La nouvelle réglementation DORA : qu’implique-t-elle ?

DORA : Digital Operational Resilience Act

Dans un contexte de plus en plus marqué par la transformation numérique, l’interconnexion grandissante des réseaux et la multiplication des cyberattaques, les services financiers doivent redoubler de vigilance.

La nouvelle réglementation DORA s’inscrit dans ce constat et a pour finalité de garantir la stabilité financière et la protection des consommateurs en cas de cyberattaque.

Son objectif : améliorer la résilience opérationnelle informatique des entités financières. Comment ? Grâce à un cadre de gouvernance et de contrôle interne spécifique, qui vient renforcer les normes et directives existantes (comme ISO27001 ou encore NIS2).

Le règlement DORA a été publié au Journal Officiel de l’UE le 27 décembre 2022 et entrera en application le 17 janvier 2025.

 

Qui est concerné par DORA ?

DORA concerne tout le secteur bancaire et financier des entités financières, de toutes tailles et opérant au sein de l’Union-Européenne (établissements de crédit, entreprises d’investissements, établissements de paiement…).

Elle impacte également les prestataires TIC (Technologies de l’Information et de la Communication), qui leur fournissent des services.

 

La réglementation se compose de 5 piliers :

  • Pilier 1 : La gestion des risques liés aux TIC
  • Pilier 2: La gestion et le reporting des incidents TIC et des cybermenaces
  • Pilier 3: Les tests de résilience opérationnelle numérique
  • Pilier 4: La gestion des risques liés aux prestataires de services TIC
  • Pilier 5: Le partage d’informations et de renseignements en matière de cybersécurité

Nous avons choisi de concentrer cet article sur les piliers 3 et 4 de la réglementation : les tests de résilience et la gestion des risques liés aux tiers.  Les autres piliers feront l’objet d’un article spécifique.

 

Focus sur les tests de résilience opérationnelle numérique (Pilier 3)

Qu’est-ce que ça implique ?

Toutes les entreprises concernées sont désormais dans l’obligation de mettre en place un programme spécifique complet pour adresser les nouvelles exigences de la réglementation. Ce programme intègrera une série d’évaluations, de tests, de méthodologies, de pratiques et d’outils, tout en mettant l’accent sur les tests techniques.

Son objectif : mettre en place des contrôles afin de s’assurer de l’efficacité des systèmes qui garantissent la résilience du SI.

À l’issue de ce programme, les entreprises devront se faire auditer et se verront délivrer un certificat de conformité.

 

Les entreprises classifiées critiques selon la réglementation devront organiser un test de pénétration complémentaire à grande échelle tous les 3 ans (exercice de type « Red Team »).

Ce test devra être réalisé par des testeurs indépendants et couvrira les services critiques en impliquant les tiers du secteur des TIC basés dans l’UE. Le scénario devra être approuvé en amont par l’autorité de régulation.

 

Le défi est lancé !

Pour être en conformité en janvier 2025, les entreprises concernées par la réglementation devront prévoir une campagne d’évaluation de la résilience de leurs systèmes d’informations critiques avec récupération des preuves d’ici la fin de l’année 2024.

Cet enjeu nécessitera beaucoup de préparation et une charge de travail importante. Le fait que cette campagne implique obligatoirement les tiers critiques dans le domaine des TIC signifie aussi que ces derniers devront participer à cette préparation.

 

Focus sur la gestion des risques liés aux prestataires de services TIC (Pilier 4)

Ce pilier a pour vocation de veiller à ce que les organismes financiers disposent d’un niveau approprié de contrôle et de surveillance de leurs sous-traitants et ressources externes liés aux TIC, en particulier ceux qui sous-tendent des fonctions critiques.

 

Qu’est-ce que ça implique ?

Les organismes financiers seront dans l’obligation de disposer d’une stratégie et d’une politique définies en matière de risques des tiers liés aux TIC. Le directeur des risques et conformité ou un membre de l’organe de gestion en sera propriétaire.

Devra être établi un registre standard d’informations contenant la vue complète de tous leurs fournisseurs concernés ainsi que les services qu’ils fournissent et les fonctions qu’ils traitent. Un rapport sur les modifications apportées à ce registre devra être remis au régulateur tous les ans.

 

Les fournisseurs de services TIC devront être évalués selon certains critères avant la conclusion d’un contrat (ex : leur niveau de sécurité, le risque de concentration, le risque de sous-traitance…).

En prévision d’une éventuelle défaillance d’un fournisseur, une stratégie de sortie devra avoir été définie dès le départ. À savoir que la réglementation DORA contient également des lignes directrices concernant le contenu des contrats et les raisons de leur résiliation (qui doit être liée à un risque ou à une preuve de non-conformité).

 

Avec ce nouveau cadre de surveillance, les fournisseurs essentiels feront aussi l’objet d’évaluations annuelles au regard des exigences de résilience, telles que la disponibilité, la continuité, l’intégrité des données, la sécurité physique, les processus de gestion des risques, la gouvernance, les rapports, la portabilité, les tests…

Ces évaluations seront directement effectuées par le régulateur et impliqueront des sanctions en cas de non-conformité.

 

Encore un défi !

Rassembler les informations de tous ses fournisseurs TIC, et pas seulement les plus importants, comprenant les services fournis et les fonctions qu’ils sous-tendent est une tâche fastidieuse.

Les grandes organisations financières dépendent généralement de milliers de petits et grands fournisseurs et de systèmes de gestion d’anciens contrats qui peuvent compliquer considérablement l’extraction des données.

 

Une mise en place plus ou moins difficile

DORA s’applique à la totalité du secteur bancaire et financier et concerne toutes les tailles d’entreprises : de la TPE au grand groupe.

Certains chantiers liés aux exigences de DORA vont nécessiter beaucoup de temps et d’efforts aux équipes impliquées et toutes les entreprises ne sont pas égales face à la mise en place de cette réglementation. En effet, toutes ne disposent pas forcément des moyens d’analyse et de contrôle nécessaires, il leur faudra alors sûrement se faire accompagner.

 

Pour en savoir plus, n’hésitez pas à nous contacter.

Nos experts peuvent vous faire bénéficier de leurs expériences en termes d’exigences et de bonnes pratiques liées à la résilience opérationnelle numérique, et peuvent vous accompagner de la révision de votre existant à la mise en conformité aux exigences de DORA.

Articles associés

Les IA font évoluer les attaques

7 février 2024
  Jusqu’à présent, les attaques liées à l’ingénierie sociale (Social Engineering) étaient en tête sur la liste des vecteurs de compromission initiale. C’était sans compter sur l’IA (Intelligence Artificielle) qui est en passe de faire exploser les records !   Une accélération des attaques Depuis fin 2022, le nombre de phishing a été multiplié par […]

La méthode FAIR : un guide vers une gestion efficace des risques pour votre entreprise.

13 décembre 2023
  Cette méthode, qui gagne en popularité, offre une perspective unique et pragmatique pour évaluer et gérer les risques de manière plus efficace et précise. Cet article revient sur les principes fondamentaux de la méthode FAIR et son application concrète.     FAIR: Factor Analysis of Information Risk Le standard FAIR est un modèle analytique […]
Partager cet article
Derniers articles

Portrait de Francisca, Chargée des Ressources Humaines au sein du groupe iDNA

Depuis juin 2021, Francisca occupe le poste de Chargée des Ressources Humaines au sein du groupe iDNA. Elle a accepté de nous livrer son parcours, son poste et ses spécificités, mais aussi sa vision et ses valeurs.   Peux-tu te présenter rapidement ? Je m’appelle Francisca, j’habite en banlieue parisienne et je suis chargée des Ressources […]

Portrait d’Aurore, Responsable des Ressources Humaines au sein du groupe iDNA

Depuis 8 ans maintenant, Aurore occupe le poste de Responsable des Ressources Humaines au sein du groupe iDNA. C’est avec un grand sourire qu’elle a accepté de répondre à nos questions. Découvrez son parcours, son poste et ses spécificités, mais aussi sa vision et ses valeurs.    Peux-tu te présenter rapidement ? Je m’appelle Aurore, j’ai […]

Les IA font évoluer les attaques

  Jusqu’à présent, les attaques liées à l’ingénierie sociale (Social Engineering) étaient en tête sur la liste des vecteurs de compromission initiale. C’était sans compter sur l’IA (Intelligence Artificielle) qui est en passe de faire exploser les records !   Une accélération des attaques Depuis fin 2022, le nombre de phishing a été multiplié par […]

La méthode FAIR : un guide vers une gestion efficace des risques pour votre entreprise.

  Cette méthode, qui gagne en popularité, offre une perspective unique et pragmatique pour évaluer et gérer les risques de manière plus efficace et précise. Cet article revient sur les principes fondamentaux de la méthode FAIR et son application concrète.     FAIR: Factor Analysis of Information Risk Le standard FAIR est un modèle analytique […]