L’Union Européenne renforce la sécurité informatique de ses institutions financières avec le règlement DORA (Digital Operational Resilience Act). Ce dernier doit minimiser la vulnérabilité systémique du secteur et lui permettre de rester résilient en cas de perturbation majeure des Systèmes d’Information. La DSI et la Direction des Risques devront renforcer leurs liens et mutualiser leurs ressources pour s’y conformer.
Règlement DORA : DSI, coopérez avec la Direction des Risques
Nicolas Chaine, Partner et Djibril Bamba, Managing Consultant chez Julhiet Sterwen apportent leur éclairage.
Harmoniser en réponse à un contexte
La dépendance grandissante du secteur financier aux TIC (Technologies de l’Information et de la Communication) et l’interconnexion entre ses différents acteurs ont favorisé l’émergence de nouvelles menaces. Celles-ci font porter des risques sur la résilience opérationnelle numérique des acteurs du secteur financier européen.
Pour les contrer, le règlement DORA a été adopté en novembre 2022 par le Conseil de l’Union Européenne. Ce règlement européen d’application directe est entré en vigueur début 2023, et sa mise en application est prévue pour le 17 janvier 2025. Les régulateurs des 27 états de l’UE veilleront à la bonne application du texte. Pour la France, il s’agira de l’ACPR. Des sanctions définies par chaque Etat membre s’appliqueront en cas de non-conformité.
Les exigences de DORA, qui imposent de manière inédite une obligation de résultat, s’articulent autour de cinq piliers.[1]Les institutions financières et leurs prestataires de services TIC doivent s’organiser pour analyser ces nouvelles exigences et évaluer leurs impacts stratégiques et opérationnels sur leurs activités.
Répondre à une pression réglementaire accrue
Une bonne mise en œuvre de DORA permettra aux Directions des Systèmes d’Information (DSI) d’atteindre l’objectif d’amélioration et de valorisation des mécanismes de résilience opérationnelle numérique. Concrètement, ce règlement impose d’adapter les exigences de la réglementation aux problématiques de chaque institution. Pour cela, les DSI devront travailler conjointement et régulièrement avec les Directions des Risques et de la Conformité.
DORA impose aux DSI d’être maîtres de leur capacité à répondre à des incidents entraînant une dégradation, voire une interruption, des activités critiques.En cela, DORA se rapproche du texte NIS 2 qui exige de renforcer les mesures de protection et de notification à appliquer en cas d’incident.
DORA constitue cependant une règle spéciale qui prend le pas, en droit, sur la règle générale. Il impose aux institutions d’être en conformité avec ce règlement en priorité. En conséquence, la pression réglementaire, auparavant surtout ressentie par les Directions des Risques et de la Conformité, s’exerce maintenant sur les DSI.
DSI : s’affirmer comme membre essentiel d’une équipe coordonnée…
Pour que l’entreprise soit conforme à DORA, la DSI devra travailler étroitement avec, entre autres, la Direction des Risques pour répondre aux exigences du règlement sur ses 5 piliers.
Le premier pilier est la gestion des risques liés aux TIC. La DSI devra constituer et mettre à jour, annuellement, un inventaire des actifs informatiques. Ceux sur lesquels s’appuieront les activités critiques seront à identifier en priorité avec la Direction des Risques. Cette dernière coconstruira et maintiendra avec la DSI une procédure d’évaluation et de gestion des risques, l’analyse des menaces et les tolérances d’impact. Les synergies entre les deux directions permettront de capitaliser sur les tests pour élaborer ou actualiser la matrice des risques. La DSI devra enfin, là aussi annuellement, sensibiliser et former le comité exécutif aux risques TIC et plus particulièrement cyber. Pour cela, elle mettra à profit les échanges avec la Direction des Risques sur l’approche à adopter.
La classification et la notification des incidents liés aux TIC constituent le deuxième pilier. La DSI devra formaliser et optimiser les processus et procédures de gestion des incidents. Elle établira ensuite une classification des incidents conforme aux exigences réglementaires avec la Direction des Risques. Elles œuvreront aussi la DSI à établir des KPIs qui permettront un pilotage optimal des incidents en qualifiant leur sévérité. La Direction des Risques étant experte dans l’élaboration d’un plan de communication et de réaction, elle travaillera avec la DSI sur les incidents liés aux TIC.
Le troisième pilier concerne la réalisation de tests périodiques de résilience opérationnelle numérique. Ils permettront d’assurer la réalisation et la valorisation de tests de résilience en impliquant les métiers. Ils seront effectués par des collaborateurs indépendants internes ou externes, en priorité sur les actifs et applications critiques. Les entreprises devront privilégier les exercices les plus proches des conditions réelles. Pour éviter de perturber les opérations, la Direction des Risques assistera la DSI, notamment dans l’ajustement des niveaux de difficulté. Les résultats seront alors plus significatifs que ceux de « simples » tests.
Le quatrième pilier est consacré à la gestion des risques liés aux prestataires tiers de services TIC. Cette gestion passera par une collaboration entre les départements. Ainsi, en plus de la DSI et la Direction des Risques, les départements Juridique et Achats seront concernés. La DSI s’appuiera sur leurs expertises pour définir une politique d’utilisation des services TIC critiques. Elle contribuera également à structurer les tables du registre d’information fournisseurs. Le Juridique et les Achats poseront un œil averti sur les contrats de services. De son côté, la Direction des Risques évaluera le niveau de risque associé aux services mentionnés. Aussi, des stratégies de sortie seront à prévoir pour garantir la continuité des activités critiques supportées par des fournisseurs TIC.
Le cinquième et dernier pilier concerne le partage d’informations liées aux cybermenaces. La DSI et la Direction des Risques devront collaborer pour formaliser une procédure de reporting au régulateur. Cela sera possible via la future plateforme de l’UE dédiée aux incidents majeurs liés aux TIC.
… pour maîtriser les enjeux actuels et futurs du règlement DORA
Le succès des projets de mise en conformité avec le règlement DORA dépendra de la capacité de la DSI à être un membre actif d’une équipe soudée, formée avec les directions des Risques, de la Conformité, du Juridique, des Achats et des Opérations. La réussite des actions à mener repose sur le changement de pratiques qu’implique cette étroite collaboration.
La DSI devra ainsi adopter une approche par les risques, tandis que les autres directions renforceront leur maîtrise des enjeux liés aux TIC. Ensemble, elles pourront être à l’avant-garde de la résilience opérationnelle numérique pour anticiper et non subir les exigences du régulateur.
[1] La gestion des risques liés aux TIC, la gestion, la classification et la notification des incidents liés aux TIC, la réalisation de tests de résilience opérationnelle numérique, la gestion des risques liés aux prestataires tiers de services TIC et le partage d’informations liées aux cybermenaces.
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Une réalité complexe qui exige des mesures de sécurité avancées et repensées au-delà de l’authentification multifacteur. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.