Le 14 décembre 2022 le Règlement n° 2022/2554 du Parlement européen et du Conseil sur la résilience opérationnelle numérique du secteur financier encore nommé Digital Operational Resilience Act – DORA) a été adopté.

Dans la mesure où il s’agit d’un règlement il est entré en application le 17 janvier 2025.

Dans ce cadre, nous avons souhaité, par le biais de plusieurs articles, vous présenter dans le détail ce nouveau texte, afin de vous permettre le cas échéant de vous mettre en conformité. L’article ci-dessous concerne les exigences que DORA impose en matière de gestion du risque lié aux TIC. 

I- La gouvernance

Pour mettre en œuvre les exigences de gestion du risque liées aux TIC, les entités financières (v. article #1 pour la définition des acteurs concernés par cette réglementation) doivent disposer d’un cadre de gouvernance et de contrôle interne qui garantit une gestion efficace et prudente du risque.  

La gouvernance est placée sous la responsabilité de l’organe de direction. Il s’agit de celui désigné par le droit national, habilité à définir la stratégie, les objectifs et l’orientation générale de l’entité et qui assure la surveillance et le suivi des décisions prises en matière de gestion et qui comprend les personnes qui dirigent effectivement l’activité de l’entité^[1].

L’organe de direction est chargé de neuf séries de rôles qui engagent sa responsabilité globale sur l’ensemble de la mise en œuvre du cadre général de gestion du risque TIC. 

Sa responsabilité va de la mise en place d’une stratégie visant à garantir le maintien de normes élevées en matière de disponibilité, d’intégrité et de confidentialité, à l’approbation, la supervision et l’examen périodique de la mise en œuvre de la politique de continuité des activités de TIC de l’entité financière en passant par l’allocation et le réexamen périodique du budget approprié pour satisfaire les besoins de l’entité financière en matière de résilience opérationnelle numérique pour tous les types de ressources^[2].

L’organe de direction doit être notifié de tous :

• les accords conclus avec des prestataires tiers de services TIC sur l’utilisation des services TIC ;
• les changements significatifs pertinents prévus concernant les prestataires tiers de services TIC ;
• les résumés de l’analyse des risques visant à évaluer les incidences potentielles des changements :
  • sur les fonctions critiques et importantes : il s’agit des fonctions 1) dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou 2) dont l’interruption, l’anomalie ou la défaillance est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers (exemple : pour un établissement de crédit le système de gestion de relation client ou d’opération de crédit ; pour un fonds d’investissement le système de négociation ou d’exécution d’ordre ; pour une entreprise d’assurance le système de gestion des sinistres) ; ou
  • les incidents majeurs qui sont ceux qui ont un impact élevé sur les réseaux et les systèmes d’information qui soutiennent des fonctions critiques ou importantes de l’entité financière. 

En somme, l’organe de direction même s’il peut déléguer cette fonction ou désigner une personne indépendante^[3] responsable spécifiquement en son sein, doit être in fine le seul et unique responsable des dysfonctionnements de l’organisation de gestion des risques TIC.

Les membres de l’organe de direction doivent donc avoir les compétences requises pour gérer ces sujets, ce qui implique leur formation.

Les microentreprises ne sont pas concernées par l’ensemble des conditions de gouvernance puisqu’elles sont soumises à un cadre simplifié de gestion du risque lié aux TIC (v. infra).

II- Le cadre général de gestion du risque lié aux TIC

1. Présentation

De façon générale, DORA définit un cadre constitué d’obligations et de devoirs au sein duquel les entités financières doivent gérer le risque. Plus spécifiquement, ce cadre est déterminé par les stratégies, politiques, procédures, protocoles, outils TIC pour protéger les actifs informationnels et TIC (il s’agit des logiciels, matériels informatiques, serveurs, composants…).

Le cadre de gestion des risques TIC doit être solide, complet et bien documenté. Il doit faire partie du système de gestion de risque général de l’entité financière. Il doit garantir rapidité, efficacité et exhaustivité et un niveau de résilience opérationnel numérique.

Dans tous les cas, les entités financières fournissent des informations complètes et actualisées sur le risque lié aux TIC.

2. Le contenu du cadre de gestion

Le cadre de gestion contient les éléments suivants :

Il convient de noter que l’ensemble des composants du cadre de gestion de risques lié aux TIC est décrit en détail dans le règlement.Pour la majorité des procédures, méthodes et dispositifs mis en place dans le cadre de gestion de risques lié aux TIC des tests fréquents doivent être mis en œuvre - tests des changements (art. 9), tests des mécanismes de détections (art. 10), tests des plans de continuité d’activité (at. 11), tests des plans de communication de crise (art. 11), tests des procédures de sauvegarde (art. 12).

Le cadre doit faire l’objet d’audit interne régulier et de mise à jour fréquente (au moins une fois par an)^[4]. Ce type d’obligation peut être un levier de négociation fondateur pour les prestataires comme pour les entités financières dans les contrats. 

3. La stratégie de résilience opérationnelle numérique et tolérance au risque

Un élément important de ce cadre est la mise en œuvre d’une stratégie de résilience opérationnelle numérique. Elle définit les modalités de mise en œuvre du cadre. Cette stratégie détermine les méthodes pour parer les risques liés aux TIC et atteindre les objectifs spécifiques en matière de TIC. 

Outre le fait que cette stratégie définit la cohérence globale du cadre avec l’ensemble de l’organisation de l’entité, qu’elle défini les objectifs clairs en matière de sécurité, décrit l’architecture TIC, présente les mécanismes de détection et de prévention des incidents, met en œuvre des tests de résilience opérationnelle numérique et les stratégies de communication, elle détermine le niveau de tolérance au risque lié aux TIC. 

La tolérance au risque est une notion inspirée du vocabulaire des risques financiers étant donné qu’il est impossible de réduire le risque TIC à zéro. Il convient de déterminer le niveau de risque que les entités sont capables d’accepter conformément à leur modèle d’entreprise afin d’atteindre leurs objectifs stratégiques^[5]. 

Dans ce cadre, plusieurs méthodes existent, l’une d’elles consiste à caractériser la sévérité d’un risque à partir d’une matrice de vraisemblance et de gravité qu’il convient de décliner selon différents types de conséquences. Grâce à cela l’entité financière pourra déterminer à partir de quel seuil d’alerte, l’impact financier potentiel d’un risque est jugé grave et au-delà de quelle limite, il est considéré comme inacceptable et nécessite un renforcement de la maîtrise du risque^[6].

Dans ce cadre, les sources de risques doivent être évaluées pour chaque fonction métiers (art. 8)

Cet examen de la tolérance permettra justement d’établir les critères de respect du principe de proportionnalité doit prendre en compte. 

III- Le cadre simplifié de gestion du risque lié aux TIC

Un cadre moins complexe a été défini pour permettre d’assurer un maximum la sécurité des entités financières qui n’ont pas les moyens de mettre en œuvre le cadre général (microentreprise, petite entreprise d’investissement non interconnecté, établissement de paiement exempté). 

Elles doivent néanmoins : 

• mettre en place et maintenir un cadre de gestion du risque lié aux TIC solide et documenté qui détaille les mécanismes et les mesures permettant une gestion rapide, efficace et complète du risque lié aux TIC, y compris en ce qui concerne la protection des composantes et infrastructures physiques pertinentes ; 
• surveiller en permanence la sécurité et le fonctionnement de tous les systèmes de TIC ; 
• réduire au minimum l’incidence du risque lié aux TIC grâce à l’utilisation de systèmes, protocoles et outils de TIC solides, résilients et actualisés, aptes à soutenir l’exercice de leurs activités et la fourniture de services et à protéger de manière adéquate la disponibilité, l’authenticité, l’intégrité et la confidentialité des données dans le réseau et les systèmes d’information ; 
• permettre d’identifier et de détecter rapidement les sources de risque et les anomalies liées aux TIC dans le réseau et les systèmes d’information et de traiter rapidement les incidents liés aux TIC; 
• recenser les principales dépendances vis-à-vis des prestataires tiers de services TIC ; 
• assurer la continuité des fonctions critiques ou importantes, au moyen de plans de continuité des activités et de mesures de réponse et de rétablissement, qui comprennent au moins des mesures de sauvegarde et de restauration ; 
• tester régulièrement les plans et mesures visés au point précédent, ainsi que l’efficacité des contrôles mis en œuvre conformément aux premier et troisième points ; 

mettre en œuvre, le cas échéant, les conclusions opérationnelles pertinentes résultant des tests visés au point précédent et de l’analyse post-incident dans le processus d’évaluation du risque lié aux TIC et élaborer, en fonction des besoins et du profil de risque lié aux TIC, des programmes de sensibilisation en matière de sécurité des TIC et de formation à la résilience opérationnelle numérique à l’intention du personnel et de la direction.

IV- Les normes techniques de réglementation

Afin d’assurer une cohérence d’ensemble plus importante des normes techniques doivent être publié par les Autorités européennes de surveillance (Autorité Bancaire Européenne - ABE, Autorité européenne des assurances et des pensions professionnelles - EIOPA et Autorité européenne des marchés financiers - ESMA) en concertation avec l’Agence de l’Union européenne pour la cybersécurité (ENISA). 

Ces normes, ont pour but de répondre aux exigences de DORA en : 

• précisant les éléments à inclure dans les politiques, procédures, protocoles et outils de sécurité des TIC ; 
• approfondissant les composantes relatives au contrôle des droits de gestion des accès et de la politique connexe en matière de ressources humaines ; 
• approfondissant les mécanismes qui permettent la détection rapide des activités anormales, ainsi que les critères qui entraînent le déclenchement des processus de détection des incidents liés aux TIC et de réponse à ces incidents ; 
• détaillant davantage les composantes de la politique de continuité des activités de TIC ; 
• détaillant davantage les tests des plans de continuité d’activité, les composantes des plans de réponses et de rétablissement des TIC ainsi que le contenu et le format du rapport sur le réexamen du cadre de gestion du risque lié. 

Deux lots de normes techniques ont été communiqués par les AES. Le premier le 17 janvier 2024 et le second le 17 juin 2024. 

Un règlement délégué du 13 mars 2024 est venu complété DORA par des normes techniques de réglementation précisant les outils, méthodes, processus et politiques de gestion du risque lié aux TIC et le cadre simplifié de gestion du risque lié aux TIC.

Ainsi, eu égard à ce qui vient d’être évoqué, les entités financières doivent donc mettre en place l’ensemble des éléments de ce cadre définit par DORA.

Dans le cadre du cycle Guide pour la mise en application du règlement DORA expliquant le cadre légal de cette nouvelle réglementation qui entre en application le 17 janvier 2025, nous abordons les six thèmes suivants :

• #1 Dispositions générales : qu’est-ce que le règlement DORA ? De quoi est-ce qu’il est question ? À qui s’applique-t-il ? Quel est le risque en cas de non-conformité ? 
• #2 Les exigences que DORA impose en matière de gestion du risque lié aux TIC
• #3 Les règles de gestion, de classification et de notification des incidents liés aux TIC
• #4 Les tests de résilience opérationnelle numérique
• #5 La gestion des risques liés aux prestataires tiers de services TIC
• #6 Le partage d’information et les autorités compétentes

Le département Contrats informatiques, données & conformité peut vous accompagner dans la gestion et la mise en place contractuelle ainsi que dans la constitution du cadre de sécurité indispensable au respect de la conformité DORA.

Pour toute question, n’hésitez pas à nous contacter.

^[1] DORA renvoie pour la définition de l’organe de direction, à de multiples énoncés figurant dans les textes concernant les instruments financiers, les établissements de crédit, les titres, les fonds d’investissement, mais globalement chacune d’elle renvoie à cette définition. 

^[2] DORA, art. 5. 

^[3] DORA, art. 5, 3) et art. 6 4). 

^[4] DORA, art. 6, 5) et 6). 

^[5] Orientations de l’ABE sur la gestion des risques liés aux TIC et à la sécurité, 28 nov. 2019, p. 6. 

^[6] https://blog-conformite.esbanque.fr/le-reglement-dora-change-t-il-la-donne-en-matiere-de-la-gouvernance-des-risques-lies-aux-technologies-de-linformation-et-de-la-communication/