4.02 Loi sur la résilience opérationnelle numérique (DORA)

De nos jours, les attaques de cybersécurité constituent une menace sérieuse pour le secteur financier - elles ont la capacité de compromettre l'ensemble du système. La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA), qui fait partie du règlement sur la finance numérique, vise à fournir des orientations aux institutions de ce secteur, en établissant des règles pour la gestion des incidents liés aux technologies de l'information et de la communication.

Sommaire

• Qu'est-ce que DORA ?

• Quels sont les principaux objectifs du règlement DORA ?

• À quelles entités le règlement DORA s'applique-t-il ?

• Quelles sont les définitions utilisées dans le DORA ?

• Domaines clés de DORA

• Quels sont les défis à relever dans le cadre de DORA ?

• Quelles sont les mesures à prendre du point de vue des entités financières ?

 

Qu'est-ce que DORA ?

DORA, le règlement du Parlement européen et du Conseil sur la résilience opérationnelle numérique du secteur financier, fait partie du paquet "Finance numérique".

Ce paquet comprend également

• un règlement sur les marchés des crypto-actifs (MiCA),

• le règlement relatif à un régime pilote pour les infrastructures de marché fondées sur la technologie des registres distribués (DLT).

Le DORA est entré en vigueur le 16 janvier 2023 et les règlements s'appliqueront à partir du 17 janvier 2025.

Actuellement, le cadre général de la cybersécurité au niveau de l'UE est défini par la directive (UE) 2016/1148 du Parlement européen et du Conseil (directive NIS - Network and Information Systems). Son amendement, la directive dite NIS 2, doit entrer en vigueur prochainement.

Le règlement DORA devrait devenir le principal point de référence en matière de cybersécurité dans le secteur financier.

Quels sont les principaux objectifs du règlement DORA ?

L'objectif général est d'accroître la résilience numérique opérationnelle des entités du secteur financier de l'UE en simplifiant et en améliorant les réglementations existantes, ainsi qu'en introduisant de nouvelles exigences dans les domaines où des lacunes sont apparentes.

Le règlement vise à consolider et à mettre à jour les exigences en matière de risques liés aux TIC (technologies de l'information et de la communication) contenues séparément dans les différents règlements et directives.

À quelles entités le DORA s'applique-t-il ?

La DORA s'applique aux entités suivantes :

• Les établissements de crédit.

• Les établissements de paiement.

• Les établissements de monnaie électronique.

• Les entreprises d'investissement,

• Les prestataires de services liés aux crypto-actifs, les émetteurs de crypto-actifs, les émetteurs de jetons référencés par des actifs et les émetteurs de jetons référencés par des actifs significatifs.

• Les dépositaires centraux de titres.

• Les contreparties centrales.

• Les plates-formes de négociation.

• Les référentiels centraux.

• Les gestionnaires de fonds d'investissement alternatifs.

• Les sociétés de gestion.

• Les fournisseurs de services de communication de données.

• Les entreprises d'assurance et de réassurance.

• Les intermédiaires d'assurance, les intermédiaires de réassurance et les intermédiaires d'assurance auxiliaire.

• Les institutions de retraite professionnelle.

• Les agences de notation de crédit.

• Les contrôleurs légaux des comptes et les cabinets d'audit.

• Les administrateurs d'indices de référence essentiels.

• Les prestataires de services de crowdfunding.

• Les référentiels de titrisation.

• Les prestataires de services TIC tiers.

 

Quelles sont les définitions utilisées dans le DORA ?

• Résilience opérationnelle numérique : la capacité d'une entité financière à construire, assurer et contrôler son intégrité opérationnelle d'un point de vue technologique. Cela inclut la garantie, directement ou indirectement par l'utilisation de services de fournisseurs tiers de TIC, de toutes les capacités nécessaires pour assurer la sécurité du réseau et des systèmes d'information utilisés par l'entité financière, ainsi que pour soutenir la continuité et la qualité de la fourniture de services financiers. 

• Incident lié aux TIC : un événement imprévu et identifié dans le réseau et les systèmes d'information, résultant ou non d'une activité malveillante, qui compromet la sécurité du réseau et des systèmes d'information, ainsi que des informations qu'ils traitent, stockent ou transmettent. Cet incident peut avoir des effets négatifs sur la disponibilité, la confidentialité, la continuité ou l'authenticité des services financiers fournis par l'entité financière.

• Risque lié aux TIC : toute circonstance raisonnablement identifiable liée à l'utilisation de réseaux et de systèmes d'information - y compris un dysfonctionnement, un dépassement de capacité, une défaillance, une interruption, une dégradation, une mauvaise utilisation, une perte ou tout autre type d'événement malveillant ou non - qui, s’il  se matérialise, peut compromettre la sécurité du réseau et des systèmes d'information, de tout outil ou processus dépendant de la technologie, de l'exploitation et du déroulement du processus, ou de la fourniture de services (...).

• On entend par fournisseur de services TIC tiers une entreprise fournissant des services numériques et de données. Cela comprend aussi  les fournisseurs de services d'informatique en nuage, de logiciels, de services d'analyse de données, de centres de données, à l'exclusion des fournisseurs de composants matériels et des entreprises autorisées en vertu du droit de l'Union qui fournissent des services de communication électronique.

 

Domaines clés du DORA

Le DORA se compose de 5 domaines clés :

​
 

• Gestion des risques liés aux TIC - cadre complet et bien documenté de gestion des risques liés aux TIC (stratégies, politiques, protocoles et outils nécessaires à la protection adéquate et efficace de l'infrastructure) qui est revu au moins une fois par an.

  • Identification, classification et documentation des fonctions de l'entreprise liées aux TIC.

  • l'élaboration d'une politique de sécurité de l'information

  • Disposer de mécanismes permettant de détecter rapidement les activités anormales.

  • mettre en œuvre une politique globale de continuité des activités dans le domaine des TIC.

  • Politique de sauvegarde.

  • Conclusions des tests et des incidents.

  • Formation obligatoire pour le personnel (employés et cadres).

  • Plans de communication permettant une divulgation responsable des incidents liés aux TIC ou des vulnérabilités majeures aux clients et aux homologues.

• Incidents liés aux TIC - gestion, classification et rapports - processus permettant d'assurer le suivi des incidents liés aux TIC et de prendre des mesures correctives.

  • Classification des incidents et détermination de leur impact sur la base de certains critères (notamment la durée de l'incident, le nombre d'utilisateurs affectés, la criticité des services affectés),

  • la notification des incidents majeurs à l'autorité compétente concernée (une notification initiale, un rapport intermédiaire et un rapport final).

• Test de résilience opérationnelle numérique - test de tous les systèmes et applications TIC clés au moins une fois par an. Le programme de test comprend

  • L’analyse des sources ouvertes.

  • Evaluation de la sécurité des réseaux.

  • Tests de scénarios.

  • ests de performance.

  • Tests de pénétration (les entités autres que les micro-entreprises doivent effectuer des tests avancés au moins une fois tous les trois ans en utilisant des tests de pénétration pour la recherche de menaces - la documentation de ces tests  doit être approuvée par les autorités compétentes).

• Gestion des risques liés aux TIC pour les tiers - tous les processus liés à la coopération avec des fournisseurs externes.

  • Évaluation du fournisseur.

  • Mise en œuvre d'une stratégie de sortie (capacité à se retirer des accords contractuels avec le fournisseur de services TIC) et élaboration d'un plan de transition qui ne perturbera pas les systèmes et ne nuira pas à la continuité et à la qualité des services fournis.

  • Contrats avec les fournisseurs de services TIC (par écrit) comprenant les accords sur les niveaux de service.

  • Détermination des principaux prestataires de services TIC externes.

  • Amendes périodiques pour les principaux prestataires externes de services TIC.

• Dispositions relatives au partage de l'information - la possibilité pour les entités financières de partager des informations sur les cybermenaces et les résultats de l'analyse d'une telle cybermenace, y compris :

  • Les signes d'une atteinte à l'intégrité du système.

  • Tactiques.

  • Techniques et procédures.

  • Avertissements en matière de cybersécurité.

  • Outils de configuration.

Dans chacun des domaines clés, le DORA exige des entités financières qu'elles se conforment à un certain nombre d'exigences concernant divers aspects des TIC et de la sécurité numérique. Il fournit ainsi un cadre complet* pour la résilience numérique des entités financières.

* Il est prévu que les autorités européennes de surveillance préparent et publient des normes techniques réglementaires concernant les lignes directrices contenues dans le règlement afin de concrétiser les exigences.

Quels sont les défis à relever dans le cadre de DORA ?

• Éliminer les chevauchements, les incohérences et les lacunes réglementaires.

• Accroître le partage d'informations et la coopération en matière d'analyse des cybermenaces afin de permettre aux entités financières individuelles d'évaluer, de surveiller, de se défendre et de répondre aux cybermenaces de manière appropriée.

• Normaliser les exigences en matière de notification des incidents liés aux TIC afin que les autorités de surveillance aient une vue d'ensemble de la nature, de la fréquence, de l'importance et de l'impact des incidents.

• réduire les coûts de mise en conformité pour les entités financières, en particulier pour celles qui ont des activités transfrontalières.

 

Quelles sont les mesures à prendre du point de vue des entités financières ?

• Aligner les processus et les pratiques sur les lignes directrices du règlement, y compris les politiques relatives à la sécurité de l'information, à la continuité des activités, à la réponse aux incidents et à la reprise après un sinistre.

• Se préparer à effectuer des évaluations et des rapports périodiques.

• Identifier et examiner tous les fournisseurs de services TIC, les contrats et la documentation associés.