Audit DORA : vers une nouvelle ère de résilience digitale

Face à une menace cyber croissante, le secteur bancaire doit renforcer sa résilience digitale.

Découvrez comment DORA redéfinit les standards de sécurité et la gestion des tiers et des fournisseurs cloud, (services infonuagiques) et pourquoi un audit rigoureux est essentiel pour protéger les institutions financières des risques opérationnels et pour garantir leur stabilité future.

DORA (Digital Operational Resilience Act) renforce la résilience numérique des entités financières de l’Union européenne via cinq piliers (risque, incident, maitrise des tiers, tests techniques, partage d’informations). Le défi majeur réside dans l’audit : définir précisément son périmètre couvrant toutes les infrastructures critiques et se conformer aux normes techniques et aux délais stricts imposés pour 2025.

 En 2024, le coût de la cybercriminalité dans le monde

 atteint 14,57 trillions de dollars

 et devrait grimper à 17,65 trillions en 2025,

selon des sources comme Statista, le FBI et le FMI.

Chaque année, ce coût augmente de 3 trillions de dollars supplémentaires.

Le secteur financier est particulièrement vulnérable aux cyberattaques en raison des gains potentiels élevés pour les cybercriminels. Ces attaques peuvent être provoquées par divers facteurs, qu’il s’agisse d’incidents involontaires ou d’attaques intentionnelles.

Les ransomwares (rançongiciels), le phishing (hameçonnage) et les attaques par déni de service distribué (DDOS) figurent parmi les trois principales menaces pesant sur le secteur financier dans la catégorie des risques opérationnels.

Pour renforcer la résilience face à ces menaces, la réglementation DORA a été mise en place, englobant 21 entités financières, des établissements de crédit aux prestataires de services tiers.

Cette nouvelle réglementation impose des défis de taille à l’équipe d’audit interne, qui doit monter en compétence et s’approprier les exigences réparties sur cinq piliers principaux.

Pilier 1 – Gestion des risques liés aux technologies de l’information et de la communication (TIC)

Dans le cadre du premier pilier de DORA, l’audit interne joue un rôle crucial en adoptant une approche fondée sur les risques pour évaluer et renforcer la stratégie de résilience opérationnelle numérique. Cela inclut la vérification de la conformité des politiques de gestion des risques TIC ainsi que l’efficacité des mécanismes de gouvernance, de confidentialité, d’intégrité et de disponibilité des données et des plans de continuité et de réponse aux incidents liés aux TIC.

Pilier 2 – Gestion, classification et notification des incidents TIC et des cybermenaces

L’audit interne doit également garantir la conformité avec la nouvelle méthodologie standard de classification des incidents introduite par DORA, en vérifiant que les critères spécifiques (tels que le nombre d’utilisateurs affectés, la durée et l’impact économique) sont correctement appliqués.

Pilier 3 – Tests de résilience opérationnelle numérique

Pour ce troisième pilier, l’auditeur interne est appelé à adopter une approche plus fréquente, exhaustive et sophistiquée des tests de résilience opérationnelle numérique. Cela nécessite une étroite collaboration avec la direction et les tiers pour évaluer la maturité des processus de l’organisation et assurer la conformité aux exigences réglementaires de DORA.

Pilier 4 – Gestion des risques liés aux prestataires de services TIC

DORA impose à l’audit interne d’effectuer une évaluation plus approfondie et systématique des contrats avec les prestataires de services TIC. Cette évaluation comprend la vérification de clauses spécifiques, l’examen des plans de sortie et l’audit continu de la conformité des fournisseurs aux normes de sécurité et de résilience opérationnelle.

Pilier 5 – Partage d’informations en matière de cybersécurité

Enfin, l’audit interne doit évaluer l’efficacité et la conformité des processus de partage d’informations sur les menaces et les vulnérabilités. Cela implique de s’assurer que la collaboration sectorielle est bien équilibrée avec la protection des données sensibles de l’organisation.

La nouveauté et la particularité de DORA concernant l’audit interne résident dans plusieurs aspects :

• Renforcement du rôle et de l’indépendance : DORA exige explicitement « une séparation et une indépendance adéquates des fonctions de gestion du risque lié aux TIC, des fonctions de contrôle et des fonctions d’audit interne ». Cela renforce le rôle de l’audit interne comme une fonction véritablement indépendante.

• Attention accrue sur les risques TIC : l’audit interne doit désormais intégrer de manière plus approfondie l’évaluation des risques liés aux TIC dans son périmètre.

• Fréquence et exhaustivité accrues : le cadre de gestion du risque doit être « révisé et audité tous les ans », impliquant une fréquence plus élevée et une couverture plus complète des audits liés aux TIC.

• Implication de la direction : DORA souligne la responsabilité de l’organe de direction dans la supervision et la mise en oeuvre du cadre de gestion des risques, ce qui implique une interaction plus étroite entre l’audit interne et la direction.

• Expertise technique renforcée : les auditeurs internes doivent développer une expertise plus poussée en matière de cybersécurité et de résilience opérationnelle numérique pour répondre aux exigences de DORA.

• Approche plus holistique : l’audit interne doit adopter une vision plus globale, intégrant non seulement les aspects techniques, mais aussi la gouvernance, la formation du personnel et la gestion des prestataires tiers.

• Ces changements impliquent une évolution significative du rôle de l’audit interne, le plaçant au coeur de la stratégie de résilience opérationnelle numérique des entités financières.

La réglementation DORA marque un tournant majeur pour la résilience informatique des entités financières en renforçant la gouvernance, la gestion des risques TIC et la collaboration entre l’audit interne et la direction.

Dans un contexte d’augmentation rapide des cybermenaces, elle impose une approche plus rigoureuse, fréquente et holistique de l’audit, exigeant une expertise accrue en cybersécurité.

DORA place ainsi l’audit interne au centre de la stratégie de résilience opérationnelle, garantissant une protection renforcée contre les risques numériques et une adaptation continue aux défis croissants de la cybersécurité.

Article rédigé par Teddy Ramanakasina

Teddy Ramanakasina, directeur associé – sécurité de l’information chez EY, auditeur technologique, responsable en cybersécurité, conseiller en gestion des risques, analyse de données, risques liés aux technologies émergentes (intelligence artificielle, infonuagique), conformité (DORA, RGPD) et formateur accrédité de l’ISACA

Pour plus d’informations : https://www.ey.com/

COMPLÉMENT Guide d’audit pour renforcer la résilience face à DORA

Pour mener à bien un audit interne conforme à la réglementation DORA, il est essentiel de suivre une méthodologie structurée qui comprend plusieurs étapes clés :

1. Définir le périmètre d’audit : la première étape consiste à déterminer si l’entité à auditer relève du périmètre de DORA. L’article 2 de la réglementation énumère 21 types d’institutions couvertes. Cette étape permet de confirmer la nécessité de l’audit.

2. Identifier les fonctions critiques et importantes (CIF) : il est crucial que l’entreprise

ait défini ses CIF, c’est-à-dire des activités dont l’interruption pourrait gravement perturber les opérations de l’entité ou la stabilité financière dans l’Union européenne. Parmi ces fonctions figurent les services de paiement, la gestion de la liquidité, les services de cloud computing, (infonuagique) etc.

3. Sélectionner les articles réglementaires à auditer : l’audit doit porter sur les articles pertinents de DORA, tels que les suivants :

• Articles 5-16 : gestion des risques TIC;

• Articles 17-23 : gestion des incidents TIC et des cybermenaces;

• Articles 24-27 : tests de résilience opérationnelle numérique;

• Articles 28-44 : gestion des risques liés aux prestataires TIC;

• Article 45 : partage d’informations en cybersécurité.

1.     Choisir les RTS, les ITS et les guidelines (lignes directrices) applicables : l’audit doit se baser sur les 8 RTS (regulatory technical standards), 2 ITS (implementation technical standards) et 2 guidelines (lignes directrices) spécifiques à DORA.

5. Faire un mapping des contrôles : un rapprochement des contrôles de DORA avec des référentiels existants comme ISO 27002 et COBIT 2019 est nécessaire pour garantir une couverture exhaustive des risques.

6. Conduire l’audit selon les étapes classiques : l’audit se déroule en quatre phases, soit la préparation (programme de travail, lettre de mission), la phase terrain (collecte de preuves), la restitution (rapport d’audit avec constats et recommandations) et le suivi des recommandations.