Le Règlement européen sur la résilience opérationnelle numérique (DORA) est finalisé : implications pour les Directions générales et les Conseils d’administration

En bref

•  Le Règlement européen sur la résilience opérationnelle numérique (DORA) a été adopté et commencera à s'appliquer pleinement 24 mois après son entrée en vigueur.
• Les entreprises du secteur financier devront répondre aux exigences réglementaires de DORA, tout en anticipant ses implications stratégiques plus larges.
• Les nouvelles obligations requerront une implication plus forte des Conseils d'administration et des Directions générales, qui devront s’assurer que les dispositifs de résilience opérationnelle sont en place et en mesure de répondre à des menaces et vulnérabilités évolutives.
• Les obligations introduites par DORA signifient que les Conseils d'administration et les dirigeants des entreprises de services financiers devront jouer un rôle important en pilotant la mise en conformité de leurs établissements et en prenant et validant des décisions d'investissement nécessaires pour renforcer la résilience de leurs entreprises sur le long terme.

Contexte

Le Règlement DORA, initiative phare de l'UE sur la résilience numérique opérationnelle et cyber pour le secteur financier, a été ratifié. Il introduit un ensemble unifié de textes portant sur la réglementation et la supervision de la résilience opérationnelle des technologies de l’information et des communications (TIC) dans le secteur financier. Ce texte impliquera des entreprises du secteur qu’elles réalisent des investissements substantiels pour améliorer leur résilience face aux risques numériques et cyber.

Toutes les composantes du DORA devront être mises en œuvre 24 mois après son entrée en vigueur qui aura lieu au premier trimestre 2023, ce qui signifie que les entreprises sont tenues d’assurer une conformité d’ici à début 2025.

Un accord technique détaillé sur le contenu du DORA avait été conclu par les négociateurs au cours de l'été. Pour notre analyse de cet accord à travers les "cinq piliers" du DORA, découvrez notre article Le projet de règlement européen sur la résilience opérationnelle numérique a été ratifié.

Implications stratégiques découlant de DORA

1. Le concept de "résilience opérationnelle" implique un changement de point de vue de la part des entreprises : DORA remplace l'ancien patchwork de directives par une nouvelle approche globale visant à répondre aux bouleversements numériques récents et à venir. Il ne s'agit pas d'un simple changement de terminologie - la résilience opérationnelle va au-delà des approches classiques de gestion des risques cyber, informatiques, ou de continuité des activités. Le texte pousse les entreprises à anticiper les bouleversements numériques, inévitables (quelle que soit la solidité des défenses) et à intégrer un niveau plus élevé de résilience face aux perturbations de leurs services ou fonctions les plus importants. Cette approche conduira à la mise en place d’un dialogue permanent entre les entreprises et les autorités de supervision.

2. La responsabilité des dirigeants en matière de résilience opérationnelle est renforcée : DORA positionne la responsabilité de la résilience opérationnelle d'une entreprise au niveau du Conseil d'administration et de la Direction générale. La Gouvernance devra ainsi jouer un rôle de premier plan dans la mise en œuvre des composantes les plus importantes de DORA. Plus concrètement, les membres du Conseil d'administration et les dirigeants devront approuver un ensemble de plans clés, tels que la stratégie de résilience opérationnelle numérique de l'entreprise et sa politique relative aux TIC tiers. En outre, il s’agira de prendre les décisions relatives au modèle opérationnel pour intégrer les exigences du DORA dans les processus, notamment en fixant des niveaux de tolérance aux risques et en priorisant les mesures correctives.

Bien que les attentes précises concernant les Conseils d'administration ne seront détaillées qu’ultérieurement, les dispositions déjà connues de DORA nécessiteront probablement pour la plupart des Conseils d'administration de mobiliser des compétences et des ressources supplémentaires. Avec la mise en œuvre du DORA, il sera ainsi essentiel que la Gouvernance affiche une bonne compréhension des enjeux de résilience opérationnelle digitale de l’entreprise. Les Conseils d’administration devront démontrer qu'ils ont pris les bonnes décisions de gestion, qu'ils ont correctement examiné et remis en question les plans, et qu'ils ont ainsi renforcé la résilience de l'entreprise. Des informations sur les menaces et vulnérabilités externes devront être prises en compte pour apprécier et contextualiser la résilience globale de l'entreprise.

3. Des obligations à respecter dans le temps : La période de mise en œuvre de 24 mois sera vraisemblablement un challenge pour la plupart des entreprises du secteur financier. Pour autant, DORA introduit également une obligation de gestion en continu de la résilience ce qui constituera également un point d’attention. Par exemple, les entreprises devront effectuer des tests à intervalles fréquents. Elles devront également recueillir en permanence des renseignements sur les menaces et les incidents afin de se conformer à la nouvelle obligation de déclaration. DORA exige par ailleurs des entreprises qu'elles identifient les fonctions critiques ou importantes qui devront faire l’objet d’un suivi renforcé.

L'idée clé ici est que l'obtention d'une résilience opérationnelle « solide » sera une obligation réglementaire permanente qui devra s’adapter en fonction de l'évolution des menaces et des vulnérabilités. En investissant dans des compétences stratégiques, telles que le renseignement sur les menaces et les tests de résilience, les Conseils d'administration et les Directions générales seront mieux équipés pour piloter les dispositifs. En outre, les capacités stratégiques accrues seront également utiles pour, grâce à une compréhension approfondie et détaillée de la structure et du fonctionnement opérationnel des établissements, mieux répondre aux aléas liés au digital.

4. Les stratégies d'externalisation seront impactées : La prise en compte des vulnérabilités liés aux tiers était déjà un défi pour la résilience opérationnelle des établissements. DORA introduit le premier cadre de surveillance des tiers critiques (TC), en élargissant la portée du périmètre réglementaire des services financiers et en accordant aux autorités européennes de surveillance (AES) de nouveaux pouvoirs pour superviser directement ces tiers critiques. Néanmoins, les régulateurs de l'UE ont clairement indiqué que ces nouvelles prérogatives n’exonèrent pas les entreprises de leurs responsabilités individuelles en matière d'externalisation. En effet, sous DORA la gestion, par un établissement, des risques liés aux tiers sera encore plus stricte si ces tiers sont impliqués sur des fonctions critiques ou importantes. Ce point sera important pour les FinTechs nativement numériques, dont la dépendance à l'égard de certaines plates-formes technologiques peut les rendre plus exposées au risque lié aux tiers.

Les entreprises doivent également accorder une attention particulière aux évaluations des risques de concentration requises dans DORA. Les fragilités qui peuvent être identifiées à partir de ces évaluations - telles que la dépendance excessive ou la criticité des fonctions de service - peuvent exposer les entreprises de services financiers à un examen plus approfondi de la part des superviseurs. Cette situation pourrait inciter les Conseils d'administration à revoir leurs décisions stratégiques concernant les partenaires, leur appétence au risque concernant les relations avec les tiers, ainsi que les rôles attribués aux fonctions des Risques et des Achats. A cet égard les entreprises pourraient envisager de traiter les risques de concentration identifiés en ayant recours par exemple à des stratégies multifournisseurs plus systématiquement.

5. La résilience opérationnelle doit désormais influencer les décisions d'investissement : Pour renforcer la résilience opérationnelle d'une entreprise, il convient d’en faire un élément clé lors de la conception des activités et des modèles opérationnels. Ainsi, à travers leur Gouvernance, les entreprises du secteur financier devront définir leur niveau de résilience souhaité dans le cadre de l'élaboration d’une stratégie de résilience opérationnelle numérique. Elles devront à la fois vérifier le bien-fondé des décisions d'investissement en lien avec la résilience, et être en mesure de suivre et d'expliquer comment les coûts initiaux d’investissement sont compensés par un modèle opérationnel plus résilient. Les domaines susceptibles de figurer en bonne place à l'ordre du jour des superviseurs lors de la mise en œuvre du DORA seront sans doute à prioriser (par exemple, la sélection des fonctions critiques ou importantes de l’entreprise, les analyses d'impact commercial, les pratiques de test de résilience, les résultats du cadre de déclaration des incidents…).

Le Conseil d’administration et la Direction générale doivent d’être attentifs à la manière dont les superviseurs pourraient interpréter le principe de proportionnalité introduit dans DORA. Les grandes entreprises sont plus susceptibles de disposer de capacités avancées dans certains domaines (par exemple, les tests de résilience), mais elles seront également soumises à un niveau d'examen plus approfondi, en lien avec leur importance systémique. Les plus petits établissements peuvent, à l'inverse, bénéficier d'exigences moins strictes (par exemple, ne pas être tenues d'effectuer des tests de pénétration avancés - TLPT¹, utiliser le cadre simplifié de gestion des risques liés aux TIC du DORA, etc.), mais elles peuvent néanmoins être confrontées à des besoins d'investissement significatifs pour se conformer aux parties du règlement qui s'appliquent de manière large, telles que l'exigence de déclaration des incidents liés aux TIC et les dispositions relatives à la gestion des risques liés aux tiers.

Remarques finales

DORA n’est pas un exercice de mise en conformité "ponctuel", mais une demande de maintenir une résilience constante dans un environnement en évolution et un contexte technologique toujours plus complexe.

Sans attendre les règlements délégués DORA qui seront publiés par les AES dans les 24 prochains mois ou l’annonce par les superviseurs de leurs attentes détaillées, il est d'ores et déjà clair que les Conseils d'administration et les Directions générales sont appelés à jouer un rôle plus important et plus direct sur ce domaine. Il sera ainsi attendu et important que l’ensemble de la gouvernance des entreprises donne le ton en matière de résilience opérationnelle digitale.

¹ Threat-led penetration testing