Article

Règlement sur la résilience opérationnelle numérique (DORA)

ComplianceSecurity
Temps de lecture : 19 minutes

Définition et champ d'application du DORA

Le DORA est l'acronyme anglais du Règlement sur la résilience opérationnelle numérique de l'Union européenne (UE), adopté en 2022 pour fournir un cadre de gestion des risques dans le but de protéger le secteur financier de l'UE contre les cybermenaces. Il détermine les mesures que les institutions financières de l'UE doivent prendre pour protéger leurs technologies de l'information et de la communication (TIC).

Le champ d'application du Règlement sur la résilience opérationnelle numérique est vaste. Il impose des normes technologiques spécifiques que les institutions financières et leurs fournisseurs de services doivent mettre en œuvre dans leurs systèmes d'information et de communication. Ces normes s'appliquent non seulement aux entreprises de l'UE, mais aussi à toutes les institutions financières et à leurs prestataires de services tiers qui opèrent dans l'UE.

Contexte historique et parcours législatif

Le principal moteur du Règlement sur la résilience opérationnelle numérique a été la prise de conscience par la Commission européenne de l'ampleur de l'utilisation des TIC et de la dépendance des institutions financières à leur égard. Face à l'augmentation des cyberattaques et à la multiplication des cyberrisques, la Commission a cherché à légiférer sur les meilleures pratiques en matière de cybersécurité afin de protéger les systèmes TIC du secteur financier en les renforçant et en garantissant leur résilience opérationnelle. Elle souhaitait également harmoniser les règles de gestion des risques disparates qui avaient vu le jour dans l'UE.

Importance du DORA pour les institutions financières à l'ère du numérique

Lorsque le Règlement sur la résilience opérationnelle numérique entrera pleinement en vigueur en janvier 2025, les institutions financières seront soumises à des exigences rigoureuses en matière de gestion des données. Ces dernières auront des conséquences considérables non seulement sur les systèmes TIC, mais aussi sur les systèmes et processus connexes.

De plus, ces exigences s'étendront bien au-delà des institutions financières individuelles. L'ampleur des exigences en matière de conformité sera considérable, car tous leurs prestataires tiers devront être évalués et certifiés conformes.

Cadre de base du DORA : explication de ses cinq piliers

Le Règlement sur la résilience opérationnelle numérique repose sur cinq principes, ou piliers, fondamentaux. Ensemble, ces piliers abordent les aspects essentiels de la résilience opérationnelle numérique.

1. Exigences en matière de gestion des risques liés aux TIC

Le Règlement sur la résilience opérationnelle numérique exige que les institutions financières élaborent et mettent en œuvre un programme de gestion des risques. Ce dernier doit suivre un cadre de gestion des risques basé sur des normes internationales et doit inclure une stratégie de résilience numérique, une formation à la cybersécurité pour tous les collaborateurs, y compris l'équipe de direction, et des audits réguliers. Les institutions doivent disposer de contrôles de sécurité pour protéger les actifs TIC et de plans de récupération en cas d'attaque ou de sinistre.

2. Signalement des incidents liés aux TIC

La capacité à détecter et à répondre rapidement et efficacement aux incidents de cybersécurité est un objectif fondamental du Règlement sur la résilience opérationnelle numérique. La réglementation exige des institutions financières qu'elles mettent en place des systèmes et des processus complets de détection, de réponse et de récupération en cas d'incidents de cybersécurité mettant en danger les systèmes de TIC, ainsi que des rapports sur les causes profondes des problèmes importants.

Le DORA exige que les institutions financières soumettent des rapports sur les incidents liés aux TIC dans un délai d'un mois à compter de la détection de l'incident. Dans le cadre du DORA, un centre européen centralisé collectera les données relatives aux incidents liés aux TIC plutôt que de les confier aux autorités nationales compétentes (NCA) au niveau local.

3. Tests de résilience opérationnelle numérique

Le Règlement sur la résilience opérationnelle numérique impose aux institutions de procéder à des tests réguliers des systèmes TIC. Ces tests doivent comprendre une évaluation des procédures, des outils et des méthodologies afin d'identifier et de hiérarchiser les vulnérabilités et d'y remédier directement.

Le DORA impose des tests formels une fois par an, avec des tests de pénétration basés sur les menaces (TLPT) tous les trois ans. Pour réduire la charge des tests, le cadre de test du DORA s'inspire du cadre TIBER-UE, une directive de test volontaire élaborée par la Banque centrale européenne qui détaille les modalités de test de la cyberrésilience par les institutions financières.

4. Gestion des risques liés aux tiers, y compris les prestataires de services

Pour faire face aux cyberrisques provenant de prestataires de services tiers, le Règlement sur la résilience opérationnelle numérique rend les institutions financières responsables de la cartographie des dépendances aux tiers et de l'évaluation de tout risque provenant de ces partenaires. Il s'agit notamment des risques susceptibles d'avoir une incidence sur leur cyberrésilience, d'entraîner une violation de données ou de les exposer à des attaques de la chaîne d'approvisionnement. Les institutions financières sont tenues de procéder à des évaluations de leur posture en matière de risque et de soumettre des rapports annuels sur tous les partenaires et prestataires de TIC.

5. Partage d'informations entre les institutions financières

Dans le but d'améliorer la visibilité du paysage des risques et des menaces affectant les institutions financières de l'UE et de favoriser leur coopération en matière de défense contre les cybermenaces, le Règlement sur la résilience opérationnelle numérique encourage le partage d'informations. Le partage d'informations entre les institutions financières vise à améliorer la connaissance des cybermenaces et des tactiques de réponse pour atténuer les cyberrisques dans l'ensemble du secteur.

Le Règlement sur la résilience opérationnelle numérique s'applique à toutes les institutions qui fournissent des services financiers dans l'UE, quel que soit leur lieu d'établissement. Le règlement concerne principalement le secteur financier, mais il touche également les fournisseurs tiers et les prestataires de services de ce secteur.

Liste exhaustive des entités tenues à la conformité

Selon l'article 2, Champ d'application, les types d'entités financières que le Règlement sur la résilience opérationnelle numérique oblige à se conformer au règlement sont les suivants :

  • Prestataires de services d'information sur les comptes
  • Administrateurs d'indices de référence critiques
  • Contreparties centrales
  • Dépositaires centraux de titres
  • Établissements de crédit
  • Agences de notation de crédit
  • Prestataires de services de financement participatif
  • Prestataires de services de cryptoactifs autorisés en vertu d'un règlement du Parlement européen et du Conseil sur les marchés de cryptoactifs
  • Prestataires de services de communication de données
  • Institutions de monnaie électronique, y compris les institutions de monnaie électronique qui sont exemptées en vertu de la Directive 2009/110/CE
  • Prestataires de services TIC tiers
  • Institutions d'assurance retraite professionnelle
  • Organismes d'assurance et de réassurance
  • Intermédiaires d'assurance, intermédiaires de réassurance et intermédiaires d'assurance auxiliaires
  • Sociétés d'investissement
  • Sociétés de gestion
  • Gestionnaires de fonds d'investissement alternatifs
  • Établissements de paiement, y compris les établissements de paiement qui sont exemptés en vertu de la Directive (UE) 2015/2366
  • Référentiels de titrisation
  • Référentiels centraux
  • Plateformes de négociation

Compréhension des obligations de conformité en vertu du DORA

  • Accès à l'audit pour les régulateurs et les institutions financières qui évaluent les prestataires
  • Partage de renseignements sur les cybermenaces entre les institutions financières
  • Processus de signalement des incidents pour partager les informations dans le centre centralisé de l'UE du DORA
  • Cartographie de tous les prestataires de services TIC tiers et évaluation de leur niveau de risque
  • Analyse rétrospective des incidents liés aux TIC
  • Cadre de gestion des risques et de gouvernance avec les politiques et programmes correspondants
  • Programmes de tests de sécurité avec rapports sur les tests généraux et les tests de pénétration

Rôle des autorités de surveillance européennes dans l'application de la législation

Pour les institutions financières, le Règlement sur la résilience opérationnelle numérique est mis en œuvre par les régulateurs, appelés autorités compétentes, dans chaque État membre de l'UE. Elles ont le pouvoir d'imposer des sanctions administratives et pénales aux organismes qui ne se conforment pas à la réglementation. Chaque état membre de l'UE détermine les sanctions spécifiques.

Les prestataires de services TIC jugés critiques par la Commission européenne sont supervisés par trois autorités européennes de surveillance (ESA) :

  1. Autorité bancaire européenne (EBA)
  2. Autorité européenne des marchés financiers (ESMA)
  3. Autorité européenne des assurances et des pensions professionnelles (EIOPA)

La supervision par les prestataires de services TIC du Règlement sur la résilience opérationnelle numérique est assurée par un superviseur principal, qui est nommé par les ESA. Il est épaulé par d'autres agences, dont l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) et d'autres autorités compétentes de l'UE.

Le superviseur principal est autorisé à infliger aux prestataires de services TIC qui ne respectent pas les règles des amendes pouvant aller jusqu'à 1 % de leur chiffre d'affaires annuel. Les prestataires de services TIC peuvent se voir infliger des amendes quotidiennes pendant une période pouvant aller jusqu'à six mois, jusqu'à leur mise en conformité.

Mise en œuvre du DORA dans votre entreprise

Comme pour de nombreuses réglementations, la mise en œuvre du Règlement sur la résilience opérationnelle numérique est souvent une question d'ajustement et de renforcement des systèmes et processus existants. Pour la plupart des entreprises, le changement le plus important est l'obligation d'évaluer et de contrôler les prestataires de services TIC tiers. Voici une vue d'ensemble de la mise en œuvre efficace du DORA.

Étapes à suivre pour se conformer à la réglementation DORA

Les étapes générales suivantes aideront les institutions financières à se conformer au Règlement sur la résilience opérationnelle numérique.

  • Déterminer le champ d'application.
    Examinez la liste des entités figurant à l'article 2 du Règlement sur la résilience opérationnelle numérique qui sont tenues de se conformer au DORA pour confirmer qu'il s'applique à l'entreprise.
  • Comprendre les exigences de conformité.
    Déterminez les obligations de l'entreprise pour répondre aux exigences énoncées par le Règlement sur la résilience opérationnelle numérique.
  • Mener une évaluation des cyberrisques.
    Évaluez comment les systèmes et processus de l'entreprise et de ses prestataires de services TIC tiers s'alignent sur les exigences du Règlement sur la résilience opérationnelle numérique et documentez les lacunes.
  • Impliquer les équipes à l'échelle de l'entreprise.
    Incluez les équipes en dehors du groupe informatique pour assurer l'identification de tous les cyberrisques et de toutes les lacunes. Cela permet également de s'assurer que la stratégie de conformité est exhaustive et qu'elle répond aux besoins des autres groupes.
  • Développer une stratégie de résilience opérationnelle.
    S'il existe une stratégie de résilience, examinez-la pour confirmer qu'elle répond aux exigences du Règlement sur la résilience opérationnelle numérique et modifiez-la en conséquence. Si aucune stratégie n'a été élaborée, créez une stratégie globale pour assurer la continuité des activités en cas d'incident de sécurité ayant un impact sur les systèmes TIC, ainsi que pour répondre aux cybermenaces, aux violations de données et à d'autres problèmes ou perturbations.
  • Définir les responsabilités.
    Selon le Règlement sur la résilience opérationnelle numérique, le conseil d'administration et l'équipe de direction sont responsables de la gestion des risques liés aux TIC et du maintien de la résilience opérationnelle. Ces fonctions doivent impérativement être déléguées et supervisées par les dirigeants. Les domaines clés sur lesquels il faut se concentrer sont les suivants :
  • Identifier et évaluer les prestataires de services TIC tiers.
    Cartographiez tous les prestataires de services TIC tiers et élaborez un plan d'évaluation de leur cyberrisque et de leur cyberrésilience sur la base des critères du Règlement sur la résilience opérationnelle numérique. Mettez en œuvre des processus de surveillance continue et de tests réguliers.
  • Tester les systèmes et les processus.
    Procédez régulièrement à des tests de résilience opérationnelle numérique afin de confirmer la conformité et d'identifier les lacunes ou les domaines à optimiser. Des tests de pénétration basés sur les menaces (TLPT) devraient également être effectués au moins tous les trois ans en utilisant des cadres approuvés, tels que TIBER-EU et CBEST Intelligence-Led Testing.
  • Développer un plan d'intervention en cas d'incident.
    Soyez prêt à réagir rapidement et efficacement à un incident en élaborant un plan d'intervention complet qui englobe à la fois les réponses techniques et les protocoles de communication. Attribuez des rôles à chaque fonction et mettez-les en pratique. Le plan d'intervention en cas d'incident doit également être testé et révisé régulièrement.
  • Établir un programme de formation.
    Établissez un programme de formation des employés qui génère et renforce la prise de conscience de la résilience opérationnelle numérique et du rôle des individus dans son maintien. Mettez l'accent sur l'importance de la cybersécurité et sur les mesures à prendre pour atténuer les cyberrisques.
  • Contrôler les systèmes TIC
    Utilisez des outils pour automatiser le contrôle des systèmes TIC afin d'identifier proactivement les cyberrisques et les cybermenaces.
  • Politiques de sécurité garantissant la sécurité des données
  • Gestion et gouvernance des fonctions et systèmes liés aux TIC
  • Examen de la stratégie de résilience opérationnelle numérique et des systèmes et programmes associés
  • Évaluations des prestataires de services TIC
  • Budget nécessaire aux efforts de résilience opérationnelle

Mise en œuvre d'un cadre de gestion des risques liés aux TIC

Voici les étapes fondamentales de la mise en œuvre d'un cadre de gestion des risques liés aux TIC, comme l'exige le Règlement sur la résilience opérationnelle numérique. Les exigences et les sous-étapes sont spécifiques à chaque entreprise, mais ces étapes donnent une vue d'ensemble de ce qu'il faut faire.

  1. Préparez-vous à appréhender toutes les exigences en matière de gestion des risques liés aux TIC, ainsi que les entités et les personnes impliquées dans tous les domaines de la gestion des risques.
  2. Catégorisez les systèmes TIC et détaillez leurs fonctions, les données collectées, les connexions à d'autres systèmes et l'accès des utilisateurs.
  3. Sélectionnez et mettez en œuvre des contrôles de sécurité pour les systèmes TIC, y compris ceux qui couvrent la protection technique, opérationnelle et physique, ainsi que la résilience numérique.
  4. Évaluez l'exactitude et l'efficacité des contrôles de sécurité des TIC afin d'identifier les éventuelles lacunes ou vulnérabilités.
  5. Mettez en œuvre des processus de surveillance continue des systèmes TIC afin d'identifier les menaces et les cyberrisques et d'y répondre le plus rapidement possible.

Bonnes pratiques en matière de signalement d'incidents

Le signalement d'incidents et les tests de résilience sont des piliers du Règlement sur la résilience opérationnelle numérique. Voici quelques bonnes pratiques pour la mise en œuvre de ces fonctions essentielles.

Les bonnes pratiques en matière de signalement des incidents commencent par la définition de ce qu'est un incident et l'établissement de catégories d'incidents. À la suite d'un incident, il faut procéder à un signalement complet qui comprend les éléments suivants :

  • Informations générales sur l'incident — date à laquelle il s'est produit et résumé de ce qui s'est passé
  • Chronologie de l'incident et tactiques de réponse
  • Le cadre ou l'environnement dans lequel l'incident s'est produit
  • Les personnes, les entreprises et les systèmes touchésimpliqués, ainsi que les dommages subis
  • Les témoins et les équipes impliquées dans la détection et la correction de l'incident, ainsi que ce qu'ils ont observé et fait
  • Des supports visuels dans le cas d'incidents physiques
  • Des tactiques de réponse immédiate, ainsi que des tactiques de remédiation planifiées

Les tests de résilience

Pour s'assurer de l'efficacité d'un plan de cyberrésilience, il est important de le tester. Voici quelques éléments à prendre en compte lors des tests de cyberrésilience.

  • Définissez des paramètres de cyberrésilience, tels que le délai de récupération
  • Établissez des valeurs de référence pour les paramètres de résilience opérationnelle numérique
  • Simulez des cyberattaques ou des perturbations du système
  • Testez la résilience opérationnelle numérique et les plans de réponse aux incidents, ainsi que les connaissances des employés en matière de cyberrésilience et de meilleures pratiques de cybersécurité, et leurs rôles
  • Utilisez les résultats des tests pour mettre à jour et améliorer les stratégies de résilience opérationnelle numérique et les plans associés

Gestion des risques liés aux tiers et aux TIC

Il convient de tenir compte des éléments suivants lors de l'évaluation de la gestion des risques liés aux TIC par des prestataires de services tiers afin de satisfaire aux exigences du Règlement sur la résilience opérationnelle numérique.

Lors de l'évaluation des prestataires de services TIC potentiels, il convient de commencer par déterminer la criticité du service fourni. La profondeur de l'évaluation doit être proportionnelle à cette criticité.

Une fois le prestataire de services TIC sélectionné, il convient d'intégrer dans le contrat des exigences minimales en matière de résilience opérationnelle numérique et de cybersécurité. Il convient également d'établir des processus et des mesures pour contrôler et tester la conformité à ces exigences.

Assurez-vous que l'ensemble des plans de continuité et de reprise des activités sont établis pour tous les prestataires de services TIC. Ces plans doivent inclure des sauvegardes de toutes les données critiques.

Le Règlement sur la résilience opérationnelle numérique devrait améliorer sensiblement le fonctionnement général et la sécurité du secteur des services financiers, tant dans l'UE qu'en dehors.

Cela s'explique par les exigences imposées aux prestataires de services TIC tiers et par le fait que la réglementation concerne toute entreprise opérant dans l'UE.

Renforcement de la résilience opérationnelle face aux menaces numériques

Les exigences spécifiques en matière de cybersécurité imposées par le Règlement sur la résilience opérationnelle numérique sont conçues pour assurer la continuité des activités en cas de cyberattaque ou d'autres incidents ayant un impact sur les systèmes TIC. Cette réglementation codifie les meilleures pratiques en matière de cybersécurité et les applique à l'écosystème tentaculaire des services financiers.

Le rôle du DORA dans la promotion d'un écosystème financier européen harmonisé

L'un des principaux objectifs du Règlement sur la résilience opérationnelle numérique était d'harmoniser les normes dans l'ensemble de l'UE. Le DORA crée un environnement réglementaire unifié qui rationalise la conformité et aide les institutions financières et les prestataires de services TIC tiers à offrir le même niveau élevé de résilience et de cybersécurité.

Défis potentiels et considérations pour l'avenir

La mise en œuvre efficace des processus et des systèmes pour répondre aux exigences de conformité au Règlement sur la résilience opérationnelle numérique sera un défi pour de nombreuses entreprises. Les problèmes les plus fréquemment cités sont les suivants :

  • Un manque de définition claire de la résilience opérationnelle
  • Un manque de processus et d'infrastructure de signalement et de partage d'informations
  • Des limitations dans l'évaluation et l'identification de l'ensemble des cyberrisques qui ont un impact sur la résilience numérique

Conclusion : Adoption de la résilience opérationnelle numérique pour un succès durable

Le respect des exigences de conformité au Règlement sur la résilience opérationnelle numérique permet non seulement aux entreprises d'éviter les sanctions, mais offre également un modèle de résilience cybernétique et de cybersécurité durables.

Résumé des principaux points à retenir concernant le DORA

Il est indispensable de comprendre les cinq piliers du Règlement sur la résilience opérationnelle numérique pour garantir la conformité et optimiser les performances de tous les systèmes et de toutes les opérations. Toute institution financière, qu'elle soit ou non concernée par le DORA, peut bénéficier des conseils énoncés dans ces cinq piliers :

  1. Exigences en matière de gestion des risques liés aux TIC
  2. Signalement des incidents liés aux TIC
  3. Tests de résilience opérationnelle numérique
  4. Gestion des risques liés aux tiers, y compris les prestataires de services
  5. Partage d'informations entre les institutions financières

Importance d'un engagement proactif vis-à-vis des exigences du DORA

Face à l'évolution rapide de l'écosystème technologique et des menaces, les entreprises doivent rester vigilantes. Prenez le temps de vous informer sur les dernières solutions disponibles pour soutenir la résilience opérationnelle numérique et les mesures de cybersécurité. Surveillez également les informations sur les menaces provenant de sources internes et externes afin d'élaborer des stratégies et des tactiques de cyberdéfense et de résilience opérationnelle numérique.

Dernières réflexions sur la préparation d'un avenir numérique résilient dans le secteur financier

Le Règlement sur la résilience opérationnelle numérique offre aux institutions financières l'occasion d'évaluer et d'améliorer leur sécurité et leur résilience. Les exigences imposées aux prestataires de services TIC tiers s'étendent à l'ensemble des entreprises. Cela promet des avantages considérables, car ces entreprises seront mieux préparées à atteindre des niveaux élevés de résilience opérationnelle numérique.

Lancez-vous

Découvrez ce que la sécurité des identités peut faire pour votre entreprise

Découvrez comment les solutions SailPoint permettent à l’entreprise moderne de résoudre l’équation : garantir un accès sécurisé aux ressources sans nuire à la productivité ou à l’innovation.

Demander une démoContactez-nous