DORA

Le nombre de cyberattaques et d’incidents étant croissant, les entités financières de l’Union Européenne forment une cible de choix pour les attaquants, pouvant entrainer des conséquences graves pour les milieux financiers.  

Un Cadre Renforcé pour la Résilience Opérationnelle des Entités Financières

DORA – Digital Operationel Resilience Act – exige un niveau de résilience opérationnelle permettant de sécuriser les entités financières au regard du marché financier européen et national.  

Les précédentes directives européennes transposées dans les pays d’Europe avant le règlement DORA ne mentionnaient pas directement les services TIC – Technologies de l’Information et de la Communication.  

Ces TIC forment des interconnexions entre les entités financières et les fonctions numériques de ces entités. Leur omission dans les précédentes directives constituait un risque d’instabilité opérationnelle non identifié jusqu’alors.  
 
DORA en tant que règlement européen, vient combler ce manquement. 

Les principes de DORA 

DORA (n° 2022/2554) repose sur plusieurs principes fondamentaux : 

Gestion des risques liés aux TIC  

La gestion des risques liés aux TIC (y compris les services cloud), implique la création de nouveaux processus de gouvernance au sein de l’entité financière. 

L’entité financière reste responsable de ses services et des prestations TIC dont elle a souscrit pour ses fonctions majeures, essentielles et importantes.  
Elle endosse la responsabilité face à DORA et doit suivre les mises à jour de ce règlement de façon régulière, communiquer et notifier tout incident aux autorités compétentes.  Des fonctions de contrôle doivent être mises en place par l’organe de direction et notamment au travers d’audits internes et/ou externes. 

Un cadre de gestion du risque doit être appliqué au sein de l’entité financière. Il comprend la mise en place de stratégies, politiques, procédures, protocoles et tout autre moyen visant à réduire le niveau de risque liés aux TIC. Ce cadre doit être révisé à minima une fois par an. L’entité financière a l’obligation de documenter et classifier les fonctions métiers s’appuyant sur les TIC et leurs risques sous-jacents. Un suivi régulier de la gestion des risques TIC doit être réalisé, y compris les mises à jour en cas de modifications importantes du SI pouvant porter atteinte aux fonctions métiers. 

Les entités financières doivent être en mesure de maintenir leurs activités en cas d’instabilité numérique, grâce à des plans de reprise d'activité robustes (PRA) et à des capacités de restauration rapide (PCA).   Des politiques et procédures de sauvegarde, de restauration et de rétablissement des fonctions des entités financières sont à prévoir. Des tests sur ces procédures doivent être périodiquement effectués. Des programmes et formation de sensibilisation à la sécurité des TIC doivent être mis en place au profit des employés, des membres de la direction et des prestataires tiers de services TIC. 

Notification des incidents et communication interbancaire 

• Notification des incidents pour DORA 

Dans la gestion des risques liés aux TIC, la notification des incidents prend une place prépondérante. Il s’agit d’enregistrer tous les incidents liés aux TIC ainsi que les cybermenaces importantes.  

Pour ce faire, des procédures et processus permettant d’assurer une surveillance, un traitement et un suivi efficace des incidents liés aux TIC doivent être mis en œuvre. Les incidents sont consignés et catégorisés suivant un niveau de priorité et de gravité notamment en fonction de la criticité des services impactés.  Des rôles et responsabilités doivent être assignés afin d’assurer une gestion du risque efficace.  Des plans de communication doivent être mis en place à destination du personnel, des parties prenantes externes et des médias, des clients et du monde interbancaire dans le but de sensibiliser sur les incidents liés aux TIC. 

La notification des incidents majeurs liés aux TIC doit impérativement être communiquée aux membres de la direction de l’entité financière. Cette notification doit apporter la réponse à l’incident et les contrôles à mettre en place. Les procédures de réponse à incident doivent garantir le retour opérationnel et sécurisé du service.  

Les entités financières doivent classer les incidents liés aux TIC sur la base de différents critères : 

- Le nombre et l’importance des clients impactés 
- La durée de l’incident 
- La répartition géographique  
- Les pertes de données 
- Le niveau de criticité des services impactés 
- Les conséquences économiques à court, moyen, long terme. 

La notification d’incidents liés aux TIC doit permettre à l’autorité compétente de déterminer l’importance de l’incident et d’évaluer les éventuelles incidences transfrontalières.  La transmission de la notification, en vertu de l’application de NIS2, peut être transmise au CSIRT.  

Dès lors que l’incident est jugé à risque pour l’ensemble des Etats membres et du marché financier européen, les mesures nécessaires doivent être prises par les autorités compétentes afin de protéger la stabilité immédiate du système financier. 

Les AES (Autorité Européenne de Surveillance), avec l’aide de la BCE (Banque Centrale Européenne) et de l’ENISA (European Union Agency for Cybersecurity) élaboreront un projet de rapport conjoint afin de centraliser les notifications d’incidents au sein d’une plateforme unique de l’Union. Cela doit permettre de renforcer la convergence en matière de surveillance tout en réduisant les coûts liés à la déclaration d’incident par une entité financière. Ce rapport doit être transmis par les AES au Parlement européen, au Conseil et à la Commission au plus tard le 17 janvier 2025. 

Les AES sont formés par l’Autorité Bancaire Européenne (ABE), l'Autorité européenne des assurances et des pensions professionnelles (AEAPP) et l'Autorité européenne des marchés financiers (AEMF). 

• Communication et partage d’informations dans le monde interbancaire 

Il est recommandé aux entités financières d’échanger entre elles des informations leur permettant de se prémunir d’incidents ou cyberattaques mettant en péril leur résilience opérationnelle. Le partage de ces informations doit se faire dans le respect du RGPD.  Les prestataires de services TIC et les autorités publiques peuvent être intégrés à ces échanges.

Les AES peuvent mettre en place des mécanismes de partage entre les secteurs financiers. Elles peuvent mettre au point des mécanismes de gestion de crise et d’urgence reposant sur des scénarios de cyberattaques afin de développer une réponse efficace et coordonnée au niveau de l’Union. Ces exercices peuvent aussi permettre de tester les relations d’interdépendances du secteur financier vis-à-vis d’autres secteurs économiques. 

• Tests de résilience opérationnelle numérique 

Dans le cadre de la gestion du risque lié aux TIC, il est nécessaire pour les entités financières de procéder à des tests de résilience opérationnelle numérique. Ces tests prennent en considération l’évolution du risque lié aux TIC, les risques spécifiques liés aux entités financières, la criticité des actifs et services fournis et tout autre facteur jugé approprié par l’entité financière. 

Ces tests sont effectués par des parties indépendantes (internes ou externes) aux entités financières. Ils doivent être réalisés à hauteur minimale d’une fois par an sur les systèmes et applications de TIC qui soutiennent des fonctions critiques ou importantes de l’entité financière. Ils conservent une approche proportionnelle aux risques, aux délais, à l’urgence et à la taille de l’entité. 

Les tests appropriés sont :  

- Les évaluations et analyses de vulnérabilités 
- Analyses de sources ouvertes 
- Evaluation de la sécurité des réseaux 
- Analyses des écarts (Gap Analysis) 
- Examens de la sécurité physique 
- Questionnaires et solutions logicielles de balayage 
- Examens du code source 
- Tests fondés sur les scénarios 
- Tests de compatibilité 
- Tests de performance 
- Tests de bout-en-bout 
- Tests de pénétration (Pentest) 

Les tests de pénétration fondés sur la menace doivent être réalisés au moins une fois tous les 3 ans. Cette fréquence de tests est variable et peut-être réduite suivant l’évaluation du risque estimé par l’autorité compétente.  Ces tests de pénétration sont exercés sur les environnements de production des fonctions critiques ou importantes de l’entité financière et des services TIC supportant ces fonctions. L’entité financière prend la responsabilité et doit s’assurer de la coopération des prestataires lors des tests de pénétration.  

Les entités financières font principalement appel à des testeurs externes sélectionnés sur des critères spécifiques mentionnés par DORA.  A l’issue du test, les testeurs fournissent à l’autorité compétente, une synthèse des conclusions, les plans de mesures correctives et la documentation démontrant que le test de pénétration a été effectué conformément aux exigences. Les autorités fournissent aux entités financières une attestation qui confirme que le test a été effectué conformément aux exigences. 

• Gestion des risques liés aux prestataires tiers de services TIC 

Le cadre de gestion du risque lié aux TIC doit prendre en considération les risques liés aux prestataires tiers de ces services TIC. Les entités financières qui délèguent à des prestataires, demeurent responsables du respect et de l’exécution des obligations de DORA. L’organe de direction examine régulièrement les risques identifiés concernant les accords contractuels liés aux services TIC qui supportent des fonctions critiques ou importantes. Les entités financières tiennent et mettent à jour un registre d’informations en rapport avec tous les accords contractuels portant sur l’utilisation de services TIC. 

Ces accords sont documentés et définissent la distinction entre les services TIC qui soutiennent des fonctions critiques, versus ceux qui ne le font pas. 

Les entités financières communiquent au moins une fois par an aux autorités compétentes : 

- Le nombre de nouveaux accords relatifs à l’utilisation de services TIC, 
- Les catégories de prestataires tiers de services TIC, 
- Le type d’accords contractuels 
- Les services et fonctions de TIC qui sont fournis

Sous certaines conditions, les entités financières peuvent résilier leurs accords avec les prestataires tiers de services TIC.  

La résiliation de ces accords ne doit pas : 

- Perturber les activités,  
- Restreindre le respect des exigences règlementaires  
- Porter atteinte à la continuité et à la qualité des services fournis aux clients des entités financières.  

Les entités financières doivent mettre en place des stratégies de sortie pour les services TIC qui soutiennent des fonctions critiques ou importantes. Elles doivent s’assurer de pouvoir facilement transférer et en toute sécurité, les fonctions détenues par un prestataire de service TIC vers un autre prestataire ou en interne. Elles doivent prendre en considération, lors de la signature de contrat avec un prestataire de services TIC, la sous-traitance exercée par ce dernier pour les fonctions critiques ou importantes. L’entité financière doit se maintenir informée de la solvabilité du prestataire et prévoir la récupération urgente des données en cas de faillite de ce dernier. 

Lorsque le prestataire est établi dans un pays en dehors de l’UE, l’entité financière s’assure du maintien du respect de DORA, du RGPD et se tient informé de l’application de la législation dans ce pays tiers. 

Pour conclure, le cadre réglementaire DORA, bien qu'exigeant, représente une opportunité pour renforcer la sécurité de votre organisation. Forts de notre expertise en cybersécurité et en conformité réglementaire, nos consultants vous accompagnent dans la mise en œuvre de solutions adaptées à vos enjeux spécifiques. Ensemble, nous construisons votre dispositif de sécurité.