Finance : comprendre DORA, le nouveau règlement sur la résilience opérationnelle
Pour adapter son arsenal législatif aux risques toujours plus importants de cyberattaques, le Conseil de l’Union Européenne a adopté le 28 novembre 2022 le règlement sur la résilience opérationnelle numérique du secteur financier (DORA). Objectif : assurer la résilience du secteur financier européen en cas de perturbation opérationnelle majeure. Décryptage…
DORA : genèse et contexte d’un règlement très attendu
La crise financière de 2008 a mis en lumière l’interconnexion et les dépendances profondes entre les banques et les assureurs. Les accords Bâle II et Bâle III ont été décidés dans la foulée pour se prémunir du risque de crédit, mais également pour inclure le risque opérationnel dans l’évaluation des exigences minimales de fonds propres.
Selon le comité de Bâle, le risque opérationnel est « un risque de pertes résultant de processus, de personnes et de systèmes bancaires internes inadéquats, défaillants ou encore d’événements externes ».
Si ces dispositifs englobent bien la défaillance des systèmes d’information, ils se focalisent sur l’erreur humaine et les dysfonctionnements techniques, omettant la malveillance sous ses deux formes :
- La cyberattaque criminelle, le plus souvent motivée par des intentions pécuniaires ;
- La cyberattaque étatique, dans le cadre d’activités de renseignement politique ou économique.
Dans un contexte d’accélération effrénée de la transformation digitale (post-pandémie), la finance numérique a gagné plusieurs années et tend à se démocratiser avec ses avantages (praticité, rapidité, traçabilité, respect de l’environnement) mais aussi ses inconvénients (vulnérabilité aux attaques informatiques). Comme l’explique une étude IBM réalisée en 2022, le secteur financier est particulièrement exposé aux cyberattaques (22 %), juste derrière l’industrie manufacturière.
Pour adapter l’arsenal juridique aux spécificités évidentes du secteur financier, l’Union Européenne a lancé une réflexion sur un règlement propre au secteur, dans le sillage de la première directive NIS entérinée en 2016. Cette orientation se concrétisera le 14 décembre 2022 avec la signature de l’acte final de DORA.
DORA : comprendre le règlement en deux minutes chrono
Le Digital Operational Resilience Act, ou DORA, est un règlement européen qui met en place un cadre de gouvernance et de contrôle interne spécifique afin de garantir la résilience opérationnelle informatique des acteurs du secteur financier.
DORA établit des normes de sécurité minimales ainsi que des règles contraignantes pour les banques, les bourses, les gestionnaires de fonds, les compagnies d’assurance et les prestataires de services informatiques (cloud, services de paiement, infrastructures de marché) concernant :
- La gestion des risques informatiques ;
- Le signalement des incidents de sécurité majeurs liés aux technologies ;
- Les tests de résilience opérationnelle informatique ;
- La gestion du risque tiers, avec notamment la supervision directe des prestataires de services « critiques ».
En somme, DORA a pour objectif d’unifier la gestion des risques informatiques dans le secteur financier et d’assurer la continuité des activités et l’opérationnalité des services critiques en cas d’incident de sécurité informatique majeur. Publié au Journal officiel de l’UE (JOUE) le 27 décembre 2022, le règlement DORA est entré en vigueur début 2023 et s’appliquera à partir de 2025 aux 27 Etats membres de l’UE.
À noter : contrairement à la « directive », le « règlement » s’applique en l’état dans tous les pays de l’UE, sans transposition. Les institutions financières et les prestataires TIC doivent dès à présent planifier leur mise en conformité.
Les deux particularités notables du règlement DORA
1) qu’il s’agisse d’un règlement sectoriel, DORA dispose d’un champ d’application relativement large. En plus des établissements de crédit et des assureurs, DORA concerne également leurs tiers prestataires de services informatiques (hors micro-entreprises). L’article 28 est particulièrement clair à ce sujet. Concrètement, les acteurs du secteur financier concernés ne pourront pas « rejeter » la responsabilité sur un prestataire externe.
2) Le verbatim du règlement insiste sur la sécurité de l’information financière. Les notions de « disponibilité », d’ « authenticité », d’ « intégrité » et de « confidentialité » sont omniprésentes (articles 3, 5 et 9).
Le point sur les cinq piliers du règlement DORA
Le législateur a préservé les cinq piliers de la proposition initiale de la Commission Européenne, à savoir :
- La gestion des risques liés aux Technologies de l’Information et de la Communication (TIC) : l’instance dirigeante de l’entreprise doit assumer « l’entière et l’ultime responsabilité » en la matière. Elle doit par ailleurs identifier les « Fonctions Critiques ou Importantes », cartographier les actifs et dépendances et fixer des tolérances de risque pour les perturbations des TIC ;
- La déclaration des incidents liés aux TIC : le nouveau règlement oblige les entreprises à améliorer leur capacité à collecter, transmettre et diffuser les informations au sujet des incidents liés aux TIC ;
- Les tests de résilience opérationnelle numérique : les entreprises concernées devront effectuer des tests de résilience au moins une fois par an sur leurs systèmes et applications TIC critiques ;
- La gestion des risques tiers : le règlement étend les exigences des directives existantes à l’externalisation des TIC hors fournisseurs de services Cloud ;
- Le partage d’informations et de renseignements : DORA favorise l’échange d’informations et de renseignements sur les cybermenaces entre les établissements financiers et les oblige à informer les autorités de régulation, le cas échéant.
Professionnels du secteur financier : Provigis vous accompagne
Par ce règlement ambitieux et holistique, l’UE a tenté de trouver un équilibre entre l’amélioration de la résilience numérique dans le secteur financier sans pour autant étouffer l’innovation, consubstantielle au secteur.
Cet exercice se traduit par une certaine complexité qui impose aux acteurs du secteur un travail de mise en conformité bien en amont. En tant que Tiers de Collecte Probatoire (TCP), Provigis met son expertise reconnue au service des professionnels du secteur financier et les accompagne dans la gestion du risque et le suivi des tiers TIC en toute sérénité.