07-08-2024 09:45:06
3'40"
#security#cybersecurity#dora#finance# european-regulation
La loi sur la résilience opérationnelle numérique (DORA — Digital Operational Resilience Act) est un règlement de l'UE qui est entré en vigueur le 16 janvier 2023 et qui s'appliquera à partir du 17 janvier 2025.
Ce règlement vise à renforcer la sécurité informatique des entités financières telles que les banques, les compagnies d'assurance et les entreprises d'investissement et à s'assurer que le secteur financier en Europe est en mesure de résister à des tentatives de perturbations opérationnelles graves.
DORA s'applique à ± 20 types différents d'entités financières et de fournisseurs de services tiers.
Vous en trouverez le texte officiel en anglais ici : Regulation - 2022/2554 - EN - DORA - EUR-Lex et ici Digital Operational Resilience Act (DORA) - European Union.
Avec le lien suivant, vous pouvez trouver la version complète du document de 79 pages (.pdf en français) : DORA
Si l'entreprise pour laquelle oeuvre le responsable de la Transformation Digitale se trouve être partie prenante du monde financier, directement ou indirectement, je conseille une lecture attentive des textes présentés ci-dessus pour vérifier l'applicabilité de DORA à votre cas particulier. Par exemple, les intermédiaires d'assurance, les intermédiaires de réassurance et les intermédiaires d'assurance à titre accessoire qui sont considérés comme des microentreprises ou des petites ou moyennes entreprises ne devraient pas relever du règlement DORA. Sont aussi exclues les personnes physiques et morales visées aux articles 2 et 3 de la directive 2014/65/UE et qui sont autorisées à fournir des services d’investissement sans être tenues d’obtenir un agrément. Bref, vérifiez les textes.
Quels sont les sujets principaux de DORA, sur quels éléments DORA veut influer ?
- Sur le Risk Management,
- Sur l'evaluation des risques liés aux parties tierces et particulièrement aux parties tierces critiques,
- Sur les tests de résilience et robustesse des systèmes informatiques (de tels tests doivent être mis au point par des spécialistes en sécurité de ces questions; je vous conseille de les standardiser) et venir alimenter les batteries de tests habituelles, notamment fonctionnels, de préférence de manière automatisée. La stricte application des procédures (et donc aussi de leurs tests) de Business Continuity et autres DRP — Disaster Recovery Plan s'avère des conditions sine qua non.
- Sur la gestion des incidents (et partant des problèmes) et notamment ceux qui peuvent apparaître chez les fournisseurs,
- Sur le partage d'informations, et en particulier les requêtes qui pourraient émaner des autorités compétentes (obligation de notifications d'incidents au titre de diverses directives). Échanger de l'information est essentiel pour DORA mais encore faut-il s'assurer que l'échange puisse être compris. C'est la raison pour laquelle DORA insiste à construire des formats, des types, des taxonomies, … reconnus par l'ensemble de l'industrie financière européenne. Enfin, lorsque de telles informations contiennent des données à caractère privé, il faut veiller à respecter les règlements appropriés.
- Assurer la prise de conscience et, le cas échéant, la formation de l'ensemble du personnel aux cyberrisques (et donc prouver que prise de conscience et formation ont bien eu lieu) ainsi qu'à respecter une hygiène informatique rigoureuse [1] .
Le calendrier est important ! 2025 ! Il s'agirait de ne pas perdre de vue l'arrivée prochaine, programmée depuis 2023, d'un euro numérique. La mise en force de DORA n'est pas un hasard.
En tant que responsable d'une Transformation Digitale, il n'est
pas envisageable de mettre DORA de côté ! Ce ne sera probablement
pas votre travail de mener cette adaptation aux lois européennes,
mais il est sûr par contre que votre transformation devra
s'accomoder des obligations
De manière plus spécifique, il vous sera demandé de pouvoir justifier d'une grille d'évaluation de vos fournisseurs et en la matière, je vous conseille de vous intéresser de près à la partie SAM du modèle CMMI (Supplier Agreement Management) et aux work products y associés (documentation, installation, guide opérateur, guide d'utilisation, …) tous produits qui sont en général déterminés au cours des premières étapes de la planification et du développement de votre projet. Ne sous-estimez pas les produits/documentations techniques, des oubliés fréquents. Un travail conjoint avec les architectes, tant d'entreprise que de solutions, est indispensable, notamment pour juger de l'interdépendance des systèmes et de la propagation éventuelle de problèmes de sécurité (ce qui, dans le monde d'aujourd'hui, peut aisément se répercuter en-dehors des limites de l'organisation).
Il ne serait pas sérieux de passer sous silence l'obligation de suivi continu des évolutions technologiques pertinentes, ce qui, je l'avoue humblement, est un véritable casse-tête permanent, au moins dans les missions que j'ai pu conduire : que dire de cette version de tel outillage (API ou autre) qui est en retard de 3 numéros de version qui ont, justement, résolu différents incidents ou failles de sécurité ? Cela vous est aussi arrivé, j'en suis sûr et ici je peux faire référence à au moins un incident critique qui est survenu suite au non-alignement de la dernière version de Spring (Java) qui nous a valu, dans une grande banque de la place, d'afficher des informations d'un client à un autre client !
Après cette longue introduction, voyons tout cela de manière plus structurée …
Objectifs et portée
Le DORA a été conçu pour garantir que toutes les entités financières, y compris les banques, les compagnies d'assurance, et les fintechs, disposent de mesures adéquates pour gérer les risques liés aux technologies de l'information et de la communication (TIC). L'objectif principal est d'encadrer et d'améliorer la résilience opérationnelle en tenant compte de l'importance croissante des risques cybernétiques et des risques associés aux tiers
Thématiques principales
Le règlement DORA aborde quatre thématiques clés :
- Gestion des risques informatiques et de cybersécurité : Les entités doivent établir des systèmes de gestion des risques robustes pour identifier, évaluer et atténuer les risques liés à la cybersécurité.
- Gestion, classification et notification des incidents : DORA impose des obligations de notification rapide en cas d'incidents de sécurité, afin de permettre une réponse appropriée et rapide.
- Tests de résilience opérationnelle numérique : Les entreprises doivent effectuer régulièrement des tests pour évaluer leur résilience face à des scénarios de crise.
- Gestion des risques liés aux prestataires tiers de services TIC : Le règlement exige que les entités évaluent et gèrent les risques associés à leurs fournisseurs de services numériques, renforçant ainsi la chaîne d'approvisionnement en matière de cybersécurité.
Implications pour le secteur financier
Le DORA représente un changement significatif dans la manière dont les institutions financières doivent aborder la cybersécurité. Avec des exigences strictes en matière de gestion des risques et de résilience, les entreprises devront investir dans des infrastructures sécurisées et des pratiques de gestion des incidents. Cela inclut la formation du personnel, l'amélioration des systèmes de détection des intrusions, et l'établissement de protocoles de réponse aux incidents. De mon expérience, les plus grandes institutions financières ne sont pas loin de pouvoir répondre à toutes ces exigences.
Conclusion
En somme, le Digital Operational Resilience Act est un cadre réglementaire crucial pour le secteur financier européen, visant à renforcer la sécurité et la résilience face aux menaces numériques de plus en plus nombreuses dans un monde de plus en plus connecté. À partir de janvier 2025, les institutions financières devront se conformer à ces nouvelles exigences, sous peine de sanctions, ce qui marquera un tournant dans la gestion des risques opérationnels dans le domaine financier.
Notes de bas de page
[1] … Principe récurrent à toutes les questions de sécurité
