DORA concerne le secteur des services financiers de l’UE et cette législation est sur le point de faire des vagues dans l’industrie financière. Voici un aperçu des obligations que les institutions financières doivent respecter en vertu de la loi DORA.

Le secteur des services financiers est depuis longtemps un innovateur technologique et un précurseur. Les progrès réalisés dans le domaine de la banque et de la finance ont permis à la transformation numérique du secteur de prendre de l’avance. Mais les nouvelles technologies et les nouvelles méthodes de travail attirent les cybercriminels. Résultat : les attaques contre le secteur financier montent en flèche.

En 2021, le secteur bancaire a connu uneaugmentation de1 318 % des attaques de ransomwares, et de 2,5% des attaques de ransomwares. 65 % des grandes organisations financières ont subi une cyberattaque en 2020. La gravité des cyberattaques de plus en plus complexes et dommageables dans le secteur financier a conduit à l’entrée d’une nouvelle législation dans le lexique de la réglementation des services financiers.  DORA (Digital Operational Resilience Act).

Les bases de DORA

Le premier projet de DORA a été publié le 24 septembre 2020, et le 10 septembre 2022, le Parlement européen l’a approuvé. La législation jouera un rôle central dans le « paquet finance numérique », utilisé pour favoriser l’innovation et la concurrence dans le domaine de la finance numérique tout en atténuant les risques découlant de la numérisation du secteur.

L’article 114 du traité sur le fonctionnement de l’Union européenne (TFUE) sert de base juridique à la loi DORA, qui vise à harmoniser les lignes directrices en matière de cybersécurité dans l’ensemble du secteur. 

L’UE aime utiliser des moyens réglementaires pour consolider et harmoniser les meilleures pratiques ; le GDPR est un exemple de règlement harmonisé sur la confidentialité des données ; DORA est la tentative de l’UE de consolider et d’améliorer la gestion des risques liés aux TIC dans le secteur financier, DORA ayant un impact sur les entreprises de services financiers de l’UE et leurs fournisseurs de TIC (critiques).

Le DORA exigera des entreprises du secteur financier qu’elles mettent en œuvre des mesures qui les protègent contre les risques liés aux TIC : à ce titre, le DORA étend les exigences aux tiers, tels que les fournisseurs d’informatique en nuage.

Quelles obligations le DORA impose-t-il au secteur financier ?

L’objectif est de créer un environnement résilient dans l’ensemble de l’écosystème des services financiers. Le cadre sous-jacent de DORA repose sur un ensemble de règles conçues pour aider les institutions financières à développer des processus solides de gestion des risques. Voici quelques-unes des principales exigences et couvertures de DORA :

Champ d’application de DORA

Presque tous les types d’entités financières relèveront de la loi DORA. Les entités couvertes comprennent les établissements de crédit, les établissements de paiement, les établissements de monnaie électronique, les entreprises d’investissement, les fournisseurs de services de crypto-actifs, les fonds d’investissement alternatifs, les gestionnaires d’assurance, etc. L’exception concerne les auditeurs, qui ne sont actuellement pas soumis aux règles de la loi DORA, mais cela devrait changer dans les prochaines versions de la loi. Pour une liste complète des entités couvertes, voir l’article 2 de la loi DORA.

Les fournisseurs de TIC qui fournissent des services aux entités couvertes par la loi DORA doivent également se conformer à cette loi. Les fournisseurs de TIC sont considérés comme des acteurs essentiels du secteur financier et, à ce titre, sont soumis à des règles strictes en vertu de la loi DORA. Les fournisseurs de services TIC critiques non basés dans l’UE qui fournissent des services à des entités financières dans l’UE doivent établir une filiale dans l’UE.

Fournisseurs de TIC et DORA

La gestion des risques liés aux tiers est un élément clé de DORA. L’accent mis sur les fournisseurs de TIC est une réaction à l’augmentation des attaques de la chaîne d’approvisionnement telles que la mise à jour du logiciel SolarWinds Orion. L’Agence de cybersécurité de l’Union européenne (ENISA) a signalé une augmentation de la sophistication et du volume des attaques de la chaîne d’approvisionnement, les attaquants ciblant la chaîne d’approvisionnement pour voler des données et des actifs financiers. Le DORA coordonne les exigences en utilisant les cadres existants tels que les lignes directrices sur l’externalisation de l’Autorité bancaire européenne (ABE). (Voir aussi l’article 14 du DORA)

Dans le cadre du DORA, les entreprises financières peuvent définir certains fournisseurs de TIC comme « critiques ». En tant que tel, un fournisseur de TIC critique qui fournit des services à une entité couverte par le DORA sera soumis à des règles strictes mises en œuvre par le biais d’un engagement direct avec les autorités de l’UE chargées des services financiers.

Principales mesures de cybersécurité

Les valeurs fondamentales de la législation DORA sont de maintenir des systèmes TIC résilients. Pour ce faire, les lignes directrices suivantes ont été établies :

Gestion des risques et résilience

Au cœur du DORA se trouvent des lignes directrices en matière de gestion des risques destinées à aider le secteur des services financiers à mettre en place des infrastructures plus résilientes. Les programmes de gestion des risques et les évaluations qui en résultent servent de base aux tests de résilience. En outre, la législation prévoit la réalisation d’analyses d’impact sur les entreprises basées sur des scénarios de « perturbation grave des activités ».

Les tests de résilience et de vulnérabilité doivent être effectués par des experts indépendants et comprendre des tests de pénétration réguliers basés sur les menaces. Il est important que tous les systèmes TIC critiques soient testés chaque année.

Mesures de protection (voir également l’article 8)

Voici quelques exemples de mesures de protection nécessaires :

  • Utilisez des politiques appropriées et complètes pour les correctifs et les mises à jour.
  • Mettre en œuvre des politiques et des protocoles pour des mécanismes d’authentification forte
  • Suivre une approche basée sur les risques pour établir une gestion saine du réseau et de l’infrastructure
  • Mettre en œuvre des politiques qui limitent l’accès physique et virtuel aux ressources et aux données des systèmes TIC
  • Prévenir les fuites d’informations

Gestion des incidents TIC

L’article 15 détaille les exigences en matière de gestion et de contrôle des incidents de sécurité, y compris les procédures pour « détecter, gérer et notifier les incidents liés aux TIC et mettre en place des indicateurs d’alerte rapide ».

Signaler un incident de cybersécurité

Les entités couvertes doivent fournir un moyen de surveiller, de décrire et de signaler aux autorités compétentes tout incident significatif lié aux TIC. Les règles de notification sont strictes pour les fournisseurs de TIC critiques. Elles prévoient une notification initiale au plus tard à la fin du jour ouvrable ou, si l’incident significatif s’est produit plus de deux heures avant la fin du jour ouvrable, au plus tard quatre heures après le début du jour ouvrable suivant.

Ensuite, un rapport intermédiaire est requis au plus tard une semaine après la notification initiale ; il est suivi d’un rapport final lorsque l’analyse des causes profondes est terminée, au plus tard un mois après l’envoi du rapport initial.

Responsabilité en matière de gestion et de sécurité

La loi DORA confie la responsabilité des risques liés aux TIC et des cybermenaces au groupe de direction des services financiers. La mise en place d’une formation de sensibilisation à la sécurité permettra de s’assurer que le niveau C et l’ensemble de l’entreprise sont axés sur la sécurité.

Le DORA couvre également des aspects essentiels de la gestion et de la réponse en matière de cybersécurité, tels que le partage d’informations (voir l’article 40).

Quelle est la prochaine étape pour DORA ?

Le règlement prévoit une période de mise en œuvre de 24 mois pour les entités financières et leurs fournisseurs de services tiers essentiels à partir de la date d’entrée en vigueur de la législation. Il est donc conseillé aux entités concernées d’utiliser les 24 mois entre la date d’entrée en vigueur de la législation et la mise en œuvre des mesures de conformité pour effectuer une analyse des lacunes : des mesures telles que des tests de pénétration basés sur les menaces et des règles strictes en matière de rapports pourraient sinon passer au travers de ces lacunes.

Formation de sensibilisation à la sécurité pour les vendeurs tiers