Comprendre le Digital Operational Resilience Act (DORA)

DORA impose des exigences strictes en matière de gouvernance, de gestion des risques et de conformité (GRC), plaçant la responsabilité directement sur les entités financières et leurs prestataires tiers critiques en matière de TIC (Technologies de l'Information et de la Communication) pour gérer ces risques. Cette réglementation souligne l’importance d’assurer que chaque fonction opérationnelle au sein d’une organisation financière, notamment celles dépendantes de prestataires tiers en TIC, soit bien protégée contre les menaces potentielles.

Le règlement DORA s’applique à un très large éventail d’entités financières du secteur financier (établissements de crédit, entreprises d’investissements, établissements de paiement, établissements de monnaie électronique, sociétés de gestion, entreprises d’assurance et de réassurance, intermédiaires d’assurance et de réassurance…) ainsi qu’aux prestataires de services TIC qui opèrent au sein de l’Union européenne dans les services financiers.

Bien que la mise en conformité puisse présenter des défis, DORA doit être vue de manière positive. Cette directive établit un cadre unifié et des lignes directrices juridiques claires pour gérer, stocker et utiliser les données critiques.

Les 5 piliers de DORA

• Gestion des risques liés aux TIC
• Signalement des incidents liés aux TIC
• Partage d’informations
• Tests de résilience opérationnelle numérique
• Gestion des risques liés aux tiers TIC

Les institutions financières s’appuient sur un réseau complexe de fournisseurs tiers pour diverses facettes de leurs opérations et de leur sécurité. Ces fournisseurs, qu’il s’agisse de prestataires de services cloud, de processeurs de paiements ou de développeurs de logiciels, jouent un rôle essentiel dans le maintien de la stabilité et de l’intégrité des services financiers. La gestion efficace des risques associés à ces tiers est cruciale. Si ces risques ne sont pas abordés, des vulnérabilités dans la chaîne de traitements pourraient perturber les opérations, éroder la confiance des clients, compromettre la stabilité financière et générer des coûts importants.

1. Intégrer harmonieusement la gouvernance et la gestion des risques TIC
2. Évaluer et gérer les risques tiers dans toute la chaîne d’approvisionnement
3. Prioriser la surveillance continue
4. Élaborer des protocoles robustes de réponse et de signalement des incidents
5. Réaliser régulièrement des évaluations de résilience

La gestion efficace des risques TIC dans le cadre de DORA nécessite une approche cohérente et bien coordonnée de la gouvernance et de la responsabilisation. Cela commence par l’élaboration d’un cadre de gouvernance solide définissant clairement les rôles et responsabilités, couvrant tout, des opérations quotidiennes TIC à la supervision stratégique de haut niveau.

Votre stratégie de gestion des risques TIC doit inclure tous les éléments nécessaires — politiques, procédures, protocoles et outils — pour protéger les actifs informationnels et technologiques. Ce cadre doit être dynamique, nécessitant un examen et une réévaluation annuels.

Mettez en œuvre des processus détaillés pour identifier, évaluer et atténuer les risques TIC, en intégrant l’évaluation des risques, la surveillance continue et la réponse aux incidents. En inscrivant la responsabilisation au cœur de votre structure de gouvernance, les institutions financières peuvent favoriser une culture qui priorise la sécurité, garantissant que les efforts de conformité soient suffisamment dotés en ressources et maintenus de manière cohérente.

Une compréhension holistique des risques liés aux tiers est essentielle pour une gestion efficace de la chaîne de traitement. Cela commence par une analyse approfondie de la posture de cybersécurité de vos fournisseurs tiers, depuis leur intégration initiale jusqu’à la fin de la relation contractuelle.

Pour se préparer à la conformité avec DORA, il est crucial de disposer d’une vision globale qui couvre non seulement les risques cybernétiques, mais également les risques opérationnels, de conformité, ESG (environnementaux, sociaux et de gouvernance), et financiers.

Réalisez des évaluations complètes des risques des fournisseurs, complétez leur documentation avec des données de risques objectives et collaborez avec eux sur les efforts de remédiation.

Pour anticiper les menaces potentielles, il est essentiel de maintenir une vigilance constante. Cette approche proactive permet à vos mesures de sécurité d’évoluer parallèlement aux risques émergents. La surveillance continue est une exigence fondamentale de DORA, permettant aux organisations d’identifier en temps réel les activités inhabituelles et les violations de sécurité potentielles. Cette capacité garantit une réponse rapide aux incidents, minimisant leur impact.

L’intégration de la surveillance continue dans vos stratégies de cybersécurité et de gestion des risques liés aux tiers, couvrant les domaines financiers, cybernétiques, opérationnels, ESG, de conformité, et les risques liés aux prestataires indirects (N-ième niveaux) ainsi qu’aux localisations, améliore considérablement votre capacité à protéger les données critiques et à garantir la stabilité opérationnelle.

Conformément à DORA, les institutions financières doivent être prêtes à signaler rapidement tout incident lié aux TIC aux régulateurs, en incluant des détails sur les utilisateurs affectés, les pertes de données et les impacts plus larges. Pour assurer une réponse efficace et rapide, il est crucial de disposer d’un plan clairement défini. Ce plan doit guider les employés dans la gestion des cyberattaques et décrire les étapes nécessaires pour rétablir les opérations normales après un incident.

DORA exige que les institutions financières testent régulièrement la robustesse et la résilience de leurs systèmes critiques via diverses méthodes, notamment des scans de vulnérabilité, des tests d’intrusion et des exercices basés sur des scénarios comme le « red teaming ». Ces évaluations visent à détecter les faiblesses de votre infrastructure de sécurité et à garantir que vos plans de réponse soient efficaces et actualisés.

Les enseignements tirés de ces tests sont précieux, non seulement pour la conformité réglementaire, mais aussi pour renforcer votre posture globale en matière de sécurité. En améliorant continuellement vos systèmes, vous vous assurez que votre organisation est mieux préparée à gérer et à se remettre des menaces potentielles.

Dans le passé, les organisations ont souvent traité la gestion des risques comme une série de fonctions isolées, chaque domaine – cybersécurité, risques opérationnels, conformité, risques financiers et ESG – étant surveillé et géré séparément. Cependant, cette approche cloisonnée ne tient pas compte des interdépendances entre ces domaines de risques. À mesure que les organisations deviennent de plus en plus dépendantes des infrastructures numériques, des fournisseurs tiers et des chaînes d’approvisionnement mondiales, l’interconnexion des risques devient un angle mort stratégique.

Exemples de risques en cascade

• Instabilité financière entraînant des vulnérabilités cybernétiques : Imaginez un fournisseur clé de TIC confronté à des difficultés financières dues à des conditions de marché défavorables ou à une mauvaise gestion financière. Cette instabilité financière peut mener à des réductions budgétaires, en particulier dans les investissements en cybersécurité. Par conséquent, une posture de sécurité affaiblie du fournisseur peut exposer votre organisation à des menaces accrues, telles que des violations de données ou des attaques par ransomware.
• Échecs de conformité révélant des faiblesses de cybersécurité : Un fournisseur TIC qui ne respecte pas les exigences réglementaires ou de conformité critiques, telles que la confidentialité des données ou les lois de sécurité de l’information transfrontalières, peut se retrouver confronté à des amendes, des pertes de certification ou des défis juridiques. Cela peut détourner les ressources des initiatives de cybersécurité, augmentant leur vulnérabilité.
• Perturbations opérationnelles affectant la cybersécurité : Des ruptures dans les opérations, dues à des catastrophes naturelles, des pénuries de personnel ou des problèmes logistiques, peuvent forcer les fournisseurs à négliger leur infrastructure de cybersécurité, augmentant ainsi les risques pour votre organisation.
• Défaillances ESG créant des expositions aux cyber-risques : Un fournisseur ne répondant pas aux normes environnementales ou sociales pourrait subir des dommages réputationnels ou perdre des talents clés, notamment dans la cybersécurité.

(En vigueur à partir du 17 janvier 2025)

Article 28 – Exigences générales

• Les entités financières(*) doivent gérer les risques des tiers TIC et assurer une conformité totale à toutes les obligations réglementaires.
• Adopter et réviser régulièrement une stratégie sur les risques des tiers TIC, intégrée dans leur cadre de gestion des risques TIC.
• Tenir un registre des contrats TIC, distinguant ceux qui soutiennent des fonctions critiques, et faire un rapport annuel aux autorités compétentes.
• Évaluer les risques avant de conclure des contrats, effectuer des vérifications préalables des fournisseurs tiers TIC, et confirmer l’utilisation de normes de sécurité de l’information appropriées.
• Établir des stratégies de sortie pour garantir la continuité des activités en cas de rupture de contrat.

Article 29 – Évaluation préliminaire des risques de concentration TIC

• Analyser les risques de concentration liés à des fournisseurs tiers non substituables ou à des chaînes de sous-traitance.
• Peser les avantages et coûts d’alternatives pour répondre aux objectifs de résilience numérique.

Article 30 – Principales dispositions contractuelles

• Documenter clairement tous les droits et obligations dans les contrats, y compris les SLA (niveaux de service).
• Inclure des éléments clés tels que la continuité des activités, la protection des données et les droits de résiliation.