Résilience Opérationnelle Numérique (DORA) : décryptage de la règlementation européenne

Le 10 novembre 2022, le Parlement européen a adopté la proposition du projet de règlement sur la résilience opérationnelle des systèmes numériques dans le secteur financier, connu sous le nom de Digital Operational Resilience Act (DORA). Cet accord établit ainsi un cadre spécifique pour renforcer la résilience et faire face à la multiplication des nouveaux enjeux. Publié au Journal officiel de l'UE (JOUE) le 27 décembre 2022, le règlement est entré en vigueur début 2023 et s'appliquera à partir de 2025 aux 27 Etats membres de l'UE. Mais quelles sont les implications pour le secteur financier et pourquoi l'industrie doit-elle se conformer à cette nouvelle réglementation de l'Union européenne ?

DORA : Contexte Réglementaire et Objectifs Stratégiques

Quel est le contexte réglementaire ?

La résilience opérationnelle pour le secteur financier dans le domaine du numérique plus communément appelé « DORA » (Digital Operational Resilience Act) est une loi du Parlement européen visant à établir des exigences uniformes afin d’obtenir un niveau élevé de résilience opérationnelle numérique.

Qu’est-ce que la résilience opérationnelle ? Pourquoi DORA ?

La résilience opérationnelle numérique réside dans la capacité des entreprises à maintenir leur intégrité opérationnelle face aux perturbations liées aux TIC. DORA, réglementation de l'UE, instaure un cadre normatif pour la résilience opérationnelle numérique, unifiant les règles pour toutes les institutions financières réglementées. Il constitue la première consolidation législative des règles communes relatives aux risques liés aux TIC dans le secteur financier. De plus, DORA introduit un cadre de surveillance à l'échelle de l'UE pour les prestataires de services TIC tiers jugés « critiques » pour les entités financières, assurant ainsi une supervision européenne adéquate.

Quels sont les objectifs de DORA ?

L'objectif de DORA est de définir une base plus claire pour que les régulateurs et superviseurs financiers de l'UE étendent leur rôle. Au-delà de s'assurer de la résilience financière des entreprises, DORA vise à garantir qu'elles maintiennent également des opérations robustes en cas de perturbation majeure liée à leurs systèmes informatiques. Cette initiative a pour finalité de façonner un secteur financier européen compétitif, offrant aux consommateurs un accès à des produits financiers innovants et sécurisés, tout en assurant une stabilité financière globale. Une caractéristique essentielle de DORA réside dans sa capacité à identifier les lacunes potentielles, intégrant ensuite les actions de remédiation dans les programmes numériques des entités.

L'impact de DORA sur les entreprises, en particulier dans le secteur financier, devrait donc être significatif. Cette législation établit un cadre crucial en vertu de renforcer la résilience opérationnelle numérique, en garantissant que les entités financières peuvent résister efficacement aux perturbations liées aux technologies de l'information et à l'interconnexion croissante dans acteurs. Au sein de RSM notre rôle est d'accompagner les entreprises réglementées dans la mise en œuvre de DORA, en veillant à ce qu'elles demeurent compétitives, innovantes et en mesure de maintenir une stabilité financière dans la continuité de leur conformité réglementaire. RSM aide et conseille un grand nombre d'acteurs des secteurs privé et public à améliorer leur posture de cybersécurité ainsi qu'à mettre en œuvre les travaux nécessaires pour se conformer aux exigences et les principes en vue de DORA, avec notamment les services suivants :

• Implémentation de SMSI (ISO 27001),
• Audit de sécurité,
• Formation et sensibilisation,
• Gestion et sécurité de l’information,
• Évaluation de la maturité de la gestion des incidents,
• Test d’intrusion
• …

Quels sont les 5 piliers qui encadrent la résilience opérationnelle numérique ?

DORA vise à simplifier et à mettre à jour les règles de gestion des risques liés aux TIC. Cela comprend un accent sur les rapports d'incidents, les tests de résilience opérationnelle numérique, le partage d'informations et la gestion des risques liés à la chaîne d'approvisionnement des tiers. L'objectif principal est d'évaluer toutes les lacunes et d'inclure les actions de remédiation dans leurs propres programmes numériques. Les principales exigences et considérations au sein de DORA sont résumés en cinq grands thèmes :

1 - Gestion du risque lié aux TIC 

DORA exige la mise en place d'un cadre exhaustif de gestion des risques liés aux technologies de l'information, fondamental pour renforcer la résilience des entreprises financières. Il incombe à l'organe de direction d'assumer la responsabilité ultime de la gestion des risques liés aux TIC au sein de l'entité financière. À titre d'exemple, la création d'un cadre de gouvernance et de contrôle cohérent constitue une initiative concrète visant à garantir à ce que les risques liés aux TIC soient gérés de façon efficace. Intégré dans un dispositif global de gestion des risques, il s'intègre dans une stratégie de résilience opérationnelle numérique.

2 - Dispositifs de partage d’informations

Pour sensibiliser aux risques croissants liés aux TIC, limiter son impact, tout en soutenant les capacités de défense des entités, le règlement propose aux entités de mettre en place des dispositifs pour échanger entre elles des informations sur les cyberattaques et les autres cybermenaces, ainsi que des renseignements via des plateformes informatiques dédiées.

3 - Gestion des risques liés aux prestataires tiers de services TIC

Inspirées des normes, directives et recommandations nationales, internationales et industrielles, les exigences s'articulent autour de fonctions spécifiques dans la gestion des risques liés aux TIC :

• Identification,
• Protection et prévention,
• Détection,
• Réponse et récupération,
• Apprentissage,
• Évolution et communication.

Afin d'être résilient face aux risques liés aux TIC, les entreprises de la finance doivent disposer d'un processus documenté, solide et complet, qui prend en compte l'ensemble des éléments externes susceptibles de stopper durablement ses activités.
 

4 - Test de résilience opérationnelle numérique

DORA décrit l'obligation de mettre en œuvre un programme de tests de résilience opérationnelle numérique proportionnel et basé sur les risques, ils font partie intégrante du dispositif de gestion des risques. Le programme prévoit l'exécution d'une gamme complète de tests appropriés, tels que des évaluations et des analyses de vulnérabilité, des analyses open source ou encore des évaluations de la sécurité du réseau afin de faire face aux menaces.

5 - Gestion, classification et notification des incidents liés aux TIC

L'instauration d'un mécanisme de déclaration d'incidents uniforme vise à alléger les charges administratives pour les entités financières, renforçant ainsi l'efficacité de la surveillance. Cette déclaration suit un modèle standardisé et une procédure harmonisée pour un traitement optimal : détecter, gérer et notifier les incidents TIC. Les incidents majeurs doivent eux être reportés aux membres de la direction et ses divers organes, mais également être déclarés aux autorités compétentes. Cette déclaration se fera grâce à un modèle commun, qui sera défini par l'AES (Autorité Européenne de Surveillance). De plus, les entités pourront également déclarer les cybermenaces avancées sur la base du volontariat. 

En conclusion, les thèmes clés abordés par cette réglementation, tels que la gouvernance, le partage d'informations, la gestion des risques cyber des tiers, les tests de résilience opérationnelle, et les rapports d'incidents sont les piliers de la réglementation et démontrent l'importance accordée à la construction d'une infrastructure numérique résiliente et sécurisée. Au sein de RSM, vous trouverez des propositions de solutions pour chaque matière.

Le concept de résilience opérationnelle du législateur européen met ainsi l’accent sur la nécessité de faire évoluer la manière dont les entreprises appréhendent la gestion des risques opérationnels, d’une approche centrée sur la prévention des risques et la limitation des pertes vers une approche plus globale et proactive. Le législateur européen a compris que les incidents, même les moins probables, peuvent se produire et qu’il faut être prêt à les traiter et à assurer la continuité des activités et services critiques ou importants.
 

Comment DORA va impacter les organisations ?

Quelles sont les entités concernées ?

Les règles de DORA sont destinées à couvrir un très large éventail d'entreprises du secteur de la finance, mais aussi les prestataires de services TIC qui opèrent au sein de l'Union Européenne, qui devront répondre à des exigences appliquées proportionnellement en fonction de la taille et du profil de l'entreprise. Voici une liste non exhaustive des entités concernées par DORA :

• Établissements de crédit
• Établissements de paiement et établissements de monnaie électronique
• Fournisseurs de services de crypto-actifs
• Dépositaires centrales
• Plateformes de négociation
• Gestionnaires de fonds d’investissement et sociétés de gestion
• Fournisseurs de services IT
• Entreprises et intermédiaires d'assurance et de réassurance
• Institutions de prévoyance professionnelle
• Agences de notation
• Commissaires aux comptes et cabinets d'audit
• Administrateurs de benchmarks critiques
• …

DORA s'adresse donc à un très large groupe d'utilisateurs et définit un cadre uniforme intégrant les banques, les compagnies d'assurance, les prestataires de services de paiement et les autres acteurs du secteur financier. Seules les « micro-entreprises » de moins de 10 salariés et réalisant un chiffre d'affaires annuel de 2 millions d'euros sont exemptées.

Quelles sont les principales dates à retenir ?

Avec une application directe à partir du 17 janvier 2025, le règlement harmonise les normes européennes pour l'ensemble des États membres de l'UE.

Notons qu’une directive (2022/2556) accompagne ce règlement en incorporant des références au sein du cadre législatif existant de l'UE, incluant les Directives CRD IV, DSP2, BRRD, Solvabilité 2, IORP2, MiFID 2, AIFM, entre autres. Elle devra être transposer par les Etats membres d’ici le 17 janvier 2025.

Pour anticiper ces changements, les acteurs du marché et les prestataires de services TIC concernés devraient débuter dès à présent à se préparer en interne, en évaluant les impacts opérationnels et stratégiques de cette nouvelle réglementation, et de mettre en place une politique adéquate.

Afin de faciliter cette transition, la Commission européenne publiera un ensemble de normes réglementaires techniques et d'exécutions (RTS et ITS) en collaboration avec les autorités européennes de surveillance (EBA, EIOPA, ESMA). La publication des RTS et ITS se fera en deux étapes, la première partie a été publié en janvier 2024 et la seconde aura lieu en juillet 2024.

Voici un schéma ci-dessous des différentes phases effectuées pour l’adoption de DORA : 

En conclusion, les thèmes clés applicables à cette réglementation, tels que la gouvernance, le partage d'informations et de données, la gestion des risques des tiers, les tests de résilience opérationnelle, et les processus de rapports d'incidents, démontrent l'importance accordée à la construction d'une infrastructure numérique résiliente et sécurisée.