Le Digital Operational Resilience Act («DORA ») fait partie du paquet législatif relatif aux services numérique présenté en 2020 par la Commission de l’Union Européenne (« UE ») et voté fin 2022 par le Parlement.
Ce règlement (UE) 2022 /2554 vise à assurer la stabilité et le sain développement du secteur financier à l’heure de sa digitalisation croissante, en promouvant à la fois innovation, compétitivité et gestion des risques.
Avec la directive NIS2 récemment adoptée par les instances européennes, DORA vient élargir, harmoniser et approfondir les fondamentaux de la résilience opérationnelle au sein de l’Union. Ce texte doit donc être considéré comme un élément fondamental de l’arsenal juridique européen et la positionner en pointe en matière de réglementation technologique.
Pourquoi DORA ?
L’objectif de DORA est de doter le secteur financier d’une réglementation uniforme en matière de résilience opérationnelle. Celle-ci se définit comme ‘la capacité des entreprises à prévenir, s’adapter et réagir, restaurer et tirer des leçons les interruptions ou perturbations opérationnelles’.
La multiplication et l’ampleur des cyberattaques, leurs conséquences potentielles désastreuses pour l’économie ainsi que les écarts entre les différentes lois en vigueur au sein de l’UE ont incité à l’instauration de DORA.
Au cours de la décennie qui vient de s’écouler, les technologies de l’information et de la communication (“TIC”) ont en effet bouleversé le monde de l’industrie financière. Elles y occupent désormais une place prépondérante pour ses opérations quotidiennes, des plus basiques aux plus sophistiquées.
Cette révolution digitale, appelons-la comme telle, s’est accompagnée d’une prise de conscience progressive par l’ensemble des décideurs des dépendances et des risques qu’elle induit pour le secteur. Bien que nécessaire, cette prise de conscience doit être renforcée par des décisions fortes.
D’un point de vue réglementaire, les dispositions prises ici et là localement au niveau de chacun des états ont été bienvenues mais elles doivent nécessairement tendre vers plus de cohérence d’ensemble au niveau de l’UE. Les règlementations de portée générale ne s’appliquent que partiellement au secteur tandis que celles spécifiques sont trop parcellaires et inégales pour le moment.
Avec DORA, le but clairement affiché est de remédier à cette situation et de poser les bases d’un
cadre plus robuste et plus performant en matière de résilience opérationnelle numérique pour la finance. La volonté est de positionner l’UE dans les meilleures dispositions en cas d’incident majeur ou de cyberattaque d’envergure. C’est une nécessité d’assurer la pérennité de l’écosystème financier et de donner des gages de stabilité maximale à toutes ses parties prenantes.
DORA en synthèse … qu’est ce qui va changer ?
Comme précisé, l’entrée en vigueur de DORA consolide et renforce la gestion des risques TIC et en établit un cadre harmonisé au sein du secteur financier de l’UE.
En pratique, le règlement définit 5 piliers :
1. Gestion des risques TIC (articles 5 à 16) : DORA pose le cadre d’un dispositif de gestion des risques informatiques, incluant politiques, procédures et outils. Il dessine un cercle vertueux
autour des logiques d’(i) Identifier, (ii) Protéger, Prévenir et Détecter, (iii) Répondre et Restaurer (iv) Apprendre et Améliorer (v) Communiquer.
Dans un cycle d’amélioration continue, l’aspect humain et ‘politique’ n’est pas oublié. DORA introduit ainsi l’obligation de formations sur la résilience opérationnelle, y compris pour les membres de la direction générale. En terme de gouvernance, ces derniers sont pleinement responsabilisés et donc davantage investis sur ce sujet crucial.
2. Notification des incidents TIC (articles 17 à 23) : DORA renforce le cadre de supervision des incidents et cyberattaques ou menaces. Un processus normé va être mis en œuvre avec des canaux d’échanges avec les autorités compétentes, des délais de notification cibles à respecter, en matière de surveillance et d’attribution. Une attention particulière est portée aux incidents ‘majeurs’, avec des obligations de notifications aux stades initiaux, intermédiaires et finaux.
3. Tests de résilience opérationnelle numérique (articles 24 à 27): les entités financières vont toutes devoir tester l’efficacité de la résilience de leurs dispositifs informatiques. Des tests de vulnérabilité fondés sur la menace sont aussi au programme, avec la nécessité pour les établissements dits ‘importants’ de procéder à des tests avancés tous les trois ans a minima. La méthodologie TIBER en vigueur dans les banques sera probablement choisie pour devenir la norme en la matière pour tous les secteurs concernés par DORA.
4. Gestion des risques tiers TIC (articles 28 à 44) : bien que des éléments existent déjà, avec par exemple les guidelines édictées par l’European Banking Agency (“EBA”), DORA vient harmoniser les éléments clés des relations avec les fournisseurs de services. Le texte responsabilise fortement les entités. Il les oblige à évaluer et documenter mieux encore les risques associés à leurs fournisseurs, à commencer par le risque de concentration. Ceci l’est en particulier pour ceux jugés « critiques ». Notons que les critères définitifs de cette classification ne sont pas encore arrêtés. Les établissements devront en outre tenir un registre d’information exhaustif de tous leurs fournisseurs et les contrats passés avec leurs prestataires critiques évalués de façon très minutieuse.
5. Dispositif de partage d’informations (article 45) : DORA encourage le partage d’informations entre les établissements financiers sur les cybermenaces pour assurer une meilleure résilience opérationnelle collective. Cela concerne les alertes de cybersécurité, les indicateurs de compromission ou les tactiques, techniques et processus utilisés.
Qui est concerné par DORA ?
Le champ d’application du texte est large et va concerner la quasi-totalité des acteurs du monde financier. Dans les 20 types d’entités recensées, il y a bien entendu les acteurs traditionnels tels les banques, assurances, asset managers ou encore les sociétés de bourses. Mais seront aussi concernés les acteurs émergents, opérant aussi bien dans le e-commerce que les prestataires de services sur cryptoactifs. La révolution du monde financier est là et DORA l’a intégré dans son raisonnement. Au final, ce sont plus de 22,000 entreprises qui y sont assujetties dans l’UE. Notons au passage que les cabinets d’audit initialement dans le périmètre ont été retirés dans le texte finalement adopté.
De plus, et c’est un point fondamental, les prestataires de services tiers TIC sont aussi visés par le texte, qu’ils soient de nationalité européenne ou non dès lors qu’ils opèrent sur le territoire. En premier lieu sont visés les fournisseurs dits « critiques », y figureront les acteurs du cloud, qui devront donner des gages supplémentaires en termes de résilience opérationnelle. Ils seront aussi soumis à la supervision directe des régulateurs financiers européens. C’est un élément décisif du règlement, lui donnant une dimension holistique de couverture de la supply-chain.
Quel est le calendrier ?
Publié au journal officiel en décembre 2022, DORA est entré en vigueur le 17 Janvier 2023 et les entreprises du secteur ont deux ans pour s’y conformer. Dans le même temps, les European Supervisory Authorities (“ESA”) travaillent à la finalisation des ultimes modalités opérationnelles, appelés Regulatory Technical Standards (“RTS”) et Implementing Technical Standards (“ITS”). Les rôles des entités de supervisions européennes comme l’ENISA et celles compétentes à l’échelon nationale
telle l’ANSSI seront aussi précisés, afin d’articuler au plus juste leurs interventions respectives.
Le règlement s’appliquera pleinement à partir du 17 Janvier 2025.
Comment se préparer à DORA ?
Pour respecter cette échéance cruciale, nous recommandons aux organisations d’agir vite et de :
- Sensibiliser et former les équipes à la réglementation et à ses implications concrètes
- Initier une démarche d’analyse de maturité et d’identification des écarts avec le règlement
- Hiérarchiser les chantiers prioritaires et arrêter des échéances cibles pour chacun d’entre eux
- Impliquer enfin et surtout la Direction Générale, qui doit jouer un rôle moteur à cette occasion
Janvier 2025 arrive à grands pas ! Il est donc essentiel que l’ensemble de l’écosystème financier se mette au plus tôt en ordre de bataille pour tenir l’échéance. La feuille de route DORA est en effet consistante et l’anticipation est une vertu.
Nous ne pouvons donc qu’inciter chacun à entamer dès que possible ces travaux de mise en conformité.
DORA est plus qu’une réglementation. C’est surtout une réelle opportunité pour parvenir à plus de sécurité, d’efficacité et donc un formidable levier de performance.
Une ambition à laquelle nous tous devons contribuer !
Gilles CHEVILLON (MAET Consulting), Frédéric CAUBERT (CycomRisk)