Le règlement européen dit DORA (Digital Operational Resilience Act) est entré en vigueur au début de cette année et sera appliqué par tous les États membres le 17 janvier 2025. A cette date, les acteurs financiers, au sens le plus large, devront répondre de nouvelles obligations organisées en cinq piliers, conçues pour favoriser leur résilience numérique et le système financier dans son ensemble. Compte tenu de l’imminence de cette échéance, des mesures rapides doivent être prises dès aujourd’hui.
En 2008, le monde a été secoué par une crise financière d’une ampleur sans précédent, dépassant la gravité des bouleversements importants du passé, tels que le fameux jeudi noir de 1929. Le système financier mondial, entrelacé par des connexions complexes et dominé par des acteurs influents sur de multiples marchés, a succombé à un effet domino dans lequel l’effondrement d’une institution a rapidement déclenché la chute des autres. Aujourd’hui, le monde hyper-numérique des institutions financières constitue une menace encore plus grande : si le système d’information d’un acteur clé venait à tomber en panne, l’effondrement du système pourrait être quasi instantané et d’une ampleur sans précédent.
Dans ce contexte, le Digital Operational Resilience Act (DORA) vise à garantir la résilience des institutions financières et de leurs tiers associés dans un secteur 100% numérique et soumis à des cybermenaces constantes. DORA est un nouveau règlement européen qui impose aux entreprises et organisations du secteur financier de gérer toutes les composantes de la résilience opérationnelle : la capacité à protéger, détecter, contenir, récupérer et réparer les incidents TIC.
Au total, ce ne sont pas moins de 22 000 organisations qui seront impactées par cette réglementation.
Pour répondre aux obligations imposées par la DORA, les institutions financières et leurs tiers doivent mettre en œuvre et documenter une série de mesures autour de leurs Technologies de l’Information et de la Communication (TIC) qui peuvent être catégorisées en 4 grands thèmes. D’ici le 17 janvier 2025, ces 22 000 entreprises doivent s’assurer que tous les préparatifs nécessaires sont en place pour remplir leurs obligations en vertu de ces lignes directrices.
1 – Mettre en place un système de gestion des risques TIC (Pilier 1)
Le premier pilier du DORA est le plus important : il sert de fondation dont dérivent tous les autres éléments. C’est aussi l’un des plus complexes, car il nécessite une approche globale basée sur une connaissance fine de l’entreprise, de ses opérations et de ses processus (notamment les plus critiques), et surtout de son architecture technologique (systèmes et applications supportant ces processus). ).
Une fois ce système de gestion des risques mis en place, la DORA impose une obligation de contrôle, qui peut être effectuée en continu ou à des fréquences prédéfinies. Ces contrôles très détaillés couvrent les aspects commerciaux et procéduraux, ainsi que la couche technologique, jusqu’à la plus petite application impliquée dans un processus critique. Si la plupart des institutions financières disposent déjà de tels contrôles, il convient de noter que des contrôles informatiques spécifiques au DORA seront nécessaires pour assurer la pleine conformité à cette nouvelle réglementation.
Dans un sens plus large, il y aura un besoin accru d’une collaboration plus étroite entre les équipes de risque et de contrôle et le service informatique.
2 – Identifier et contrôler les tiers (Pilier 5)
Conscient de la complexité croissante des systèmes d’information financière et de leur multitude d’entités, d’applications et d’infrastructures, le régulateur européen a élargi le champ des obligations de prudence aux services tiers intégrés au sein de ces architectures. Cela englobe non seulement les partenaires commerciaux qui sont intrinsèquement soumis au DORA, mais également tous les partenaires technologiques.
Les éditeurs d’applications, les fournisseurs de cloud et autres fournisseurs de services gérés (MSP) seront impactés par la nouvelle réglementation européenne. Plus précisément, concernant les termes de l’accord de niveau de service (SLA) et la sécurité qu’ils offrent. De plus, il sera crucial d’établir des plans d’urgence pour des tiers de substitution en cas de panne du système ou de failles de sécurité.
La concentration des services au sein d’un seul tiers peut constituer un risque en soi : que se passe-t-il si le principal (voire le seul) fournisseur de services cloud est attaqué ? C’est pourquoi il peut être intéressant pour les institutions financières de développer une stratégie multi-fournisseurs pour limiter les risques (et les dommages) en cas d’attaque ou de défaillance d’un tiers clé.
3 – Testez régulièrement vos capacités de continuité (Pilier 3)
La conscience du risque dans le secteur financier n’a rien de nouveau. La continuité des activités et la menace d’un effet domino ont conduit la plupart des institutions à élaborer des plans d’urgence pour leurs processus clés. Ce sont des solutions utiles, voire vitales, à condition qu’elles soient régulièrement testées pour garantir qu’elles continueront à fonctionner correctement lorsque les situations se détériorent.
Les capacités de cybersécurité doivent être constamment testées et mises à jour pour contrer les cybermenaces en constante évolution. La cybersécurité est une discipline vivante qui nécessite des tests et des mises à jour continus dans cette quête incessante de protection des données sensibles et des actifs numériques. Pour les institutions financières, l’impératif consiste à établir un plan d’investissement continu et à favoriser une véritable agilité pour maintenir des systèmes de cybersécurité de pointe afin de se protéger contre les logiciels malveillants les plus récents et les plus sophistiqués.
4 – Signaler et partager les incidents (Pilier 2 et 4)
Enfin, le DORA – à l’instar du règlement RGPD mis en place il y a quelques années – impose une nouvelle obligation aux acteurs du secteur financier : tenir un registre complet des incidents servant de piste d’audit fiable en cas de contrôle réglementaire. Mais pas seulement, en cas d’incident majeur, ce registre servira de preuve que des actions préventives ont été mises en œuvre de manière proactive pour assurer la résistance du SI et sa résilience opérationnelle globale.
Parallèlement, les incidents majeurs doivent être signalés aux autorités de contrôle. Au-delà de l’identification des risques potentiels de propagation, l’objectif principal est de constituer une base de connaissances sur les cyberattaques, les actes malveillants et les menaces. Cette base de connaissances peut ensuite être partagée avec les acteurs du secteur pour identifier les meilleures pratiques pouvant être déployées pour limiter l’impact de telles menaces.
Ce partage de connaissances clair et facile à comprendre s’applique également en interne, en établissant un cadre de communication compréhensible par la plupart des collaborateurs. Il est important de reconnaître que la résilience opérationnelle est l’affaire de tous. Cela vaut pour les parties prenantes clés telles que la Direction Générale, la Direction des Risques (souvent fusionnée avec la Direction de la Continuité d’Activité), la Direction des Systèmes d’Information ou de la Sécurité des Systèmes d’Information et la Direction des Achats.
Même si la résilience opérationnelle et la cybersécurité restent éminemment techniques sur le fond, les conséquences d’un incident s’étendent bien au-delà des limites de l’entreprise, en raison de l’effet d’entraînement potentiel. La résilience des systèmes d’information et la résilience globale des entreprises sont devenues des préoccupations hautement stratégiques qui trouvent désormais leur place dans les discussions des comités de direction, même
