataires.
- Clauses de résilience opérationnelle : Les contrats doivent inclure des termes spécifiques qui garantissent que le prestataire respecte les normes de sécurité et de résilience opérationnelle exigées par DORA.
- Plans de continuité des activités et de sortie : S’assurer que des plans d’urgence et des stratégies de sortie sont en place pour réduire la dépendance vis-à-vis des prestataires tiers.
Supervision et évaluation des performances :
- Suivi constant et évaluation des risques associés : Les institutions doivent continuellement surveiller les risques liés aux services TIC fournis par des tiers pour détecter toute évolution qui pourrait affecter la résilience.
- Exercices réguliers d’audit et d’examen des prestataires tiers : Mener régulièrement des audits et des revues pour évaluer les risques
Préparation à l’entrée en vigueur de DORA
Pour préparer l’entrée en vigueur du Digital Operational Resilience Act (DORA), les entités financières de l’Union européenne doivent adopter une série de mesures pour assurer leur conformité avec la nouvelle réglementation. Nous proposons une checklist indicative des étapes que ces entités pourraient suivre :
Checklist de conformité pour les entités financières :
- Analyse de l’impact de DORA : Comprendre les implications de DORA pour l’entreprise et l’alignement des pratiques actuelles avec les exigences du règlement.
- Audit des systèmes TIC existants : Évaluer l’infrastructure actuelle pour identifier les domaines nécessitant des améliorations ou des mises à jour pour respecter les critères de résilience opérationnelle.
- Formation et sensibilisation : Organiser des sessions pour former le personnel sur les nouvelles exigences réglementaires et les meilleures pratiques en matière de résilience opérationnelle.
- Révision des politiques de gestion des risques : Mettre à jour les politiques de gestion des risques en y incluant les risques numériques et en établissant des protocoles clairs de réponse aux incidents.
- Renforcement des mesures de cybersécurité : Installer ou augmenter les défenses contre les cybermenaces, notamment par le cryptage, la surveillance en temps réel, et les systèmes de détection d’intrusion.
- Tests de résilience et exercices de simulation : Effectuer régulièrement des tests pour évaluer la capacité de l’entreprise à résister et à se remettre des incidents cybernétiques.
- Contrôle et révision des fournisseurs TIC tiers : Procéder à des évaluations de due diligence et des revues régulières des fournisseurs tiers pour s’assurer de leur conformité avec les exigences de DORA.
- Établissement de plans de continuité d’activité : Élaborer des plans de continuité robustes pour garantir une réponse efficace en cas de perturbation significative.
- Rapports et obligations de déclaration : S’assurer d’avoir les bons systèmes et processus en place pour respecter les exigences de déclaration de DORA.
Ressources et accompagnement disponibles :
- Lignes directrices de l’Autorité Bancaire Européenne (EBA) : Consulter les lignes directrices et les documents de l’EBA pour des conseils sur l’application pratique de DORA.
- Conseillers en cybersécurité : Engager des spécialistes pour obtenir des conseils sur les meilleures stratégies de mise en conformité et de résilience opérationnelle.
- Outils de conformité et logiciels de gestion des risques : Investir dans des outils technologiques comme ceux de Ap Solutions IO qui peuvent aider à suivre les contrôles de conformité et de gestion des risques TIC.
- Ateliers et formation : Participer à des ateliers, webinaires et séminaires pour mieux comprendre DORA et ses impacts.
Les concepteurs de la règlementation DORA l’ont bien compris : il est essentiel de détecter et d’alerter au plus vite. A l’échelle des organisations financières, il n’est pas (plus) raisonnable de travailler de façon artisanale mais urgent d’identifier les événements anormaux et les transactions sensibles de manière automatisée tout en limitant les faux positifs. Heureusement des solutions logicielles (par exemple AP Filter ou AP Scan) rendent cette détection instantanée (et configurable), avec une automatisation de l’ensemble du processus et des alertes tout en facilitant le reporting règlementaire.
A terme, les entreprises les moins préparées associeront le sigle DORA à la « Difficulté à Organiser la Réponse aux Attaques ». Mais les plus optimistes, équipées des bonnes solutions logicielles, y verront un moyen de « Démultiplier les Opportunités d’une Résilience Approfondie » !