Digital Operational Resilience Act (DORA) : mesures contraignantes d’ici à janvier 2025.
Il est bien connu que le secteur financier est celui que la cybercriminalité affectionne le plus et qu’il est particulièrement vulnérable aux attaques.
Un risque qui a augmenté de manière exponentielle en raison des changements dans le secteur bancaire, des nouvelles initiatives numériques et des monnaies numériques désormais utilisées dans de nombreuses transactions.
C’est pourquoi les institutions elles-mêmes ont jugé nécessaire de réglementer par des mesures appropriées un sujet de plus en plus complexe et risqué.
En première ligne sur ce front, on trouve, une fois de plus, laL’Union européenne qui a émis le DORA (Loi sur la résilience opérationnelle numérique), dans le but d’aborder pleinement la question des Gestion des risques liés aux TIC dans le secteur des services financiers et harmoniser les réglementations existantes en matière de gestion des risques liés aux TIC dans les différents États membres de l’UE.
Avec le règlement DORA, l’UE vise à établir un cadre universel pour la gestion et l’atténuation des risques liés aux TIC dans le secteur financier.
L’objectif est d’éliminer les lacunes, les chevauchements et les conflits qui pourraient survenir entre les différentes réglementations des différents pays de l’UE en harmonisant les règles de gestion des risques dans toute l’Europe.
En effet, un ensemble commun de normes peut faciliter la mise en conformité des entités financières et, dans le même temps, améliorer la résilience de l’ensemble du système financier européen en garantissant que tous les acteurs adhèrent aux mêmes normes.
Cette mesure, proposée pour la première fois en septembre 2020 par la Commission européenne, fait partie d’un paquet plus large sur la finance numérique qui comprend également des initiatives visant à réglementer les crypto-monnaies et à améliorer la stratégie globale de l’UE en matière de finance numérique.
Le Conseil de l’Union européenne et le Parlement européen ont formellement adopté le DORA en novembre 2022, le 27 décembre 2022 il a été publié au Journal officiel et le 16 janvier 2023 il est entré en vigueur.
Les entités financières et les fournisseurs de services TIC tiers ont jusqu’au 17 janvier 2025 pour se conformer aux exigences, date à laquelle le règlement deviendra contraignant.
Le règlement DORA s’applique à toutes les institutions financières de l’UE, y compris les entités financières traditionnelles, telles que les banques, les sociétés d’investissement, les établissements de crédit, ainsi que les entités non traditionnelles, telles que les fournisseurs de services de crypto-monnaies et les plateformes de crowdfunding, les fournisseurs de services en nuage et les centres de données.
Les entreprises qui fournissent des services d’information critiques à des tiers, tels que les services de notation et d’analyse de données, sont également concernées par le règlement.
Après l’échéance de janvier 2025, ce sont les autorités réglementaires désignées dans chaque État membre qui gèreront sa mise en œuvre. Ces autorités compétentes peuvent exiger des entités financières qu’elles prennent des mesures de sécurité spécifiques et qu’elles corrigent toute vulnérabilité. Ils peuvent également imposer des sanctions administratives et, dans certains cas, pénales aux entités qui ne respectent pas les règles. Les sanctions seront décidées par chaque État membre et peuvent s’élever à 1 % du chiffre d’affaires journalier moyen mondial enregistré au cours de l’année précédente par la partie sanctionnée.
Des amendes peuvent être imposées quotidiennement pendant une période pouvant aller jusqu’à six mois, jusqu’à ce que le fournisseur se mette pleinement en conformité.
Les 6 piliers du règlement
Les mesures de DORA sont divisées en 6 domaines principaux qui doivent être des points indispensables à améliorer ou à mettre en œuvre par les entreprises et les organisations :
- Gouvernance des TIC.
L’objectif est de favoriser une meilleure harmonisation des stratégies de gestion des risques liés aux TIC par les entités financières. L’organe de gestion jouera un rôle clé dans l’attribution des responsabilités et des rôles pour toutes les fonctions liées aux TIC, dans le contrôle et la surveillance de la gestion des risques liés aux TIC et, enfin, dans l’attribution appropriée des investissements et de la formation en matière de TIC ; - Gestion des risques liés aux TIC.
Dans ce contexte, l’objectif est d’améliorer et d’harmoniser les règles de gestion des risques liés aux TIC. Les entités financières devront mettre en place et maintenir des outils et des systèmes TIC résilients en identifiant les risques liés aux TIC, en prévoyant des mesures de protection et de prévention, en détectant les menaces, en gérant les incidents et en mettant en œuvre des stratégies de continuité des activités et des plans de reprise après sinistre ; - Gestion des incidents.
Elle prévoit des obligations spécifiques en matière de gestion des incidents liés aux TIC. Les organisations du secteur devront mettre en place un système de cartographie, dans lequel les différents incidents seront classés sur la base des critères décrits dans le règlement et définis par les AES (autorités européennes de surveillance) pour spécifier les seuils de matérialité ; - Test de résilience.
C’est la grande nouveauté, car il est précisé que les entités financières devront être testées périodiquement pour vérifier leur degré de maturité, identifier les faiblesses et définir d’éventuelles mesures correctives. Une mesure qui souligne l’objectif du régulateur d’adopter une approche proactive qui ne se limite pas à des mesures correctives « de réaction ». À ce stade, les tests de pénétration et, plus généralement, les activités deRed-Teaming ne devraient être effectués que par des parties autorisées et dûment certifiées. À cet égard, le cadre fourni par la Communauté européenne, c’est-à-dire le TIBER EU, transposé en Italie sous le nom de TIBER IT, également adopté par la Banque d’Italie, la Consob et l’IVASS, peut être utilisé pour effectuer ces tests. - Risques liés aux tiers.
Dans ce domaine, le régulateur précise que les différentes entités devront veiller au respect des normes applicables à la surveillance des risques TIC provenant de tiers et harmoniser les éléments essentiels du service dans toutes les phases du contrat : conclusion, exécution, résiliation et phase post-contractuelle ; - Partage de l’information.
Il s’agit ici de pallier le manque de communication entre les différentes entités de la Communauté européenne. En effet, les organisations financières sont autorisées à conclure des accords d’échange d’informations et de données sur les cybermenaces afin de renforcer la coopération entre les États membres.
Après la date du 17 janvier 2025, toutes les parties prenantes devront donc prendre certaines mesures techniques et organisationnelles.
En particulier, les institutions financières concernées sont principalement invitées à adopter un processus de gestion des risques liés aux TIC, dans le but d’identifier les cyber-risques de manière préventive et de minimiser l’impact des cyber-incidents.
Cette charge incombe à l’organe de direction de l’entreprise, qui est appelé à assumer « l’entière et ultime responsabilité » :
- Gestion des risques liés aux TIC ;
- la définition et l’approbation de la stratégie de résilience opérationnelle numérique ;
- l’examen et l’approbation de la politique de l’entreprise concernant l’engagement de fournisseurs tiers pour les services TIC.
Tous les acteurs couverts par le règlement DORA doivent donc se préparer à le mettre en œuvre d’ici janvier 2025 en développant ou en mettant à jour leurs procédures de déclaration d’incidents conformément aux nouvelles mesures. Il s’agit d’une série de tâches que les entités financières sont tenues d’accomplir afin de garantir un niveau élevé de résilience opérationnelle numérique et qui représentent un champ de connaissances supplémentaire qu’il convient d’acquérir et de gérer.
Parmi ceux-ci, une grande importance est accordée à la formation et à la sensibilisation que les différentes entités financières devront mettre en place de manière systémique.
Conformément au point 6 de l’article 13 fondamental du règlement, des modules de formation obligatoires à la sécurité des TIC doivent être proposés au personnel.
Ces programmes de formation doivent s’appliquer à tous les employés et au personnel d’encadrement, et leur niveau de complexité doit correspondre au mandat de leurs fonctions. Le cas échéant, les entités financières devraient également inclure des prestataires de services TIC tiers dans leurs programmes de formation.
La formation est donc un pilier de cette nouvelle législation, qui est nécessaire non seulement pour rendre les personnes concernées inattaquables sur le plan de la sécurité informatique, mais aussi sur le plan juridique et pour éviter des sanctions désagréables.
