Qu’est-ce que DORA ?
Le règlement européen sur la résilience opérationnelle numérique du secteur financier, surnommé DORA (Digital Operational Resilience Act), est une loi proposée par la Commission européenne pour renforcer la résilience opérationnelle au sein du secteur financier européen. Elle vise à garantir que le secteur financier est en mesure de résister aux menaces cyber, aux dysfonctionnements informatiques et aux autres risques opérationnels et de s’en remettre.
DORA n’a pas été rédigé par souci de prévoyance, mais en réaction à la numérisation croissante du monde financier et à la nécessité de gérer les risques qui y sont liés. La gestion des risques dans ce domaine est devenue cruciale, à une époque où le secteur financier est l’une des cibles privilégiées des pirates informatiques. La récente attaque ayant frappé la banque centrale danoise et sept autres banques privées n’est qu’un exemple parmi tant d’autres des conséquences possibles des cyberattaques dans le secteur financier européen : multiples interruptions d’activité, répercussions économiques majeures avec d’éventuelles implications juridiques.
Malgré l’urgence de la situation en matière de menaces cyber pour cette branche d’activité, la Commission européenne a autorisé un délai d’application de deux ans, à compter du 16 janvier 2023. Cela peut sembler long, mais il est conseillé aux sociétés de commencer à se préparer pour assurer leur conformité avec toute la série de mesures qui entreront en vigueur en 2025.
Situation actuelle dans le secteur financier – Pourquoi ce règlement DORA ?
Alors que le secteur financier est de plus en plus interconnecté et dépendant des technologies numériques, sa vulnérabilité aux cyberattaques de toutes sortes augmente. De fait, selon Statista, le secteur des finances et des assurances a été le deuxième secteur le plus ciblé par les cybercriminels en 2022 :
Les entités financières traitent de très grandes quantités de données sensibles et confidentielles : informations financières personnelles, coordonnées bancaires, numéros de sécurité sociale, etc. qui font d’elles une cible privilégiée des hackers. Ce secteur sait donc, depuis longtemps, qu’il attire les cybercriminels. Or, bien que certaines sociétés aient déjà mis en place un certain nombre de mesures de sécurité, toutes ces entités ne sont pas aussi bien protégées qu’elles le devraient, comme l’a révélé une enquête menée par le Fonds monétaire international (FMI) :
- 56 % des banques centrales ou autorités de contrôle n’ont absolument aucune stratégie de cyberdéfense nationale pour le secteur financier.
- 42 % des pays manquent d’une réglementation dédiée en matière de cybersécurité et de gestion des risques technologiques.
- Dans 64 % des pays, les tests ne sont pas obligatoires.
- 54 % d’entre eux n’ont pas de procédure spécifique pour la notification des cyberincidents.
- Enfin, chiffre effarant, 48 % des pays n’ont pas de réglementation en matière de cybercriminalité.
Ce contexte offre un terreau idéal à la prolifération des cybercriminels : ceux-ci profitent amplement du manque de cohérence et d’homogénéité en matière de réglementation sur la cybersécurité dans ce secteur et ciblent les entités financières avec une agressivité décuplée. En février 2022, la bourse de Moscou et la SberBank, la plus grande banque de crédit de Russie, ont été frappées par une attaque DDoS qui a déconnecté leurs sites Internet pendant trois jours. Cet incident, auquel se sont ajoutés d’autres sanctions et événements mondiaux, a fait chuter de 80 % les actions de la SberBank cotées à Londres, si bien que la banque a perdu une grande partie de sa valeur. Moins d’un mois auparavant, l’une des principales institutions financières de Finlande, le groupe OP, avait également été victime d’une attaque de phishing qui avait paralysé ses services.
À la lumière de ces événements, la nécessité d’un règlement européen sur la résilience opérationnelle numérique du secteur financier, devenu DORA, est désormais indéniable. L’objectif de DORA est de préserver, d’harmoniser et d’homogénéiser les normes de sécurité afin de défendre les entités financières contre les cybercriminels. Cette approche complète et cohérente offre un bouclier nécessaire face à l’évolution des menaces cyber pour protéger non seulement les institutions financières en tant que telles, mais aussi, à plus large échelle, tout l’écosystème financier mondial.
Quelles entités sont concernées par le règlement ?
DORA s’applique à presque toutes les entités financières au sein de l’Union européenne. Naturellement, les premières institutions qui viennent à l’esprit sont les banques et les compagnies d’assurance, mais de nombreuses autres sociétés sont également concernées par le règlement DORA, comme le précise l’article 2 :
- établissements de crédit ;
- établissements de paiement ;
- prestataires de services d’information sur les comptes ;
- établissements de monnaie électronique ;
- entreprises d’investissement ;
- dépositaires centraux de titres ;
- contreparties centrales ;
- plates-formes de négociation ;
- référentiels centraux ;
- gestionnaires de fonds d’investissement alternatifs ;
- sociétés de gestion ;
- prestataires de services de communication de données ;
- entreprises d’assurance et de réassurance ;
- institutions de retraite professionnelle ;
- agences de notation de crédit ;
- administrateurs d’indices de référence d’importance critique ;
- prestataires de services de financement participatif ;
- référentiels des titrisations ;
- intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire ;
- prestataires tiers de services TIC ;
- prestataires de services sur crypto-actifs agréés en vertu du règlement du Parlement européen et du Conseil sur les marchés de crypto-actifs et les émetteurs de jetons se référant à un ou des actifs.
Il faut noter que les États membres peuvent choisir d’exempter certaines de ces entités de l’application du règlement DORA. Dans ce cas, cependant, l’État membre est tenu de le signaler à la Commission européenne qui publiera les informations relatives aux exemptions sur son site Internet et sur d’autres sites publics.
Le règlement DORA exige aussi que les entités financières assurent le suivi des fournisseurs externes et contrôlent les risques qui y sont associés. Par conséquent, tous les prestataires et toutes les sociétés fournissant des services à des établissements financiers devront également se conformer aux critères du règlement DORA.
Certaines entités financières sont toutefois dispensées de cette obligation, notamment les institutions de retraite professionnelle gérant des régimes de retraite qui, ensemble, n’ont pas plus de 15 affiliés au total, les personnes physiques ou morales, les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire qui sont considérés comme des microentreprises ou des petites ou moyennes entreprises, les offices des chèques postaux, ainsi que d’autres entités. La liste complète figure à l’article 2.3.
Comprendre les critères de conformité au règlement DORA qui sont exigés des entités financières
Les obligations du règlement DORA peuvent être subdivisées en cinq catégories, ayant chacune pour but d’aider les sociétés à améliorer un aspect différent de leur système de cybersécurité. Les principaux éléments abordés sont : la gestion du risque lié aux TIC, la gestion, la classification et la notification des incidents liés aux TIC, les tests de résilience opérationnelle numérique, la gestion des risques liés aux prestataires tiers de services TIC et les dispositifs de partage d’informations et de renseignements. Nous allons examiner en détail chacune de ces catégories :
Gestion du risque lié aux TIC
Le règlement DORA présuppose que les sociétés disposent d’un cadre complet de gestion du risque lié aux TIC (technologies de l’information et de la communication), dans lequel les stratégies, les politiques, les procédures et les protocoles nécessaires sont clairement documentés. Ce cadre doit se fonder sur les normes internationales reconnues et être conforme aux directives des autorités de contrôle. Il doit également inclure une stratégie de résilience opérationnelle numérique qui définit notamment les indicateurs de performance et de risque clés pour mesurer les objectifs en matière de sécurité de l’information, évalue la situation actuelle sur la base du nombre d’incidents majeurs liés aux TIC signalés et de l’efficacité des mesures de prévention et précise une stratégie de communication en cas d’incidents.
Les entités financières doivent également assurer l’indépendance des fonctions de gestion du risque lié aux TIC, de contrôle et d’audit interne. Le cadre de gestion du risque doit être révisé et audité tous les ans, mais aussi faire l’objet d’audits internes réguliers afin de garantir sa mise à jour en fonction des dernières évolutions.
Le règlement précise que c’est à l’organe de direction de l’entité financière qu’il incombe de définir, d’approuver, de superviser et d’assurer la mise en œuvre du cadre de gestion du risque.
Ces exigences soulignent la nécessité d’une formation adéquate de sensibilisation à la cybersécurité pour l’équipe de direction. L’article 13, point 6 du règlement DORA précise en effet que tous les employés de la société, y compris les membres de la direction, doivent recevoir une formation en cybersécurité adaptée à leurs fonctions. L’objectif est de leur permettre d’acquérir les connaissances et les compétences nécessaires pour comprendre et évaluer les risques liés aux TIC et leurs répercussions sur les activités de l’entité financière.
Cette partie du règlement va plus loin encore en exigeant que les entités financières utilisent les technologies et processus liés aux TIC les plus récents afin de garantir la sécurité de l’information et qu’elles mettent en place des mécanismes permettant de détecter rapidement les activités anormales. Pour garantir la continuité des opérations, les entités financières doivent également se doter d’une politique de continuité des activités de TIC complète et spécifique, qui supervise, analyse et opère les rétablissements à la suite d’incidents liés aux TIC.
En parallèle, les entités doivent mettre en place un système de sauvegarde et de rétablissement des données, mais aussi veiller à ce que leurs prestataires tiers de services TIC maintiennent au moins un site de traitement secondaire doté de toutes les fonctions et outils nécessaires pour répondre à leurs besoins opérationnels. Les entités financières sont en outre tenues de rendre public tout incident ou toute vulnérabilité détecté(e) lié(e) aux TIC afin de permettre aux sociétés de tirer des leçons de ces événements pour progresser.
Gestion, classification et notification des incidents liés aux TIC
La deuxième catégorie concerne la façon dont les entités financières détectent, gèrent et signalent les incidents liés aux TIC. Le chapitre III du règlement souligne, à cet égard, l’importance d’un système homogène, garantissant que les causes de ces événements ont été identifiées, documentées et traitées de façon à pouvoir être évitées à l’avenir.
Pour harmoniser le système de détection et de notification, le règlement DORA demande aux entités de classer les menaces d’incidents liés aux TIC et de soumettre différents rapports à l’autorité compétente :
- Une notification initiale.
- Un rapport intermédiaire dès que la situation de l’incident initial a sensiblement changé ou que le traitement de l’incident majeur lié aux TIC a changé sur la base des nouvelles informations disponibles.
- Un rapport final, lorsque l’analyse des causes originelles est terminée, que des mesures d’atténuation aient déjà été mises en œuvre ou non, et lorsque les chiffres relatifs aux incidences réelles sont disponibles.
Ces rapports contiendront toutes les informations requises pour déterminer l’importance de l’incident majeur lié aux TIC et évaluer toute éventuelle incidence transfrontière. Dès réception de la notification initiale, les autorités européennes fourniront des instructions pour limiter toute conséquence indésirable sur d’autres services au sein de l’institution financière. Chaque année, elles publieront un rapport avec des informations sur le nombre d’incidents majeurs liés aux TIC survenus au cours des 12 derniers mois.
Tests de résilience opérationnelle numérique
Le règlement DORA exige des entités financières qu’elles réalisent, au moins tous les ans, des tests de résilience opérationnelle numérique et de vulnérabilité effectués par des experts indépendants, internes ou externes. L’objectif est d’évaluer la capacité des entités à gérer des incidents liés aux TIC et d’identifier les éventuelles faiblesses du système. Ces tests devraient inclure des évaluations et des analyses de la vulnérabilité, des analyses de sources ouvertes, des évaluations de la sécurité des réseaux, des analyses des lacunes, des examens de la sécurité physique, des questionnaires et des solutions logicielles d’analyse, des examens du code source, des tests fondés sur des scénarios, des tests de compatibilité, des tests de performance, de pénétration ou de bout en bout. Ces différentes analyses doivent être réalisées selon une approche fondée sur les risques. Les entités financières sont également tenues de procéder à des évaluations de la vulnérabilité avant tout déploiement ou redéploiement de services nouveaux ou existants qui soutiennent certaines de leurs fonctions critiques.
Gestion des risques liés aux prestataires tiers de services
Selon le règlement DORA, les entités financières ayant recours à des prestataires tiers de services TIC sont tenues d’adopter une stratégie pour gérer les risques liés à ces prestataires et s’assurer qu’ils ne présentent aucune vulnérabilité susceptible d’affecter l’entité elle-même. Il faut donc qu’elles identifient et évaluent, sur une base individuelle, tout risque pouvant découler des accords contractuels conclus avec des tiers. Si les prestataires tiers de services présentent un quelconque risque pour la cybersécurité, une incapacité à surveiller leurs systèmes ou des faiblesses avérées, les entités financières doivent résilier les contrats conclus avec ces fournisseurs à risque. En outre, les entités financières ont l’obligation de rédiger un rapport annuel précisant le nombre de nouveaux accords relatifs à l’utilisation de services TIC, les catégories de prestataires tiers de services TIC, le type d’accords contractuels et les services et fonctions de TIC qui sont fournis.
Le règlement DORA précise les éléments devant être inclus dans les accords contractuels conclus avec des prestataires de services critiques et non critiques. Or, pour que ces dispositions soient applicables, les autorités européennes (les Autorités européennes de surveillance (AES), le comité mixte et le forum de supervision) doivent désigner les prestataires tiers qui sont critiques pour les entités financières, c’est-à-dire ceux qui affectent ou pourraient affecter la stabilité, la continuité ou la qualité des services financiers fournis. Le superviseur principal mandaté par les AES intervient ensuite pour déterminer si ce prestataire tiers de services dispose de règles, de procédures, de mécanismes et d’accords adaptés pour gérer les risques liés aux TIC. Sur la base de cette évaluation et de ses conclusions, les AES fourniront un processus de notification harmonisé, ainsi que des recommandations pour améliorer les mesures de cybersécurité des prestataires tiers.
Dispositifs de partage d’informations et de renseignements
DORA permet aux entités financières de communiquer entre elles et les encourage à partager les informations importantes sur les risques liés aux TIC au sein de communautés d’entités financières de confiance. Ce système de communication ouverte vise à améliorer la résilience opérationnelle numérique des entités financières et à réduire les menaces liées aux TIC. Afin de garantir la protection d’informations potentiellement sensibles, les entités financières doivent notifier aux autorités compétentes leur participation aux dispositifs de partage d’informations.
Quel est le lien entre le règlement DORA et la directive NIS2 ?
DORA et NIS2 sont deux nouveaux cadres législatifs en matière de cybersécurité et ont été conçus pour renforcer et harmoniser la protection des entités en Europe. La directive NIS2, pour Network and Information System Directive for Essential Services, a été publiée en décembre 2022, est entrée en vigueur en janvier 2023 et doit être adoptée par les États membres d’ici octobre 2024. Elle s’apparente globalement au règlement DORA dans la mesure où son objectif est aussi d’améliorer la résilience des entités européennes, mais elle cible des institutions différentes. Il s’agit, en effet, d’accroître le niveau de cybersécurité dans les secteurs publics et privés, en particulier chez les fournisseurs de services essentiels et critiques comme les télécommunications, l’informatique dématérialisée, l’infogérance, les centres de données, les banques, les transports, l’administration publique, les plates-formes de réseaux sociaux et les moteurs de recherche, mais aussi les services postaux et d’expédition, etc. NIS2 vise également à homogénéiser les exigences en matière de stratégie cyber et de gouvernance, de détection et de gestion des incidents de sécurité, mais aussi de sécurité des infrastructures et des applications. Le règlement DORA, de son côté, se concentre sur la résilience dans le secteur financier et l’harmonisation des procédures de détection, de gestion et de notification des risques liés aux TIC par les entités financières.
Si ces deux textes ont des champs d’application différents, ils servent néanmoins le même objectif : harmoniser la législation, protéger l’intégrité des informations et endiguer le risque croissant de violations posé par l’essor de la numérisation dans les activités du quotidien.
Délai d’application des exigences du règlement DORA
À l’origine, la Commission européenne avait présenté la proposition de règlement DORA, le 24 septembre 2020. Celle-ci s’inscrivait dans le cadre plus large d’un train de mesures visant à améliorer la cyberrésilience des institutions financières en Europe en assurant la stabilité financière et la protection des consommateurs.
La version définitive du règlement DORA a été votée le 16 janvier 2023. Un délai de mise en œuvre de 24 mois est prévu de sorte que les entités financières devront appliquer ses exigences à compter du 17 janvier 2025. Maintenant que cette législation est entrée en vigueur, les AES peuvent développer des normes techniques de réglementation (NTR). Si le délai accordé pour l’application semble large, il est conseillé aux entités financières de commencer, sans attendre, à appliquer le cadre prévu pour s’acheminer, pas à pas, vers une conformité totale.
Dans la mesure où ce règlement et sa période de mise en œuvre s’appliquent à la fois aux entités financières et à leurs fournisseurs tiers de services TIC, le délai de 24 mois doit être mis à profit pour élaborer votre stratégie avec tous les partenaires impliqués, en particulier avec les prestataires de services critiques évoqués plus haut.
Toutefois, si certains points de la législation vous semblent trop vagues ou difficiles à appréhender, l’article 15 pose que les autorités européennes de surveillance (AES) doivent élaborer, en concertation avec l’Agence de l’Union européenne pour la cybersécurité (ENISA), des projets communs de normes techniques de réglementation avant le 17 janvier 2024. Ces projets préciseront les différents éléments de la législation, que ce soit les composantes des plans de réponse et de rétablissement des TIC ou les tests des plans de continuité des activités de TIC.
Prochaines étapes : comment assurer sa conformité au règlement DORA
Les mesures requises pour assurer la conformité au règlement DORA diffèrent selon les entités financières : pour certaines, il ne s’agira que de quelques ajustements, pour d’autres, elles impliqueront l’élaboration d’un plan bien réfléchi en plusieurs étapes. Voici quelques mesures à mettre en place pour partir du bon pied :
- Consultez un conseiller juridique ayant une bonne connaissance de ce règlement et de ses implications pour votre entité afin de savoir précisément comment DORA s’applique à votre société.
- Évaluez les risques liés aux TIC auxquels vous êtes exposé actuellement, votre procédure de notification et vos capacités à identifier les menaces, en réalisant, par exemple, des tests de résilience sur les fonctions et les systèmes critiques. Dans le même temps, passez aussi en revue vos éventuels programmes de sensibilisation à la cybersécurité pour déterminer leur efficacité face à ces risques.
- Dressez la liste de vos prestataires tiers de services TIC critiques et étudiez leurs vulnérabilités.
- Prévoyez le budget nécessaire pour mettre en œuvre les changements d’ordre technique, ainsi que pour assurer et développer des programmes solides de sensibilisation à la cybersécurité.
- Prenez contact avec les intervenants concernés, au sein de votre entreprise, pour décider des mesures spécifiques à prendre en interne ou, si nécessaire, recruter des prestataires externes susceptibles de satisfaire à ces besoins.
- Contactez vos prestataires tiers de services pour convenir des mesures spécifiques qu’ils doivent adopter ou, si nécessaire, changez de prestataire.
- Lorsque toutes ces mesures ont été instaurées, procédez à une nouvelle évaluation des lacunes pour vous assurer que vous êtes parfaitement en conformité.
Comment SoSafe peut vous aider à assurer votre conformité au règlement DORA
Le règlement DORA représente un grand pas en avant pour préserver la stabilité et l’intégrité du système financier face à l’évolution des menaces numériques. L’évaluation de vos besoins et l’adoption d’une approche holistique qui associe les mesures techniques, les pratiques opérationnelles et les initiatives de sensibilisation à la cybersécurité sont indispensables, non seulement pour assurer la conformité de votre société, mais aussi pour réduire le risque humain et, par voie de conséquence, mieux protéger votre entreprise des menaces cyber auxquelles elle est exposée.
L’un des fondements de la gestion du risque consiste à connaître les menaces et les risques et à maintenir un haut niveau de vigilance grâce à une formation de sensibilisation continue. Si une telle formation est inscrite au nombre des exigences du règlement DORA, c’est parce qu’elle est indispensable pour fournir aux utilisateurs les compétences et les outils qui leur permettront de gérer tout l’éventail des menaces cyber qui pèsent aujourd’hui sur le secteur financier. La formation gamifiée de SoSafe, inspirée des principes des sciences comportementales, aborde une grande diversité de menaces sous la forme de modules brefs, mais détaillés, et transmet les meilleures pratiques pour s’en protéger. Notre plateforme propose du contenu dans plus de 30 langues différentes, pour que la barrière de la langue ne soit plus un obstacle. Cette approche plurilingue respecte les contextes culturels et les exigences légales des pays cibles.
Selon le règlement DORA, les sociétés doivent instaurer des politiques qui garantissent le maintien d’un haut niveau de disponibilité, d’authenticité, d’intégrité et de confidentialité des données. La fonctionnalité Content Management de notre plateforme propose une solution intégrée tout-en-un pour renforcer les politiques de sécurité de votre entreprise et consolider les supports de formation, réalisant ainsi l’équilibre parfait entre accessibilité et efficacité. Notre plateforme prend également en charge le suivi des acceptations de la politique et du respect des exigences. Grâce à SoSafe, vous bénéficiez d’un aperçu en temps réel de votre conformité et pouvez facilement identifier les lacunes, suivre les progrès et vous assurer que chaque collaborateur est impliqué.
Tout aussi importantes que la sensibilisation et la prévention, la détection et la notification des incidents peuvent être à l’origine de certaines des erreurs les plus coûteuses, si elles sont mal appliquées. Si le processus est trop long ou trop compliqué, il peut entraîner un retard dans les notifications externes et risque de compromettre votre conformité au règlement DORA. Le bouton d’alerte de SoSafe inclut une fonctionnalité appelée Phish Assist qui permet à tous les employés de signaler rapidement des incidents de sécurité, contribuant ainsi à accélérer le processus de détection et de notification, pour permettre que les informations remontent plus rapidement jusqu’aux tiers, en externe, et aux autorités compétentes.
La nécessité de mesurer le succès de la nouvelle stratégie de gestion des risques peut avoir de quoi dérouter si l’on n’a pas les bons outils. D’autant que le règlement DORA demande expressément aux entités de mettre en œuvre des mesures avec des indicateurs de performance et de risques clés. Le Human Risk OS de SoSafe est conforme à la norme ISO 27001 et vous permet de suivre les progrès de vos programmes de formation et met à votre disposition des analyses, des mesures et des ICP détaillés sur le risque humain dans votre société. Vous aurez ainsi non seulement instauré les mesures nécessaires pour être conforme au règlement DORA, mais pourrez aussi voir leur impact sur votre société, en matière de cyberrésilience.