Le règlement européen n°2022/2554 sur la résilience opérationnelle informatique du secteur financier (« DORA » pour Digital Operational Resilience Act) a été adopté le 14 décembre 2022 et s’appliquera à compter du 17 janvier 2025.
Finance numerique : le règlement européen n°2022/2554 sur la résilience opérationnelle informatique du secteur financier (« DORA » pour Digital Operational Resilience Act) a été adopté le 14 décembre 2022 et s’appliquera à compter du 17 janvier 2025.
Ce règlement a pour objectif de renforcer la sureté technologique et le bon fonctionnement du secteur financier. Il fixe des exigences de sécurité de sorte que les services financiers puissent résister et se remettre des perturbations et menaces liées aux technologies de l’information et de la communication (« TIC ») dans toute l’Union européenne.
Il s’applique à un large éventail d’acteurs évoluant dans le secteur financier ainsi que leurs partenaires technologiques, tels que notamment les établissements de crédit, entreprises d’investissement, établissements de paiement, sociétés de gestion, entreprises d’assurance et prestataires tiers de services TIC opérant dans les services financiers.
Le règlement DORA s’articule autour de cinq chapitres qui fixent un ensemble de règles ayant un impact majeur sur les procédures de sécurités internes et les relations contractuelles des acteurs du secteur financier.
Les principales mesures sont les suivantes :
1° La gestion des risques informatiques
Le règlement DORA impose l’adoption de cadres de gouvernance et contrôle internes afin de garantir une gestion efficace et prudente de tous les risques informatiques.
Les entités financières devront également mettre en place un cadre de gestion des risques informatiques adapté à leurs activités leur permettant de parer aux risques informatiques de manière rapide et efficiente.
Ainsi, à titre préventif, elles devront :
- Utiliser et tenir à jour des systèmes, protocoles et outils de TIC adaptés, fiables et suffisamment résilients sur le plan technologique ;
- Identifier toutes formes de risques informatiques ;
- Assurer un suivi et un contrôle permanent du fonctionnement des systèmes et outils TIC ;
- Mettre en place des mécanismes de détection d’activités anormales ;
- Définir des processus et mesures d’amélioration continus, une politique de continuité des activités, une politique de sauvegarde et des procédures et méthodes de restauration et rétablissement.
Les entreprises concernées devront disposer de capacités et effectifs pour recueillir des informations sur les vulnérabilités, les cybermenaces et les incidents liés au TIC. A ce titre, elles devront réaliser des examens post-incidents à la suite d’incidents majeurs ayant perturbé leurs activités principales.
Cette nouvelle règlementation impose également la formalisation de plans de communication en situation de crise afin de favoriser une divulgation responsable des incidents majeurs liés au TIC.
Il convient de relever que le règlement prévoit un cadre simplifié de gestion du risque lié aux TIC pour certains acteurs de petites tailles comme les petites entreprises d’investissements non interconnectées.
2° Les notifications d’incidents informatiques
Les entités financières devront formaliser et mettre en œuvre un processus de gestion des incidents informatiques encadrant leur gestion, détection et notification. La règlementation DORA introduit une méthodologie standard de classification des incidents de sécurité selon des critères spécifiques (durée de l’incident, gravité des effets sur les SI, nombres d’utilisateurs touchés, …).
Les entités financières seront soumises à une obligation de notification des incidents informatiques classés comme majeurs auprès d’autorités compétentes nationales désignées en fonction du type d’entité financière (notamment l’ACPR et l’AMF en France) et devront leur communiquer un rapport intermédiaire et un rapport final. Ces notifications devront intervenir dans des délais fixés ultérieurement par les autorités européennes de surveillance.
Dans le cas où un incident qualifié de « majeur » a une incidence sur les intérêts financiers de clients, les entités financières devront également informer ces derniers, dès qu’elles en ont connaissance, de l’incident et des mesures prises pour en atténuer les effets.
3° Les tests de résilience opérationnelle informatique
Afin d’évaluer leur état de préparation en cas d’incidents informatiques et de mettre en œuvre le cas échéant des mesures correctrices, les acteurs du secteur financier devront formaliser un programme solide de tests de résilience opérationnelle numérique comprenant une série d’évaluations, de tests, de méthodologies, de pratiques et d’outils à appliquer.
Tous les trois ans, ils devront également effectuer des tests de pénétration fondés sur la menace, réalisés par des testeurs indépendants et certifiés.
4° La gestion des risques liés aux tiers prestataires de services informatiques
Le règlement DORA introduit des principes généraux devant être respectés par les entités financières dans le cadre de leurs relations avec des tiers prestataires de services informatiques.
Celles-ci devront adopter une stratégie en matière de risques liés à ces tiers et tenir un registre d’information en rapport avec tous les accords contractuels portant sur l’utilisation de services TIC fournis par des prestataires tiers.
Les entités financières devront communiquer au moins une fois par an aux autorités compétentes des informations sur les nouveaux accords relatifs à l’utilisation de services informatiques et devront les informer de tout projet d’accord contractuels portant sur l’utilisation de tels services soutenant des fonctions critiques.
Ce texte impose également aux entreprises visées de ne conclure des contrats avec ces tiers uniquement s’ils respectent des normes adéquates en matière de sécurité de l’information.
Les droits et obligations entre les entités financières et les prestataires de services informatiques devront être définies au sein d’un contrat écrit qui devra inclure notamment les conditions suivantes :
- Une description claire et exhaustive des services fournis ;
- Les lieux où les services seront fournis et les données traitées ;
- Des dispositions sur l’accessibilité, la disponibilité, l’intégrité, la sécurité et la protection des données personnelles ;
- Des descriptions des niveaux de service ;
- L’obligation pour le prestataire de fournir à l’entité financière, sans frais supplémentaires ou à un cout déterminé ex ante, une assistance en cas d’incident informatique ;
- L’obligation pour le tiers de coopérer pleinement avec les autorités compétentes ;
- Le droit de résiliation et le délai de préavis minimal.
Lorsque les prestataires tiers fournissent des services informatiques soutenant des fonctions critiques ou importantes, les contrats devront définir des conditions additionnelles parmi lesquelles :
- L’obligation pour le prestataire de coopérer lors des tests de pénétration fondés sur la menace ;
- L’obligation pour le prestataire de mettre en œuvre des plans d’urgence et de mettre en place des mesures de sécurité fournissant un niveau approprié de sécurité ;
- Des droits illimités d’accès d’inspection et d’audit par l’entité financière ;
- Les stratégies de sorties, telles que la fixation d’une période de transition adéquate obligatoire.
En outre, la règlementation introduit un cadre de surveillance pour les prestataires de services informatiques tiers critiques pour les entités financières selon une série de critères (effet systémique sur la fourniture des services en cas de défaillance, importance systémique des entités financières qui dépendent de ce prestataire, degré de substituabilité du prestataire, …). Les « prestataires critiques de services informatiques » se verront imposer un cadre de surveillance au regard d’un ensemble de critères : exigences de sécurité, processus de gestion des risques, disponibilité, continuité, modalités de gouvernance, …
Ces prestataires feront l’objet d’évaluations effectuées par les entités de supervision qui seront dotées de prérogatives leur permettant d’effectuer des demandes d’information, de procéder à des inspections générales et des contrôles sur place et de formuler des recommandations.
5° Le partage d’informations et de renseignements
Le règlement DORA introduit des directives sur les échanges d’information entre entités financières sur les cybermenaces. Ces échanges devront viser à améliorer la résilience opérationnelle numérique des entités financières notamment et s’opérer dans le plein respect de la confidentialité des affaires. De plus, les entités financières se verront imposer une obligation de notification aux autorités compétentes lors de la participation à des dispositifs d’échanges d’information.
Enfin, ce règlement prévoit que les différentes autorités compétentes disposeront de pouvoir de surveillance, d’enquête et de sanctions en cas de non-conformité aux dispositions de ce texte.
Ce sont les États Membres qui auront la charge d’arrêter les règles prévoyant les sanctions administratives et les mesures correctives appropriées en cas de violation du règlement et qui veilleront à leur mise en œuvre effective. Il convient de relever que, contrairement au RGPD, ce règlement ne prévoit pas un plafond en cas de sanction pécuniaire mais impose que les sanctions soient « effectives, proportionnées et dissuasives ».
Notre équipe IT-Digital et Data de Joffe & Associés se tient à votre disposition pour vous accompagner dans votre démarche de mise en conformité afin d’anticiper au mieux la mise en application de ce règlement, notamment lors de la négociation des contrats avec les prestataires TIC mais aussi pour auditer les contrats en cours. A noter que le règlement DORA a une portée plus large que l’arrêté du 3 novembre 2014.
