Le règlement DORA sur la résilience opérationnelle numérique

Le projet de règlement DORA (Digital Operational Resilience Act) sur la résilience opérationnelle numérique a été adopté par le Parlement européen le 10 novembre 2022. Cela signifie que dans les prochaines semaines, il entrera en vigueur. Son application devra être effective sous 24 mois, soit décembre 2024 ou janvier 2025.

Qui est concerné ?

Ce règlement vise à assurer une résilience opérationnelle numérique au sein de l’Union européenne. Il concerne l’ensemble des établissements financiers de l’Union européenne.

Pour les entreprises, la résilience est la capacité à résister à un évènement qui menacerait la poursuite de leur activité. On peut naturellement penser à une panne informatique mais surtout, dans le contexte actuel, à une attaque informatique.

Ainsi, seront notamment concernés, les :

• établissements de crédit et de paiement ;
• prestataires de services de crypto-actifs ;
• assureurs et réassureurs, les organismes de retraite professionnelle (art. 2 du Règlement).

On estime qu’environ 20 000 organismes financiers localisés en Europe seront concernés. La grande nouveauté concerne les prestataires de service de ces entités financières, également concernés.

Ainsi, les entités financières devront :

• s’interroger sur le fait de savoir si le service proposé par ces derniers est « critique » et
• tenir compte « de l’ampleur, de la complexité et de l’importance de la relation de dépendance avec ce dernier ».

Il conviendra ainsi de mettre à jour les contrats de sous-traitance avec ces derniers en prévoyant notamment :

• une description complète des services ;
• le lieu d’hébergement final des données ;
• les garanties d’accès, de récupération et de restitution des données en cas de défaillance du prestataire ;
• les possibilités d’audits techniques par des tiers, etc.

Une réglementation uniforme

Ce règlement européen poursuit deux objectifs :

• une réglementation uniforme dans l’Union européenne et
• une résilience opérationnelle nouvelle.

L’absence de règles précises sur les mesures à mettre en place pour les établissements financiers a favorisé l’émergence dans chaque État européen de nombreuses initiatives réglementaires et pratiques de surveillance différentes. Cette situation a généré des incohérences, des exigences redondantes et des risques non traités entre les différents États.

Il est donc important pour le législateur européen de pouvoir mettre en œuvre un cadre clair sur la résilience opérationnelle numérique pour les entités financières de l’UE (Union européenne). Cela passe par une coopération européenne.

Les objectifs visés par le règlement sont donc :

• d’unifier la gestion des risques informatiques ;
• d’instaurer une procédure de tests des systèmes informatiques ;
• de sensibiliser davantage les autorités de surveillance aux cyber risques et aux incidents liés à l’informatique touchant les entités financières.

Une résilience opérationnelle nouvelle

Les organes de direction des entités financières seront tenus de :

• conserver un rôle déterminant dans le pilotage du cadre de gestion des risques informatiques et
• veiller au respect d’une « hygiène » informatique rigoureuse.

Ils devront effectuer en premier lieu une analyse de risque pesant sur leur système d’information ainsi que sur ceux de ces prestataires techniques.

Une cartographie détaillée du SI et des flux de données internes et externes (par exemple, vers les prestataires de Cloud) sera alors nécessaire.

Le règlement DORA encadre également la notification des incidents liés aux TIC. Il  impose aux entités financières d’établir et de mettre en œuvre un processus de gestion de ces incidents et de les classer en fonction de critères spécifiques.

Or les entités financières ont pour la plupart déjà mis en œuvre un processus de gestion des incidents. Une étude devra donc être menée par les établissements financiers pour s’assurer que les processus internes déjà mis en œuvre sont bien conformes aux exigences de DORA.

Il semble que l’encadrement de cette résilience revienne à l’ENISA  pour édicter les critères principaux.

Le règlement DORA définit un programme de tests de résilience à exécuter à leurs frais, au moins une fois par an par des parties indépendantes (internes ou externes).  Il comprend une série d’évaluations, de méthodologies, de pratiques et d’outils.

Pour en savoir plus…

Le règlement DORA vient préciser les normes édictées par l’Agence bancaire européenne qui imposent déjà de nombreux tests de résilience aux établissements financiers.

Le cabinet Lexing se tient à votre disposition pour toutes questions et vous assister dans l’analyse de risques et l’audit des contrats avec les prestataires techniques dans le cadre du règlement DORA.

Emmanuel Walle
Éric Duvauchelle
Lexing Travail numérique

Anthony Sitbon
Lexing Technologies, Département sécurité