Point de vue

Règlement DORA - Quelle stratégie de résilience opérationnelle numérique faut-il adopter ?

Un nouveau défi pour les institutions financières en Europe et leurs prestataires TIC

Comment le Règlement DORA a vu le jour ?

Le Règlement « Digital Operational Resilience Act » (DORA) sur la résilience opérationnelle numérique a été adopté pour :
 




Harmoniser la sécurité des technologies de l'information et de la communication (TIC) et la résilience numérique pour les institutions financières et les prestataires tiers de services TIC dans l'ensemble de l'UE.






Renforcer les lois et réglementations existantes pour soutenir la stratégie numérique des services financiers de l'UE.






Soutenir la digitalisation des services financiers de l'UE.





Créer un cadre permettant aux Autorités Européennes de Supervision (AES) de s'impliquer davantage dans le contrôle du respect des exigences du Règlement DORA.


La version finale du DORA est désormais connue...

Les entités qui sont dans le champ d’application ne doivent pas continuer à décaler leur mise en conformité. La version finale du Règlement DORA a été publiée le 16 janvier 2023, marquant le début d'une période de 24 mois au cours de laquelle les entités doivent prendre les mesures nécessaires pour se mettre en conformité.

Outre les dispositions du Règlement DORA, les entités assujetties doivent également surveiller la publication de normes techniques réglementaires (RTS – « Regulatory Technical Standards » & ITS – « Implementing Technical Standards »), qui devraient être diffusées par les AES environ 12 à 18 mois après l'entrée en vigueur du Règlement.

Les premières versions de certaines de ces normes ont été publiées pour avis en juin 2023. Deux projets d’actes délégués ont également été publiés par la Commission Européenne en novembre 2023 à propos des critères permettant d’identifier des prestataires tiers critiques de services TIC. Ces normes devront également être mises en œuvre avant le 17 janvier 2025, lorsque le Règlement DORA deviendra applicable.

Quel sera l'impact du Règlement DORA sur votre entreprise ?

Le Règlement DORA introduit de nouvelles obligations. Bien que les sujets abordés ne soient pas totalement nouveaux, ils sont définis avec précision et comportent des étapes de mise en œuvre spécifiques. La capacité d'une entité à respecter ces obligations démontrera sa maturité numérique globale.

Certains secteurs financiers, déjà réglementés sur des sujets abordés par le DORA, se concentreront davantage sur la mise à niveau et l'adaptation de leurs dispositifs existants. C'est notamment le cas du secteur bancaire, qui est déjà soumis à des exigences en matière d’externalisation, de TIC et de résilience numérique en vertu du droit de l'UE.

Pour d'autres secteurs, comme celui de la gestion d’actifs et de l’assurance, les exigences préexistantes n'étaient pas aussi strictes que celles fixées par le Règlement DORA. Par conséquent, la mise en œuvre sera plus intensive. Si votre entité appartient à ce secteur, vous allez probablement devoir définir de nouvelles mesures. Il est essentiel d'évaluer correctement le niveau de préparation actuel de votre entité pour définir un plan d'action sur mesure dans le cadre d'une approche coûts/bénéfices.

Les entités assujetties comme la vôtre doivent prendre en compte cinq piliers principaux lorsqu'elles se lancent dans la mise en conformité avec le Règlement DORA :

La gestion des risques TIC

La gestion des risques liés aux TIC n'est pas un concept nouveau mais une révision complète et approfondie des pratiques et des cadres actuels de votre entité est nécessaire. Le Règlement DORA exige que votre organe de direction assume la responsabilité globale de la définition et de l'approbation de la stratégie de résilience opérationnelle numérique de votre entité. En complément, les entités doivent fixer des seuils de tolérance aux risques liés aux perturbations des TIC, étayés par des indicateurs clés de performance (KPI) et des mesures de risque alignés au niveau accru de sécurité des TIC fixé par le Règlement DORA. Les autorités de supervision évalueront la capacité de l'entité à effectuer des analyses d'impact business sur la base de scénarios de perturbation grave de l'activité et à mener à bien les travaux de remédiation pour traiter les vulnérabilités.

La gestion des risques liés aux TIC comprend également l'élaboration d'une stratégie de communication et la désignation d'une personne de référence pour une plus grande transparence concernant les incidents ou les vulnérabilités liés aux TIC. En outre, le DORA exige que votre entité cartographie et comprenne les interconnexions entre ses actifs, ses processus et ses systèmes TIC.

 

Reporting et notification des incidents

Le nouveau cadre de notification des incidents obligera les entités à améliorer leur capacité à collecter, analyser, transmettre et partager les informations concernant les incidents et les menaces liés aux TIC. Par conséquent, vous devrez classifier l'impact quantitatif des incidents et analyser leurs causes profondes. Le Règlement DORA exige également que votre entité se dote de mesures de protection pour se défendre contre les menaces.

La centralisation des reportings d'incidents liés aux TIC exigera que les AES - en concertation avec la Banque Centrale Européenne (BCE) et l'Agence de l'Union Européenne pour la Cybersécurité (ENISA) - préparent un rapport conjoint évaluant la faisabilité d'une plateforme unique de l’Union qui, soit recevrait directement les reportings pertinents et en informerait automatiquement les autorités nationales compétentes, soit se contenterait de centraliser les reportings pertinents que lui transmettraient les autorités nationales compétentes et assumerait donc un rôle de coordination. Les entités assujetties devront soumettre leurs reportings avant la fin de la période de mise en œuvre de 24 mois, en janvier 2025.

Le texte final ne contient plus les délais de notification proposés à l'origine et délègue cette tâche aux AES, qui devront les préciser dans des RTS dont les versions finales devront être proposées à la Commission au plus tard le 17 juillet 2024. Cela signifie que les entités assujetties n'auront pas une vision claire des implications opérationnelles du nouveau cadre de reporting avant un certain temps.

 

Tests de résilience

Les entités devraient être habituées et disposer de processus liés aux tests de résilience opérationnelle numérique et aux tests des outils et systèmes TIC. Plus précisément, le DORA établit un cadre pour que les entités assujetties effectuent des tests de sécurité et de résilience appropriés sur leurs systèmes et applications de TIC critiques au moins une fois par an et qu’elles remédient pleinement à toutes les vulnérabilités identifiées.

En complément, les entités dépassant un certain seuil d'importance systémique et de maturité devront effectuer tous les trois ans des tests de pénétration "avancés" (« Threat-Led Penetration Testing » - TLPT). Les méthodologies TLPT devront être développées conformément au cadre TIBER-EU de la BCE (« Threat Intelligence-Based Ethical Red-Teaming »). Les entités qui ont commencé à se familiariser avec cette méthodologie de test TIBER auront déjà une longueur d'avance.

 

Gestion des risques liés aux tiers

Les exigences du DORA en matière de gestion des risques liés aux tiers définissent de nombreuses clauses contractuelles que les entités doivent inclure dans les contrats d'externalisation des TIC d'ici janvier 2025. Vous aurez une responsabilité accrue lorsque vous vous entrerez en relation avec des prestataires tiers de services TIC, sous la forme d'obligations plus strictes et d'exigences concentrées en matière d'évaluation des risques pour tous les contrats d'externalisation soutenant la fourniture de fonctions critiques et importantes.

 

Cadre de surveillance des prestataires tiers critiques

Enfin, le DORA renforce le cadre de contrôle des prestataires tiers avec la désignation d'un superviseur principal qui, entre autres tâches et responsabilités, contrôlera la conformité des prestataires tiers critiques de services TIC, pourra leur demander de renforcer leurs pratiques de sécurité et sanctionner s'ils ne s'y conforment pas. Cela exercera une pression sur les prestataires tiers critiques de services TIC pour qu'ils démontrent qu'ils peuvent améliorer leur résilience opérationnelle et les processus qui soutiennent les entités - en particulier pour les fonctions critiques des entités financières.

En plus, le DORA crée un réseau de supervision commun, qui jouera un rôle important dans l'élaboration des meilleures pratiques en matière de surveillance des prestataires tiers critiques de services TIC et devrait contribuer à établir une norme plus claire pour le niveau de résilience attendu.

DORA et NIS2

La Directive sur la sécurité des réseaux et de l'information (NIS) est le premier texte législatif européen adopté sur la cybersécurité et vise à atteindre un niveau élevé de cybersécurité dans tous les États membres. Si la directive NIS a renforcé les capacités des États membres en matière de cybersécurité, sa mise en œuvre s'est avérée difficile, ce qui a entraîné une fragmentation du marché intérieur. Pour répondre aux menaces croissantes posées par la numérisation et la multiplication des cyberattaques, la Commission européenne a présenté une proposition visant à remplacer la directive NIS par la directive « Network and Information Security 2 » (dite NIS2).

Le DORA et la directive NIS couvrent tous deux des sujets visant à accroître la résilience numérique dans l'Union européenne et à réduire l'impact des cyber incidents. Toutefois, le DORA indique clairement que la directive NIS2 reste d'application et le chevauchement entre la directive NIS2 et le DORA est évité grâce à une disposition de lex specialis contenue dans le DORA, qui lui donne la priorité sur la directive, qui est de lex generalis.

DORA et GDPR

Même si le DORA n'introduit pas de règles spécifiques en matière de protection des données à caractère personnel, il vise la sécurité de vos systèmes d'information, ce qui affecte indirectement la conformité des entreprises au GDPR. Les exigences du DORA ne prévalent pas sur celles du GDPR mais s'appuient sur elles, ce qui signifie que les dispositions du GDPR continuent de s'appliquer.

Les violations de données à caractère personnel (en vertu du GDPR) et les incidents liés aux TIC (en vertu du DORA) sont couverts par des exigences similaires mais des différences clés existent en pratique dans leur application. Par exemple, vous devrez signaler un incident aux autorités compétentes en vertu du DORA et le notifier à l'autorité compétente en matière de protection des données en vertu du GDPR. Le délai pour soumettre ces notifications sera en revanche différent. Les exigences du DORA sont généralement plus larges et leur respect impliquera, dans de nombreux cas, le respect des exigences du GDPR. Cependant, votre entité devra toujours évaluer la conformité avec chacune de ces exigences séparément, car elles visent des aspects distincts d'un sujet similaire.

Quelle est la prochaine étape de votre parcours DORA ?

Certains acteurs du secteur financier, tels que les grands groupes transfrontaliers, qui ont un niveau de maturité global élevé, peuvent avoir déjà parcouru une grande partie du chemin pour se préparer à la conformité au Règlement DORA.

Toutefois, les autorités de surveillance s'attendront probablement à ce que les grandes entités disposent de capacités mieux développées et à ce que les entités pour lesquelles les perturbations opérationnelles pourraient avoir des conséquences systémiques en raison de la criticité de leurs services disposent des meilleures capacités sur le marché. Toutes les entités sont donc susceptibles d'être confrontées au DORA et à son application dès janvier 2025. Il n'y a plus de temps à perdre et vous devez commencer dès aujourd'hui à planifier la mise en œuvre du Règlement DORA.

Vous devez évaluer votre état de préparation pour répondre aux exigences du DORA, tout en tenant compte des spécificités de votre secteur, afin de percevoir la complexité de votre propre parcours de mise en conformité.

Vous devez également surveiller et mettre en œuvre les versions finales des normes techniques réglementaires qui seront publiées par les autorités.

Compte tenu de l'ampleur des sujets abordés par le DORA, vous devriez lancer un projet structuré pour couvrir toutes les exigences du DORA tout en capitalisant sur vos mesures existantes en matière de sécurité numérique et de résilience. Le soutien du Top Management sera la clé du succès car le DORA exige son implication dans la gestion de la résilience numérique.

Nous pouvons vous assister tout au long de votre parcours pour développer un programme de résilience conforme au Règlement DORA

Comment Deloitte peut vous aider ?

Qu’il s’agisse de solutions spécifiques ou d’un programme complet de résilience, nous pouvons vous guider à chaque étape de votre parcours de mise en conformité à DORA :

  • Définir votre gouvernance et votre stratégie en matière de résilience opérationnelle numérique
  • Définir et mener votre programme de sensibilisation et de formation aux risques et à la résilience en matière de TIC

  • Fixer des seuils de tolérance aux risques de perturbation des activités critiques et établir des plans d'urgence pour maintenir les services de l'entreprise sur la base de ces seuils de tolérance
  • Développer/améliorer votre cadre de gestion des risques liés aux TIC et procéder à des évaluations régulières des risques liés aux systèmes legacy
  • Assistance à la gestion des risques liés aux tiers, y compris la mise à jour des contrats et la création d'un cadre de surveillance
  • Évaluer le paysage des menaces, identifier vos activités critiques et cartographier les actifs internes et externes nécessaires à leur réalisation

  • Définir les mesures préventives appropriées dans le cadre d'une approche basée sur le risque afin d'éviter que des incidents ne se produisent
  • Développer et diffuser une culture de la résilience opérationnelle

  • Améliorer votre cadre de gestion des incidents pour vous conformer aux exigences du Règlement DORA
  • Aide à la notification des incidents liés aux TIC aux autorités compétentes
  • Améliorer vos capacités de continuité et de reprise d’activité (BCP, DRP, etc.) à la lumière des menaces et des niveaux de tolérances au risque
  • Améliorer votre capacité de gestion de crise et effectuer des exercices de simulation

  • Tirer les leçons des incidents passés et des exercices de test afin d’améliorer votre cadre de résilience opérationnelle numérique
  • En profiter pour revoir vos relations avec les prestataires TIC (y compris les aspects contractuels)

Concevoir, mettre en œuvre et exécuter un programme complet de test et d'évaluation de la sécurité sur mesure

Effectuer des tests de pénétration "avancés" (« Threat-Led Penetration Testing » - TLPT) conformément au cadre TIBER-EU de la BCE (« Threat Intelligence-Based Ethical Red-Teaming »)

Concevoir et mettre en œuvre des indicateurs de risque clés et des tableaux de bord pertinents pour mesurer l'efficacité de vos capacités en matière de risques et de résilience dans le domaine des TIC