AVIS D’EXPERT – Le projet de règlement européen sur la résilience opérationnelle numérique (DORA) a été publié au JO de l’UE le 27 décembre 2022. Le compte à rebours est donc déjà lancé pour des organisations qui ont trois ans devant elles pour se préparer. Pauline Mendiela, consultante senior du cabinet de conseil Finegan, nous apporte ici son éclairage quand aux impacts sur les entreprises prochainement assujetties.
Le 17 janvier 2025, les autorités de surveillance des services financiers compétentes attendront des entreprises assujetties qu’elles soient pleinement conformes à toutes les nouvelles exigences de DORA, y compris la manière dont ces exigences sont élaborées par les Autorités Européennes de Surveillance (AES) par le biais des règlements techniques d’application. Ce règlement a été pensé comme une réponse aux défis posés par les cybermenaces actuelles, les perturbations et incidents opérationnels qui peuvent avoir un impact significatif, voire systémique sur le secteur financier. Il s’applique donc essentiellement aux entreprises de cette industrie : établissements de crédit, établissements de paiement, prestataires de services de cryptoactifs, entreprises d’assurance et de réassurance, ou encore gestionnaires d’actifs mais également tiers fournisseurs de services TIC. DORA n’a pas vocation à apporter un degré de complexité supplémentaire mais au contraire, permettre d’établir un cadre réglementaire robuste et pragmatique visant à préserver la résilience des organisations des services financiers.
Cinq grands piliers
- Gestion des risques liés au TIC (Technologies de l’Information et de la Communication) en exigeant la mise en place d’un cadre de gouvernance des risques de ces technologies comme base de la résilience des entités financières.
- Gestion des incidents liés aux TIC en introduisant une méthodologie et taxonomie commune de classification et de notification de ces incidents. Il est également nécessaire pour les entités financières de mettre en place des mécanismes efficaces de détection de ces menaces.
- Mise en œuvre de tests de résilience en élaborant un programme complet de tests portant tant sur les corpus documentaires existants que sur des aspects purement techniques. Les systèmes informatiques critiques et importants seront régulièrement soumis à ces tests afin de garantir leur résilience opérationnelle et leur résistance face à des scénarios de menaces réalistes.
- Gestion des risques liés aux prestataires de service TIC en définissant, au vu de l’importance de ces fournisseurs dans l’écosystème numérique, les principes clés à appliquer. Citons par exemple la tenue d’un registre uniformisé pour l’ensemble des entités financières, un cadre de surveillance renforcé et la revue des contraintes contractuelles.
- Dispositif de partage en encadrant et renforçant la coopération entre les entités financières dans le but notamment de développer leurs capacités défensives communes face aux menaces qui évoluent rapidement.
À chaque organisation sa « feuille de route DORA »
Les défis sont donc nombreux pour les entités concernées et ne se limitent pas à une simple rédaction de livrables ou revue de processus. L’un des premiers challenges – mais aussi critère de succès – pour de nombreuses organisations financières sera l’implication du Top Management dans la définition de cette stratégie de résilience opérationnelle. Ce sont également ces fonctions clés de l’entreprise qui pourront faciliter la mise en conformité au règlement DORA, avec un sponsor fort du projet et auprès de qui il faudra être en capacité de fournir une vision holistique de la gestion des risques TIC sur le long terme. Sans ces éléments, il risque d’être difficile sur le long terme de prendre les bonnes décisions, arbitrer certains projets ou promouvoir largement une culture du risques Cyber. Un deuxième défi réside dans l’harmonisation des normes en matière de gestion des incidents et d’externalisation. En effet, DORA est le premier règlement contraignant en matière de résilience opérationnelle. Alors que les établissements les plus matures, comme les banques, s’attarderont à adapter des processus existants afin de se conformer aux exigences communes, d’autres devront fournir des efforts bien plus significatifs. C’est le cas notamment des sociétés de gestion d’actifs et des établissements de moyenne et petite taille pour qui la mise en conformité puis la gestion opérationnelle dans la durée aura des impacts en termes d’organisation mais aussi de coûts.
Un défi organisationnel voire culturel
Enfin, le dernier défi est organisationnel, voire culturel : parvenir à faire travailler ensemble des métiers différents pour converger vers une mise en conformité cohérente. En effet, le règlement DORA comprend des concepts dans des disciplines distinctes. Et pour autant, un déploiement conjoint est indispensable : aux départements de la DSI, des Risques, des Achats d’agir en parfaite coopération, par exemple sur le déploiement et la supervision des plans de tests. Nous l’aurons compris, la « bascule » DORA peut se révéler complexe. C’est pourquoi les organisations financières, et notamment les moins matures sur ces sujets, doivent s’en saisir dès à présent et au plus haut niveau de décision. La réalisation d’une analyse de l’existant au regard des exigences du texte est un très bon moyen de bâtir au mieux sa feuille de route pour les prochains mois afin non seulement d’optimiser efforts et coûts, mais aussi d’avoir un coup d’avance sur un sujet central : préserver l’intégrité et la résilience des entreprises face à des attaques chaque jour plus nombreuses et sophistiquées.
Pauline Mendiela, consultante senior du cabinet de conseil Finegan
