Le 10 novembre 2022, le Parlement européen a adopté le règlement sur la résilience opérationnelle informatique du secteur financier – dit « DORA » ou « Digital Operational Resilience Act ».
Qu’est-ce que DORA ? Quel est son objectif ?
Son objectif est simple : améliorer la résilience opérationnelle informatique, harmoniser et mettre à niveau les exigences existantes en matière de risques liés aux technologies de l'information et de la communication (TIC) pour toutes les sociétés de services financiers de l'Union européenne (UE) - notamment les établissements de crédit, de paiement, de monnaie électronique, les compagnies d’assurance ou encore les sociétés de gestion.
Ce projet permet de déployer un nouveau cadre de gouvernance et de contrôle interne concernant : la gestion des risques informatiques, la déclaration des incidents majeurs liés aux technologies, les tests de résilience opérationnelle informatique, ainsi que la gestion du risque de tiers avec notamment la supervision directe des prestataires de services « critiques ».
Ce cadre réglementaire unifié est indispensable au renforcement de la sécurité informatique du secteur financier. Il est d’autant plus urgent en cette période, où les cyberattaques sont de plus en plus complexes et sophistiquées.
Pourquoi est-ce important pour la partie TPRM (Third-Party Risk Management) ?
L'un des points les plus importants du DORA est l'accent mis sur les risques liés aux tiers. DORA permet, en effet, de s'assurer que les organisations ont mis en place les processus, outils et personnel nécessaires pour identifier et réduire les risques liés aux tiers - de manière continue. L'objectif n'est donc pas seulement de prévenir les incidents majeurs liés aux TIC, mais de gérer et de réduire les risques liés aux TIC à un niveau acceptable pour les organisations financières.
DORA impose également, des règles plus strictes en demandant aux entités financières d'ajouter des exigences en matière de gestion des risques liés aux TIC, dans les contrats conclus avec leurs prestataires de services tiers (comme les prestataires qui fournissent des services onlines « en mode cloud » ou des logiciels on-premise).
Ces exigences s'articulent autour de trois axes principaux !
Dans un premier temps, les organismes financiers doivent disposer d'une politique et d'une stratégie définies en matière de risques liés aux tiers. L'autorité de régulation attend qu'il y ait une adhésion claire de la part de la direction, qui soit communiquée à l'ensemble de l'organisation sous la forme d'un plan d'actions. Ils devront, également, tenir un registre standard d’informations contenant la vue complète de tous leurs fournisseurs tiers de TIC, les services qu’ils fournissent et faire rapport - sur les modifications apportées à ce registre - au régulateur annuellement. Ils devront évaluer les fournisseurs de services TIC en fonction de certains critères avant de conclure un contrat (comme le niveau de sécurité, le risque de concentration ou les risques de sous-traitance). Ils devront, finalement, prévoir et adopter une stratégie de sortie en cas de défaillance d’un fournisseur, en envisageant une stratégie multifournisseur par exemple.
Dans un second temps, les entités financières de l'UE doivent - depuis la mise en place du DORA - réaliser les due diligences avant la contractualisation. Il est alors essentiel de comprendre le niveau de risque introduit par un tiers. Il est, aussi, nécessaire de comprendre le dispositif de sécurité du tiers ou les risques de sous-traitance.
Dans un troisième temps, DORA énonce une liste d’éléments devant - a minima - figurer dans tous les contrats conclus entre une entité financière et un prestataire IT. Vous pourrez alors retrouver parmi ceux-ci : l’indication des lieux où les services seront fournis et les données seront traitées, des dispositions sur la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, l’obligation pour le prestataire tiers de services IT de fournir à l’entité financière - sans frais supplémentaires ou à un coût déterminé ex ante - une assistance en cas d’incident, l’obligation pour le prestataire de coopérer pleinement avec les autorités compétentes et les autorités de résolution de l’entité financière, les droits de résiliation ainsi que les délais de préavis minimaux, etc.
Ce règlement établit donc un cadre de supervision des prestataires critiques de services informatiques, qui seront désignés par les Autorités européennes de surveillance (AES) au regard d’un ensemble de critères. Attention donc à : l’effet systémique sur la stabilité, la continuité ou la qualité de la fourniture de services financiers, la dépendance des entités financières, le degré de substituabilité... Ils feront l’objet d’évaluations annuelles au regard des exigences de résilience - telles que la disponibilité, la continuité, l’intégrité des données, la sécurité physique, les processus de gestion des risques, la gouvernance, les rapports, la portabilité, les tests, etc.
Les entités financières se doivent, aujourd’hui plus que jamais, de dresser un dispositif de gestion des risques liés aux TIC solide, complet et bien documenté, qui leur permettra de parer tous les risques de manière rapide, efficiente et exhaustive et, d’ainsi, garantir un niveau élevé de résilience opérationnelle numérique contre les cybermenaces et les perturbations opérationnelles liées aux vulnérabilités des TIC. Et dans le cadre de cette mise en conformité de votre entreprise, n’hésitez pas à faire appel aux experts à votre disposition !