Par Cyril Amblard-Ladurantie, Responsable Marketing des produits GRC – Gouvernance, Risque & Conformité – MEGA International & Imad Abounasr, Associé cybersécurité chez EY.
L’augmentation des cybermenaces pousse les régulateurs à mettre en place des règles contraignantes pour la cybersécurité des institutions financières et de leurs prestataires technologiques. Ces réglementations visent à renforcer leur cyber-résilience, mais elles nécessitent une collaboration accrue entre des acteurs n’ayant pas toujours l’habitude de travailler ensemble.
La montée en puissance des cybermenaces et l’émergence de nouvelles réglementations
DORA (Digital Operational Resilience Act) est le nouveau règlement européen d’application directe dont l’entrée en vigueur est prévue le 17 janvier 2025. Son objectif principal est de renforcer la résilience opérationnelle des acteurs financiers face aux cybermenaces. Parmi les défis majeurs à relever pour se conformer à DORA, on cite d’abord le délai imparti pour se conformer aux attentes des régulateurs, étant donné que la réglementation couvre un large éventail de sujets complexes.
Un autre des enjeux de conformité réside dans la nécessité de formaliser de nouveaux processus, basée sur une approche par les risques, relativement nouvelle. Cela implique d’identifier les processus critiques de l’entreprise, puis de définir la liste des risques, des applications et des tiers qui soutiennent ces processus métiers afin de prioriser les actions.
Enfin, la conformité à la réglementation induit la gestion du risque tiers : dans un monde de plus en plus ouvert aux partenariats externes, il est crucial de maîtriser les risques liés aux prestataires de services tiers. Ces derniers peuvent parfois gérer des processus critiques entiers. DORA impose des obligations strictes en matière de sélection, de surveillance, de contractualisation.
DORA dans le paysage réglementaire
DORA, NIS 2, et les autres réglementations cyber partagent un objectif commun. Il s’agit d’élever le niveau de sécurité, mais aussi de maturité des organisations en matière de cybersécurité. Toutefois, elles se distinguent par leurs périmètres d’application et leurs exigences spécifiques.
En termes de périmètre d’application, DORA s’applique spécifiquement au secteur financier, tandis que NIS 2 couvre 18 secteurs d’activité. D’autres réglementations ciblent des domaines plus précis, comme la loi de l’Union européenne (UE) sur la cyber-résilience (CRA), qui concerne les produits ou logiciels avec un composant numérique.
Côté exigences, DORA définit des exigences détaillées en matière de résilience opérationnelle et de gestion des risques TIC, couvrant un champ d’application plus large que la directive européenne NIS2. Elle se positionne comme la « lex specialis » pour la résilience opérationnelle numérique du secteur financier.
Ensemble, ces réglementations contribuent à créer un cadre réglementaire complet et cohérent pour la cybersécurité en Europe.
Les architectes, des acteurs clés dans la mise en œuvre de DORA
DORA place la responsabilité ultime de la gestion du risque TIC (Technologies de l’Information et de la Communication) au niveau de la direction générale. Cela implique la mise en place d’une gouvernance et d’une stratégie globale autour de ce sujet. La direction générale doit également veiller à ce que les mesures de gestion des risques soient correctement mises en œuvre, contrôlées.
Côté opérationnel, la mise en conformité DORA exige la collaboration de plusieurs services, fonctions au sein des organisations. Parmi les acteurs clés figurent la DSI, les fonctions risque, les métiers, la sécurité, les achats. Chaque service apporte son expertise spécifique, contribuant à une approche globale de la gestion des risques TIC.
Les architectes jouent un rôle central dans le dispositif DORA par leur compréhension approfondie de l’architecture applicative et fonctionnelle. Ils font le lien entre la cartographie des processus métiers et l’architecture des systèmes d’information, permettant ainsi d’identifier les risques TIC et de prioriser les mesures de mise en œuvre, conformément aux exigences de DORA.
Anticiper et collaborer : les clés d’une mise en conformité réussie
Pour se conformer à DORA, les acteurs du secteur financier doivent en premier lieu anticiper et planifier. DORA introduit de nouvelles exigences, et, de ce fait, nécessite une analyse approfondie mais aussi une adaptation des processus existants. Il est donc crucial de démarrer l’évaluation de la situation actuelle, puis de définir une feuille de route pour la mise en conformité. Pour ce faire, il est nécessaire de mobilier les ressources adéquates en s’accompagnant d’une équipe composée d’experts en sécurité, des risques, des métiers, de l’IT et des achats pour piloter le projet.
En second lieu, il est indispensable de saisir l’opportunité d’amélioration. DORA ne se limite pas à une simple conformité : le niveau de maturité de la résilience opérationnelle au sein de l’organisation doit donc être renforcée en réalisant une cartographie complète des processus métiers critiques et en identifiant les risques associés. Des liens clairs entre les risques IT et les risques métier doivent être établis, ce qui permettra une meilleure prise en compte des risques, mais aussi une allocation plus efficace des ressources.
DORA étant un processus continu, les équipes se doivent de mettre en place un programme de surveillance, des tests réguliers pour vérifier que les mesures de résilience restent efficaces face aux menaces en constante évolution. En somme, une approche proactive de la gestion des risques, qui adapte continuellement la stratégie en fonction des nouvelles exigences et des meilleures pratiques.
En s’engageant activement dans la mise en conformité à DORA, les institutions financières sont protégées contre les cybermenaces tout en garantissant la continuité de leurs activités critiques.