1. Les objectifs du nouveau règlement
Si, depuis le début de la pandémie, les établissements bancaires ont montré une forte capacité de résistance au travers de leurs plans de continuité d’activité, cela n’a pas empêché les cyberattaques de se multiplier. La BCE a ainsi classifié la cybercriminalité et les incidents informatiques parmi les risques les plus importants et croissants pour le système bancaire.
D’un point de vue réglementaire, en matière de résilience opérationnelle numérique, l’absence de règles détaillées et exhaustives au niveau de l’Union Européenne (UE) ainsi que le manque de coordination entre les initiatives nationales, ont engendré des incohérences, des exigences redondantes et donc des coûts de mise en conformité élevés pour les entités financières.
Dans ce contexte, le règlement DORA « Digital Operational Resilience Act » 2022/2554 vise à harmoniser et renforcer les exigences encadrant les risques opérationnels numériques au niveau européen, en mettant en place un cadre de Gouvernance et de Contrôle Interne spécifiques pour les acteurs des services financiers.
Il définit la résilience opérationnelle numérique comme étant la capacité d’une entité financière à garantir sa fiabilité opérationnelle en assurant l’intégralité des capacités liées aux Technologies de l’Information de Communication (TIC) nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, y compris en cas de perturbations.
Il rentrera en vigueur 24 mois après son adoption initiale soit à la fin de l’année 2024. Il concernera le secteur bancaire au sens large (établissements de crédit, de paiement, de monnaie électronique, entreprises d’investissement), les organismes d’assurance ainsi que les infrastructures et acteurs des marchés financiers.
Les principes de ce règlement :
Le règlement DORA s’appuie sur 4 principaux piliers :
- La gouvernance et la gestion des risques informatiques.
- La déclaration des incidents majeurs liés aux technologies.
- Les tests de résilience opérationnelle informatique.
- La gestion du risque de tiers.
1.1. Gouvernance et gestion du risque informatique
Au-delà de la simple maîtrise des Risques Opérationnels, le règlement impose la mise en œuvre d’une stratégie de résilience opérationnelle informatique ainsi que d’un cadre complet de gestion des risques liés aux TIC, sous la pleine responsabilité de l’organe de direction des institutions financières.
Obligation étant aussi faite pour les membres de la direction de disposer d’une formation spécifique pour comprendre et évaluer les risques informatiques.
Notons qu’en la matière, le respect des principes définis dans la notice de l’ACPR de juillet 2021, relative à la gestion du risque informatique pour les entreprises du secteur de la banque, des services de paiement et de services d’investissement devrait déjà constituer une première base pour la mise en place de ces obligations.
1.2. Gestion des incidents
Le règlement a pour objectif d’assurer une surveillance, un traitement et un suivi cohérent des incidents liés à l’informatique au travers de reportings applicables à l’ensemble des entités financières (en substitution du reporting NIS).
Les échanges d’informations entre établissements, sur base du volontariat, sont également encouragés.
La taxonomie et la classification des incidents constitueront donc un enjeu essentiel de la mise en conformité en la matière.
1.3. Tests de résilience opérationnelle
Le règlement DORA définit un programme de tests de résilience numérique afin d’identifier les insuffisances éventuelles et ainsi d’adopter rapidement des mesures correctives.
Les entités financières devront soumettre tous les systèmes et applications informatiques critiques à des tests au moins une fois par an. Plus spécifiquement pour les entités financières identifiées comme importantes par les autorités compétentes, des tests de pénétration fondés sur la menace (Threat led penetration testing – TLTP) seront exigés. Ils consistent en une tentative de compromettre la cyberrésilience d’une entité en simulant les tactiques, les techniques et les procédures utilisées par de vrais pirates informatiques. Ces tests sur les systèmes critiques et en environnement de production, se fondent sur des renseignements ciblés concernant les menaces à l’encontre d’une entité, des personnes qu’elle emploie, des processus qu’elle met en œuvre et des technologies qu’elle utilise.
Ces tests seront donc complémentaires à ceux déjà mis en œuvre en matière de PUPA (Plan d’Urgence et de Poursuite d’Activité) et aux exercices de gestion de crise, l’objectif de DORA visant davantage des tests de pénétration que des tests traditionnels de résilience opérationnelle.
1.4. Gestion du risque de tiers
Si les principes introduits par DORA rejoignent un certain nombre d’obligations préexistantes en matière de Gestion des Prestations Essentielles Externalisées et/ou de Prestations Critiques au sens de l’EBA (Risk Assesment, concentration, obligations contractuelles, registre, etc.), le périmètre est cependant étendu à l’ensemble des prestataires tiers de services informatiques (risque de tiers plutôt que d’externalisation).
La surveillance des prestaires Critiques à l’échelle européenne, sous la Direction d’un des AES, constituera également une avancée majeure en la matière.
Les entités financières doivent se préparer dès maintenant à ces nouvelles obligations :
- En initiant les premières actions d’évaluation de leur cadre de Gouvernance actuel, en lien avec toutes les initiatives déjà mises en œuvre sur les sujets liés aux orientations de l’EBA et de l’ACPR notamment (Risque Opérationnel, Plan de Continuité d’Activité et Gestion de Crise, PSEE, Gestion du Risque Informatique, etc.).
- En suivant le développement des standards techniques et orientations attendues en 2023 et 2024.
2. Références
Règlement DORA « Digital Operational Resilience Act » 2022/255.
Orientations relatives à l’externalisation de l’ABE du 25/02/2019.
Notice de l’ACPR de juillet 2021, relative à la gestion du risque informatique pour les entreprises du secteur de la banque, des services de paiement et de services d’investissement.
Formation en lien ” DORA : Quelles exigences, quels impacts pour votre organisation et comment vous y préparer“