Le Digital Operational Resilience Act, ou DORA, est un règlement de l’Union européenne (UE) qui crée un cadre contraignant et exhaustif en ce qui concerne la gestion des risques liés aux technologies de l’information et de la communication (TIC) pour le secteur financier de l’UE. Le règlement DORA instaure des normes techniques que les entités financières et leurs fournisseurs de services technologiques tiers critiques doivent mettre en œuvre au sein de leurs systèmes TIC avant le 17 janvier 2025.
Le règlement DORA a deux objectifs principaux : traiter de manière exhaustive la gestion des risques TIC dans le secteur des services financiers et harmoniser les réglementations déjà existantes en la matière dans les États membres de l’UE.
Avant DORA, les réglementations en matière de gestion des risques pour les institutions financières de l’UE visaient principalement à garantir que les entreprises disposaient de suffisamment de capital pour couvrir les risques opérationnels. Bien que certains régulateurs de l’UE aient publié des lignes directrices sur les TIC et la gestion des risques de sécurité (lien externe à ibm.com), celles-ci ne s’appliquaient pas à toutes les entités financières de la même manière. En outre, elles reposaient souvent sur des principes généraux plutôt que sur des normes techniques spécifiques. En l’absence de règles de gestion des risques TIC au niveau de l’UE, les États membres ont émis leurs propres exigences, créant un patchwork de réglementations dans lequel les entités financières ont bien du mal à se retrouver.
Avec le règlement DORA, l’UE vise à établir un framework universel pour la gestion et l’atténuation des risques TIC dans le secteur financier. En harmonisant les règles de gestion des risques dans toute l’UE, le règlement DORA cherche à éliminer les écarts, les redondances et les conflits qui pourraient survenir entre des réglementations disparates dans différents États de l’UE. Si les entités financières disposent d’un ensemble commun de règles, il pourrait être plus simple pour elles de s’y conformer. Cela améliorerait également la résilience de l’ensemble du système financier de l’UE en veillant à ce que chaque institution soit soumise à la même norme.
Le règlement DORA s’applique à toutes les institutions financières de l’UE. Il concerne aussi bien les entités financières traditionnelles, telles que les banques, les sociétés d’investissement et les institutions de crédit, que les entités non traditionnelles, comme les fournisseurs de services de crypto-actifs et les plateformes de crowdfunding.
Le règlement DORA s’applique également à certaines entités généralement exclues des réglementations financières. Par exemple, les fournisseurs de services tiers TIC qui proposent aux sociétés financières des systèmes et services TIC, comme les fournisseurs de services cloud et les centres de données, doivent respecter les exigences DORA. Le règlement concerne également les entreprises qui fournissent des services de renseignements essentiels, comme les services de notation de crédit et les fournisseurs d’analyse de données.
DORA a été proposé pour la première fois par la Commission européenne (la branche exécutive de l’UE responsable de l’élaboration de la législation) en septembre 2020. Il s’inscrit dans un ensemble plus vaste de mesures relatives à la finance numérique, qui comprend également des initiatives visant à réglementer les crypto-actifs et à renforcer la stratégie globale de l’UE en matière de finance numérique. Le Conseil de l’Union européenne et le Parlement européen (les instances législatives chargées d’approuver les lois de l’UE) ont officiellement adopté le règlement DORA en novembre 2022. Les entités financières et les fournisseurs de services TIC tiers ont jusqu’au 17 janvier 2025 pour se conformer au règlement DORA avant son entrée en vigueur.
Le règlement DORA a donc été officiellement adopté par l’UE, mais les Autorités européennes de surveillance (AES) continuent de peaufiner les détails importants. Les AES correspondent aux organismes de régulation qui supervisent le système financier de l’UE. Elles se composent de l’Autorité bancaire européenne (ABE), l’Autorité européenne des marchés financiers (AEMF), ainsi que l’Autorité européenne des assurances et des pensions professionnelles (AEAPP).
Les AES sont chargées de rédiger les normes techniques de réglementation et normes techniques d’exécution que les entités concernées qui doivent appliquer. Ces normes devraient être finalisées en 2024. La Commission européenne développe un cadre de surveillance pour les fournisseurs de TIC critiques, qui devrait également être finalisé en 2024.
Une fois les normes finalisées et l’échéance de janvier 2025 atteinte, leur application incombera aux régulateurs désignés au sein de chaque État membre de l’UE, appelés « autorités compétentes ». Les autorités compétentes peuvent exiger que les entités financières prennent des mesures de sécurité spécifiques et résolvent les vulnérabilités. Elles sont également en mesure d’imposer des sanctions administratives, et dans certains cas pénales, aux entités qui ne respectent pas les normes. Chaque État membre décidera de ses propres sanctions.
Les fournisseurs de TIC jugés comme « critiques » par la Commission européenne seront directement supervisés par des surveillants principaux (« lead overseers ») issus des AES. Comme les autorités compétentes, les surveillants principaux peuvent exiger des mesures de sécurité et de remédiation, ainsi que sanctionner les fournisseurs de TIC non conformes. DORA autorise les surveillants principaux à infliger des amendes aux fournisseurs de TIC d’un montant équivalant à 1 % du chiffre d’affaires mondial quotidien moyen du fournisseur au cours de l’exercice précédent. Les fournisseurs peuvent être condamnés à une amende quotidienne sur une période pouvant aller jusqu’à six mois, jusqu’à ce qu’ils se conforment à la réglementation.
Le règlement DORA établit des exigences techniques pour les entités financières et les fournisseurs de TIC dans quatre domaines : gestion et gouvernance des risques TIC, réponse aux incidents et reporting, tests de résilience et gestion des risques tiers.
Le partage d’informations est encouragé mais pas obligatoire.
Les exigences seront appliquées proportionnellement, ce qui signifie que les petites entités ne seront pas soumises aux mêmes normes que les grandes institutions financières. Bien que les normes techniques de réglementation et normes techniques d’exécution pour chaque domaine soient encore en cours d’élaboration, la législation DORA existante offre un aperçu des exigences générales.
Gestion et gouvernance des risques liés aux TIC
Le règlement DORA confie à l’organe de direction d’une entité la responsabilité de la gestion des TIC. Les membres du conseil d’administration, les dirigeants et les autres cadres supérieurs doivent définir des stratégies de gestion des risques appropriées, participer activement à leur application et d’actualiser leurs connaissances sur l’évolution des risques TIC. Les dirigeants peuvent également être tenus personnellement responsables de la non-conformité d’une entité.
Les entités concernées sont censées développer des cadres exhaustifs de gestion des risques TIC. Elles doivent cartographier leurs systèmes TIC, identifier et classer les ressources et fonctions critiques, ainsi que documenter les dépendances entre les ressources, les systèmes, les processus et les fournisseurs. Elles doivent également effectuer des évaluations continues des risques sur leurs systèmes TIC, documenter et classer les cybermenaces, ainsi que documenter les étapes employées pour atténuer les risques identifiés.
Dans le cadre du processus d’évaluation des risques, les entités doivent effectuer des analyses d’impact métier pour évaluer la façon dont des scénarios spécifiques et des perturbations graves pourraient affecter l’entreprise. Les entités doivent utiliser les résultats de ces analyses pour définir des niveaux de tolérance aux risques et concevoir leur infrastructure TIC en connaissance de cause. Les entités devront également mettre en place des mesures de cybersécurité appropriées, y compris des politiques (par exemple, gestion des identités et des accès (IAM), gestion des correctifs) et des contrôles ou solutions techniques (par exemple, XDR, SIEM et SOAR).
Les entités devront également établir des stratégies de continuité des activités et de reprise après incident pour divers scénarios de cyber-risques, tels que les défaillances de services TIC, les catastrophes naturelles et les cyber-attaques. Ces stratégies doivent inclure des mesures de sauvegarde et de restauration des données, des processus de restauration du système et des stratégies de communication avec les clients, partenaires et autorités concernés.
Les normes techniques de réglementation qui spécifient les éléments obligatoires du cadre de gestion des risques d’une entité seront partagées plus tard. Les experts pensent qu’elles seront similaires aux directives de l’ABE existantes en ce qui concerne la gestion des risques liés aux TIC et à la sécurité (lien externe à ibm.com).
Signalement des incidents
Les entités concernées doivent établir des systèmes de surveillance, de gestion, de consignation, de classification et de signalement des incidents liés aux TIC. Selon la gravité de l’incident, les entités peuvent avoir besoin d’effectuer des signalements auprès des régulateurs, ainsi que des clients et partenaires concernés. Les entités devront remplir trois types de rapports différents pour les incidents critiques : un rapport initial pour informer les autorités, un rapport intermédiaire sur l’avancée de la résolution de l’incident et un rapport final analysant les causes profondes de l’incident.
Les règles qui définissent la manière dont les incidents doivent être classés, quels incidents doivent être signalés et les échéances de déclaration seront bientôt disponibles. Les AES explorent également des moyens de rationaliser le reporting en établissant un hub central et des modèles de rapports communs.
Tests de résilience opérationnelle numérique
Les entités doivent tester régulièrement leurs systèmes TIC pour évaluer l’efficacité de leurs protections et identifier les vulnérabilités. Les résultats de ces tests et les stratégies visant à remédier aux faiblesses constatées seront communiqués aux autorités compétentes pertinentes et validés par ces dernières.
Une fois par an, les entités doivent effectuer des tests de base, comme des évaluations des vulnérabilités et des tests basés sur des scénarios. Les entités financières dont le rôle est jugé essentiel au système financier devront également être soumises à des tests de pénétration (TLPT) tous les trois ans. Les fournisseurs de TIC critiques de l’entité devront également participer à ces tests de pénétration. Les normes techniques qui définissent la manière dont les TLPT doivent être menées sont à venir, mais elles sont susceptibles de s’aligner sur le cadre TIBER-EU (lien externe à ibm.com) pour le red-teaming éthique fondé sur les renseignements sur les menaces.
Gestion des risques liés aux tiers
L’une des particularités du règlement DORA réside dans le fait qu’il s’applique non seulement aux entités financières, mais aussi aux fournisseurs de TIC qui desservent le secteur financier.
Les sociétés financières devraient participer activement à la gestion des risques tiers liés aux TIC. Quand les entités financières externalisent des fonctions critiques et importantes, elles doivent négocier des dispositions contractuelles spécifiques concernant les stratégies de retrait, les audits et les objectifs de performance pour l’accessibilité, l’intégrité et la sécurité, entre autres. Les entités ne seront pas autorisées à conclure un contrat avec des fournisseurs de TIC qui ne répondent pas à ces exigences. Les autorités compétentes sont habilitées à suspendre ou à résilier des contrats non conformes. La Commission européenne étudie la possibilité de rédiger des clauses contractuelles standardisées que les entités et les fournisseurs de TIC pourront utiliser afin de s’assurer que leurs accords respectent le règlement DORA.
Les institutions financières devront également cartographier leurs dépendances TIC à l’égard des tiers, et elles devront s’assurer que leurs fonctions critiques et importantes ne se concentrent pas chez un seul fournisseur ou un petit groupe de fournisseurs.
Les fournisseurs de services tiers essentiels dans le domaine des TIC seront soumis à une supervision directe de la part des AES concernées. La Commission européenne développe encore les critères qui visent à déterminer quels fournisseurs sont essentiels. Ceux qui satisfont aux normes se verront attribuer l’une des AES en tant que surveillant principal. En plus de faire appliquer les exigences du règlement DORA aux fournisseurs essentiels, les surveillants principaux seront habilités à interdire aux fournisseurs de conclure des contrats avec des sociétés financières ou d’autres fournisseurs de TIC qui ne se conforment pas au règlement DORA.
Partage d’informations
Les entités financières doivent établir des processus afin de tirer des enseignements des incidents internes et externes liés aux TIC. À cette fin, le règlement DORA encourage les entités à participer à des accords volontaires de partage de renseignements sur les menaces. Toute information partagée de cette manière doit toujours être protégée conformément aux directives pertinentes. Par exemple, les informations personnelles identifiables (PII) sont toujours soumises aux considérations du RGPD.
Déjouez les cyberattaques grâce à une Suite sécurité connectée et modernisée.Le portefeuille QRadar est intégré à l’IA de niveau entreprise et propose des produits intégrés pour la sécurité des terminaux, la gestion des logs, les SIEM et SOAR avec une interface utilisateur commune, des informations partagées et des workflows connectés.
La recherche proactive des menaces, la surveillance continue et l’examen approfondi des menaces ne sont que quelques-unes des priorités auxquelles doit faire face un service informatique déjà très occupé. Le fait de disposer d’une équipe de réponse aux incidents de confiance peut réduire votre temps de réponse, minimiser l’impact d’une cyberattaque et vous aider à vous rétablir plus rapidement.
Exploitez toute la puissance de votre infrastructure informatique. La dernière génération de serveurs, de stockage et de logiciels IBM peut vous aider à moderniser et à faire évoluer vos activités sur site et dans le cloud grâce à un cloud hybride sécurisé, ainsi qu’une automatisation et des informations d’IA fiables.
Et si l’IA et l’automatisation permettaient à votre entreprise de continuer à fonctionner… automatiquement ? Découvrez comment les automatisations à fort impact contribuent à rendre vos systèmes informatiques plus proactifs, vos processus plus efficaces et vos collaborateurs plus productifs.
Accélérez l’innovation tout en satisfaisant vos besoins en matière de sécurité et de conformité. IBM Cloud for Financial Services est conçu pour aider les clients à atténuer les risques et à accélérer l’adoption du cloud, même pour leurs charges de travail les plus sensibles.
Le règlement DORA reconnaît la nature évolutive du risque et de la résilience dans le paysage de plus en plus numérisé des services financiers de l’UE.
Comme tout effort visant à apporter un changement en profondeur au rythme et à l’échelle voulus, la mise en œuvre du règlement DORA nécessitera une attention et un engagement constants, en particulier de la part du conseil d’administration et de la direction.
Les directeurs de la chaîne d’approvisionnement visionnaires se distinguent de leurs homologues qui se concentrent uniquement sur le présent.