La loi sur la résilience opérationnelle numérique (Règlement (UE) 2022/2554, également appelée DORA) est un règlement européen proposé par la Commission européenne en septembre 2020. DORA est entré en vigueur le 16 janvier 2023 et s’appliquera à compter du 17 janvier 2025. Produit dans le cadre de la stratégie numérique globale de l’UE, il vise à renforcer la résilience opérationnelle des entités financières opérant en Europe et des prestataires tiers de services TIC (technologies de l’information et de la communication) qui leur sont associés, en établissant un ensemble commun de règles et de normes en vue d’atténuer les risques liés aux TIC.
Le secteur financier dépend de plus en plus des services et des technologies numériques pour fournir ses services. Cette transformation numérique a rendu les entités financières plus vulnérables aux cyberattaques et aux incidents de sécurité. Les entités financières et les prestataires de services TIC sur lesquels elles s’appuient représentent un composant vital de l’infrastructure critique de l’UE. Mal gérés, les risques liés aux TIC peuvent entraîner des perturbations dans plusieurs pays et secteurs d’activité, avec un impact conséquent sur l’économie dans son ensemble. Pour toutes ces raisons, le règlement DORA influence de manière globale la façon dont les entités financières gèrent les risques liés aux TIC, déclarent les incidents et renforcent leur résilience. Il facilite également le partage de renseignements sur les menaces et les vulnérabilités.
Vers une harmonisation du secteur financier à l’échelle de toute l’Europe
Avant DORA, le secteur des services financiers au sein de l’UE opérait sans cadre commun en matière de TIC et de cybersécurité. Le paysage réglementaire se caractérisait par une mosaïque complexe de normes à la fois européennes et nationales qui n’étaient pas harmonisées. Par ailleurs, les institutions financières devaient s’accommoder des difficultés liées à la protection des données du règlement général sur la protection des données (RGPD) de l’UE, tout en respectant les obligations de protection des infrastructures critiques énoncées par la directive NIS (Network andInformation Systems). En l’absence de réglementation européenne, chaque État membre avait la responsabilité de rédiger et d’appliquer ses propres lois en vue de gérer les problèmes multifactoriels associés à la gestion du risque.
En quoi consiste un règlement au sein de l’UE ?
Avant de nous intéresser de plus près à la loi sur la résilience opérationnelle numérique, il est important de bien comprendre ce que le terme « règlement » couvre dans le contexte des politiques et des autres types d’instruments législatifs de l’UE.
En dehors de l’UE, le sens du terme peut varier selon le pays. Au sein de l’UE, on distingue cinq types d’actes législatifs ou juridiques qui permettent d’atteindre les objectifs des traités de l’Union. Il s’agit des règlements, des directives, des décisions, des recommandations et des avis.
Règlement : acte législatif contraignant devant être directement mis en œuvre dans son intégralité par tous les États membres. Le règlement général sur la protection des données (RGPD) entre dans cette catégorie.
Directive : acte législatif qui fixe des objectifs devant être atteints par les différents États membres de l’UE ; toutefois, chaque pays est libre d’élaborer ses propres mesures pour atteindre ces objectifs. La directive NIS2 est entrée en vigueur en 2023, et chaque État membre est responsable de mettre en œuvre la directive dans sa législation nationale.
Décision : acte contraignant pour les destinataires auxquels il s’adresse, et directement applicable. Par exemple, lorsque le Conseil rend une décision relative à l’adoption de l’Euro par un État membre, cette décision ne concerne qu’un pays spécifique.
Recommandation : texte non contraignant émis par une institution de l’UE afin d’exprimer son avis sur un sujet donné et de recommander des actions à entreprendre, sans implication ni obligation juridique vis-à-vis des entités mentionnées dans la recommandation.
Avis : texte non contraignant émis par une institution de l’UE en vue d’exprimer son avis sur un sujet donné.
Quel est le périmètre d’application de DORA ?
S’applique à toutes les institutions financières de l’UE : cette dénomination couvre les entités traditionnelles, comme les banques, les entreprises d’investissement et les établissements de crédit, ainsi que les entités non traditionnelles telles que les prestataires de services sur crypto-actifs. L’article 2(1) de DORA définit la liste exhaustive des entités concernées pour le secteur financier de l’UE, les exceptions étant répertoriées dans l’article 2(3). De plus, les prestataires tiers de services TIC peuvent être soumis à ce règlement même s’ils ne sont pas basés en Europe. Tous les prestataires tiers fournissant des services à une entreprise européenne sont concernés. Les dispositions spécifiques applicables aux entités financières et aux prestataires de services tiers feront l’objet d’un autre article.
Les cinq piliers stratégiques de DORA
Le texte du règlement identifie cinq piliers, couvrant différents domaines et aspects des TIC et du risque cyber, qui doivent être gérés par les entités financières en vue de garantir leur conformité.
Gestion du risque lié aux TIC
Les entités financières doivent disposer de cadres robustes de gouvernance et de contrôle pour gérer de façon efficace le risque lié aux TIC. Ces dispositions incluent, sans toutefois s’y limiter, l’anticipation des risques liés aux TIC, la tenue à jour des systèmes, ou encore la mise en œuvre de stratégies de résilience opérationnelle numérique
Gestion, classification et notification des incidents liés aux TIC
Les entités financières doivent établir un processus destiné à identifier et à gérer les incidents liés aux TIC, en veillant à signaler les incidents majeurs aux autorités concernées.
Tests de résilience opérationnelle numérique
Les systèmes et les outils de TIC doivent faire l’objet de tests réguliers afin d’identifier et de corriger leurs vulnérabilités ou leurs carences en matière de résilience opérationnelle numérique. Ces tests incluent des tests d’intrusion réalisés par des tiers, ainsi que des tests de pénétration fondée sur la menace.
Gestion des risques liés aux prestataires tiers de services TIC
Ce pilier met l’accent sur la gestion saine des risques liés aux prestataires tiers de services TIC, notamment en matière d’audit préalable, de dispositions contractuelles et de risque de concentration informatique.
Partage d’informations
Le partage d’informations avec les autorités et entre les entités financières concernées contribue à la résilience opérationnelle numérique de tous, en particulier dans le contexte des cybermenaces et des vulnérabilités.
La conformité réglementaire n'est que la première étape de la résilience opérationnelle numérique
C-Risk peut vous aider à communiquer efficacement l'impact financier et opérationnel des cyberrisques, en garantissant une allocation stratégique des ressources qui correspond à vos objectifs commerciaux.
Autorités européennes de surveillance et DORA
Les autorités européennes de surveillance (AES) ont pour fonction première d’harmoniser la surveillance financière au sein de l’UE en s’appuyant sur un ensemble de normes prudentielles pour les institutions financières. Les AES participent à garantir la conformité et à « équilibrer les chances ». Elles sont également responsables d’évaluer les risques et les vulnérabilités dans le secteur financier. Les autorités qui composent les AES sont les suivantes :
· Autorité bancaire européenne (ABE)
· Autorités européennes des assurances et des pensions professionnelles (AEAPP)
· Autorité européenne des marchés financiers (AEMF)
Dans le but d’opérationnaliser l’application de DORA, les AES agissent par l’intermédiaire du comité mixte et en concertation avec la banque centrale européenne (BCE) et l’ENISA en vue d’élaborer 13 éléments de politique répartis en deux lots. Ces éléments de politique incluent des normes techniques de réglementation (RTS), des normes techniques d’exécution (ITS) et des directives (GL). Ces instruments sont nécessaires pour apporter des précisions techniques détaillées en vue de la mise en œuvre de la législation.
Le premier lot d’éléments de politique inclut :
· des RTS relatives aux cadres de gestion des risques liés aux TIC et des RTS relatives aux cadres simplifiés de gestion des risques liés aux TIC ;
· des RTS relatives aux critères de classification des incidents liés au TIC ;
· des ITS destinées à établir les modèles de registres d’informations ;
· des RTS visant à préciser la politique relative aux services TIC réalisés par des prestataires tiers de services TIC.
Le second lot d’éléments de politique inclut :
· des RTS et des ITS relatives au contenu, aux calendriers et aux modèles de déclaration d’incidents ;
· des GL relatives aux coûts et pertes agrégés découlant d’incidents majeurs ;
· des RTS relatives à la sous-traitance de fonctions critiques ou importantes ;
· des RTS relatives à l’harmonisation de la surveillance ;
· des GL relatives à la coopération en matière de surveillance entre les AES et les autorités compétentes ;
· des RTS relatives aux tests de pénétration fondés sur la menace (TLPT).
Le premier ensemble de projets finaux de normes techniques a été publié le 17 janvier 2024 par les AES. La Commission européenne procèdera à l’examen de ces normes techniques en vue de les adopter. Le deuxième lot de normes techniques sera soumis à la Commission européenne qui publiera ses directives avant le 17 juillet 2024.
Même si la version finale de ces textes n’a pas encore été produite par les AES, les entreprises ont tout intérêt à anticiper sur les mesures de conformité en basant leur feuille de route sur les cinq piliers de DORA.
Les défis de la conformité DORA
Les principaux défis à relever pour se conformer à la loi DORA sont parallèles aux cinq piliers du règlement. Les organisations concernées par le règlement doivent se concentrer sur la mise en œuvre de politiques et de procédures fondées sur les risques afin d'identifier, de mesurer, de surveiller, de signaler et d'atténuer les risques liés aux TIC et aux cyberrisques. En outre, un élément essentiel de la résilience opérationnelle numérique globale est l'évaluation régulière des capacités et de la sécurité des TIC et de la cyber en cas d'incident ou de cyberattaque liés aux TIC.
Avez-vous une stratégie de résilience numérique pour votre entreprise ? Avez-vous mis en œuvre une politique relative aux fournisseurs de services TIC tiers ? Comment documentez-vous vos politiques ? Comment les principales parties prenantes des différents départements de votre organisation communiquent-elles sur les risques liés aux TIC et à la cyber ?
Une gestion des risques fondée sur les données et l'analyse quantitative
La conformité est un excellent point de départ pour construire une organisation sécurisée, mais elle ne garantit pas la gestion efficace des risques, la productivité ou la croissance.
La quantification des cyberrisques à l'aide du modèle Open FAIR™ aide les équipes de sécurité à mesurer, gérer et communiquer les risques d'un point de vue commercial, en termes financiers. C'est un moyen efficace d'aider à construire un haut niveau de résilience opérationnelle numérique. Récemment, le FAIR Institute a introduit des extensions à la norme qui traitent des contrôles, de la matérialité, du risque de tiers et de l'IA, qui peuvent tous jouer un rôle dans la conformité au DORA.
Le premier pilier de la norme DORA est la gestion des risques liés aux TIC. Ce pilier exige des conseils d'administration qu'ils aient les connaissances et les compétences nécessaires pour évaluer les risques liés à la cybersécurité et pour évaluer les politiques et les solutions en matière de TIC. Cela peut s'avérer difficile lorsqu'il y a une rupture de communication entre les équipes de sécurité et les dirigeants, ce qui peut conduire à un contrôle moins efficace de la part du conseil d'administration. La quantification des risques à l'aide de FAIR permet aux équipes de sécurité de communiquer les risques liés aux TIC dans des termes commerciaux compréhensibles par le conseil d'administration.
Outre la gouvernance, le premier pilier exige également des cadres de contrôle qui garantissent une gestion efficace de tous les risques liés aux TIC. L'extension FAIR FAIR-CAM aborde la "physiologie du contrôle". Il s'agit de "la manière dont un système de contrôle fonctionne et interagit, ainsi que les unités de mesure".
En exploitant les données et l'analytique à l'aide du modèle FAIR, les entités financières peuvent obtenir une perspective fondée sur les données de leur exposition aux risques et prendre des mesures proactives pour atténuer les risques liés aux TIC.
Les entités financières peuvent déterminer l'impact des incidents liés aux TIC sur la base de facteurs tels que le nombre de clients touchés, les pertes de données et l'impact économique, y compris les coûts de remplacement, les coûts de personnel, les frais divers, les pertes dues au manque à gagner, les coûts de communication et de conseil, etc. L'analyse quantitative permet de déterminer l'impact probable d'un scénario de risque, ce qui permet d'établir des rapports plus rapides et plus précis.
La gestion des risques liés aux TIC pour les tiers incombe également aux entités financières. L'extension FAIR-TAM du modèle FAIR met l'accent sur une hiérarchisation des risques, un suivi complet et continu et des mesures d'atténuation réalisables. En adoptant une approche fondée sur les données, les entités financières peuvent évaluer le niveau de risque posé par les fournisseurs tiers de TIC critiques sur la base des données historiques et des tendances actuelles.
Les décideurs disposent ainsi d'informations complètes leur permettant de prendre des décisions éclairées concernant les relations avec les tiers. Cela inclut les décisions relatives à la sélection des fournisseurs, à la négociation des contrats et à la surveillance.
Les régulateurs attendent des décisions transparentes, défendables et cohérentes. La quantification des cyberrisques à l'aide de FAIR est fondamentalement transparente, défendable et cohérente. Elle peut être mise en œuvre facilement et rapidement. Il s'agit d'une capacité autonome qui ne dépend pas de la maturité globale de l'organisation.
À l’heure où les échéances de conformité à DORA se rapprochent, C-Risk se tient à vos côtés pour vous aider à relever les défis de gestion des risques liés aux TIC.
Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.