Avec le DORA, explorez la résilience de votre entité financière

Le règlement européen Digital Operational Resilience Act (DORA) encadre la réponse du secteur financier face aux risques et aux menaces numériques.

Cette approche globale fonde la stratégie de résilience et donne au concept une force empirique nouvelle.

Lex specialis (une loi spéciale), le règlement DORA s’applique au secteur financier, entendu au sens large.

Vingt catégories d’entreprises sont concernées : établissements financiers, sociétés d’assurance, sociétés de gestion... La vingt et unième catégorie concerne les prestataires informatiques de ces entités financières, qui leur proposent des technologies et des services portant sur les systèmes d’information et de communication et adossés à leurs activités critiques.

Le règlement est en vigueur depuis janvier 2023; les entités financières assujetties devront se conformer avec ce règlement d’ici le 17 janvier 2025.

Ce calendrier prévoit un ensemble de modalités techniques d’application, à savoir des textes de niveaux 2 et 3, qui vont paraître entre janvier et juillet 2024. Des pénalités s’appliqueront en cas de non-conformité, lesquelles sont déjà précisées pour les prestataires informatiques.

Les raisons d’être du DORA

Le règlement DORA trouve son origine dans la prise de conscience que la lutte contre les attaques cyber ne peut se limiter au niveau du seul périmètre d’une entreprise, voire d’un pays. Une telle riposte se décline à l’échelle de toute l’Union européenne de manière coordonnée, et ce, pour deux raisons :

• D’abord, parce que la menace cyber est, année après année, le top risk (risque principal) exposant les organisations. Les attaquants sont organisés, voire quasi professionnalisés; ils se parlent entre eux. Leurs modes opératoires exploitent les failles technologiques et se renouvellent de manière à être toujours plus rapides et sophistiqués. Leurs moyens sont significatifs. Leurs actions sont engagées à distance et bénéficient des vides juridiques de certains États.

• Ensuite, parce que les entreprises ont elles-mêmes recours à des pratiques qui les rendent vulnérables. Parmi elles, il y a la place prépondérante qu’occupent désormais les prestataires informatiques qui fournissent les technologies en lien avec les opérations financières ou différents services en cloud (services infonuagiques).

Face au risque, il était urgent de mettre en œuvre une symétrie de la maîtrise, à savoir déployer des actions de réponse en matière à la fois d’organisation, de renforcement des capacités, de rapidité et de souplesse d’exécution, de communication et de contrôle des tiers. C’est ce qu’on appelle la résilience.

La résilience selon le DORA

Plus précisément, le règlement DORA définit la résilience opérationnelle numérique comme :

« … la capacité d’une entité financière à construire, assurer et contrôler son intégrité et sa fiabilité opérationnelle en garantissant, directement ou indirectement par le recours à des services fournis par des prestataires de services informatiques, l’ensemble des ressources nécessaires pour assurer la sécurité du réseau et des systèmes d’information qu’une entité financière utilise, et qui soutiennent la continuité des services financiers et leur qualité, y compris pendant toute la durée des perturbations… » (article 3).

Cette définition de la résilience se veut plus large que celle de la sécurité globale.

Elle a l’ambition de pérenniser dans la durée différentes solutions techniques, matérielles et organisationnelles avec l’objectif de maintenir l’activité financière.

Elle implique également tout un ensemble d’acteurs à un niveau transversal, dont les prestataires de services informatiques, qui se présentent à la fois comme à l’origine de certaines vulnérabilités et comme parties prenantes des solutions de mitigation.

Les exigences du DORA

Le DORA prévoit quatre piliers successifs, qui structurent un dispositif cohérent :

• Pilier 1 : Gestion des risques informatiques et gouvernance;

• Pilier 2 : Gestion des incidents informatiques;

• Pilier 3 : Programme de tests de résilience;

• Pilier 4 : Gestion des prestataires de services numériques.

La communication aux autorités constitue un fil rouge, commun à ces grands thèmes à la fois sur la partie prévention et sur la partie gestion de l’incident.

Pour la plupart des entreprises concernées, les exigences prévues par le DORA sont déjà connues et constituent un socle de protection générique. Le DORA n’impose finalement que de renforcer ou de formaliser ce qui existe déjà.

Vers une qualification commune de ce qu’est une crise cyber

Le DORA introduit toutefois une innovation majeure. Il s’agit de la classification harmonisée au niveau de l’Union européenne de ce qu’est ou de ce que n’est pas un événement critique, en fonction de seuils définis.

Cela signifie que les entités financières disposeront désormais de la même grille de lecture de ce qu’est un incident ou une menace cyber en fonction de ses impacts – et donc décideront d’activer ou non une cellule de crise en fonction de ces mêmes critères communs.

Cette approche permet d’apporter des réponses adaptées et coordonnées à l’échelle européenne, mais elle limite aussi en interne la part de subjectivité liée à la qualification, qui résulte de considérations stratégiques ou d’appétence à la crise.

Dans les prochaines semaines, le règlement DORA va nécessiter, pour les entités financières sur le territoire européen et leurs prestataires informatiques, un travail de formalisation et de valorisation de leurs dispositifs de résilience.

C’est pourquoi il importe de bien mesurer d’ores et déjà les attendus des autorités et de tout l’écosystème afin de mieux s’approprier l’exigence de la résilience.

Article rédigé par Clotilde Marchetti

Clotilde Marchetti Associée Risques extrêmes et résilience chez Grant Thornton, est une docteure en science politique. Elle accompagne depuis plus de 20 ans les entreprises dans la gestion de leurs crises et de leur continuité d’activité.

Pour en savoir plus : https://www.linkedin.com/in/clotildemarchetti/

COMPLÉMENT : ÉTABLIR UN GAP ANALYS (ANALYSE DES ÉCARTS) DU DORA

Dans la mesure où le DORA renforce une situation existante, il est recommandé de déterminer les écarts entre le dispositif actuel et les exigences imposées par les autorités. Pour ce faire, un questionnaire fondé sur les dispositions réglementaires permet utilement de déterminer le niveau de maturité de l’entité.

Nous préconisons de ne pas retenir de réponses à ce questionnaire telles qu’« inexistant », « réalisé » ou encore « en cours », qui s’inscrivent dans une logique de gestion de projet. Nous considérons la logique de conformité comme plus pertinente avec une évaluation :

1. « non conforme »;

2. « majoritairement non conforme »;

3. « majoritairement conforme »;

4. « totalement conforme ».

À chacun de ces seuils, un descriptif ad hoc peut être apporté afin de mieux orienter les équipes opérationnelles. À la question, par exemple, « existe-t-il une politique de protection de l’information incluant une classification des informations sensibles, des procédures de gestion des droits d’accès, une cartographie des actifs informationnels? » (articles 8 et 9 du DORA), l’entité aura la latitude suivante :

1. La politique n’a pas été formalisée;

2. La politique a été formalisée ou partiellement formalisée;

3. La politique a été formalisée et approuvée par la gouvernance;

4. La politique a été formalisée et approuvée, et elle est révisée périodiquement.

Cette approche adaptée permet de disposer de résultats chiffrés favorisant un véritable scoring (score, évaluation) à l’instant T de la maturité de l’entité financière et donc de fixer au mieux la stratégie de mise en conformité avant janvier 2025.