#3 Règlement DORA : gestion, classification et notification des incidents liés aux TIC
Le 14 décembre 2022 le Règlement n° 2022/2554 du Parlement européen et du Conseil sur la résilience opérationnelle numérique du secteur financier encore nommé Digital Operational Resilience Act – DORA) a été adopté.
Dans la mesure où il s’agit d’un règlement il entre en application sans transposition et très prochainement, le 17 janvier 2025.
Dans ce cadre, nous avons souhaité, par le biais de plusieurs articles, vous présenter dans le détail ce nouveau texte, afin de vous permettre le cas échéant de vous mettre en conformité. L’article ci-dessous concerne les étapes permettant aux entités financières de détecter, classifier et notifier les incidents liés aux TIC.
Le cycle de vie d’un incident
Le règlement DORA oblige les entités financières à mettre en place un processus de gestion des incidents liés aux TIC qui permet de répondre à tous les événements du cycle de vie des incidents :
À compter de l’alerte liée à un incident, l’entité financière doit mettre en œuvre une procédure de gestion de cet incident, impliquant notamment sa classification, condition essentielle selon le règlement DORA. L’incident peut ensuite faire l’objet d’une notification selon les conditions exposées dans cet article.
La gestion des incidents et leur classification
Dans le cadre de gestion que nous avons évoqué dans notre article précédent, il convient d’instaurer des procédures destinées à identifier, suivre, consigner, catégoriser et classer les incidents liés aux TIC en fonction de leur priorité et de leur gravité et en fonction et la criticité des services touchés.
Dans le cadre de ces procédures, méthodes et outils, le règlement DORA cherche à empêcher un maximum les réitérations des incidents. Dans ce cadre, les entités financières doivent identifier et documenter les causes originelles. C’est une analyse en profondeur de l’incident qui doit être réalisée. En conséquence, ces causes originelles doivent disparaître en y remédiant[1].
Cette disparition des causes originelles passe notamment par une classification des incidents pour mieux en cerner les impacts et la portée.
Les catégories d’incidents qui doivent faire l’objet d’un suivi particulier sont les suivants :
- les incidents liés aux TIC qui sont des événements ou une série d’événements liés entre eux que l’entité financière n’a pas prévue qui compromet la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique ; et
- les cybermenaces importantes qui sont toute circonstance, tout événement ou toute action potentiels susceptibles de nuire ou de porter atteinte aux réseaux et systèmes d’information, aux utilisateurs de tels systèmes et à d’autres personnes, ou encore de provoquer des interruptions de ces réseaux et systèmes[2] dont les caractéristiques techniques indiquent qu’elles pourraient donner lieu à un incident majeur lié au TIC (atteinte aux fonctions critiques ou importantes de l’entités financières), ou à un incident opérationnel ou de sécurité majeure liée au paiement ; et
- incidents opérationnels ou de sécurité majeure lié au paiement : ces derniers sont les événements ou série d’événement liés entre eux que les entités financières bancaires[3] n’ont pas prévu, lié ou non aux TIC, qui ont une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données liées au paiement ou sur les services liés au paiement fournis par l’entité financière qui a une incidence négative élevée.
Ces événements doivent faire l’objet de classement pour évaluer leur impact et leur portée. Ce classement tient compte des critères suivants :
Ces critères sont précisés par le règlement délégué du 13 mars 2024 de la Commission tels que :
- la durée d’un incident se mesure par exemple à partir du moment où l’incident est survenu jusqu’au moment où il est résolu. Cependant, si l’entité financière n’est pas en mesure de déterminer le moment de survenance de l’incident alors il se mesure à compter du moment où il a été détecté[4] ;
- la répartition géographique intègre la prise en compte des conséquences de l’incident en ce qui concerne les clients et les contreparties financières dans d’autres États membres, les succursales ou les autres entités financière du groupe qui exercent des activités dans d’autres États membres ; les infrastructures des marchés financières ou les prestataires tiers susceptibles d’affecter les entités financières établies dans d’autres États membres auxquelles ils fournissent des services, ces informations doivent être disponibles[5] ;
- en ce qui concerne les conséquences économiques, les entités financières doivent identifier plusieurs séries de coûts qualifiés de pertes directes et indirectes supportées et notamment les fonds ou les actifs financiers dont elles sont responsables ; les coûts de remplacement ou du déplacement de logiciels, de matériels ou d’infrastructures ; les coûts de dédommagement ou d’indemnisation des clients ; les pertes dues aux recettes non perçues ; les frais de conseil[6].
L’ensemble de ces conditions doivent être examinées dans le détail afin de mettre en place les procédures pour gérer l’incident et y remédier.
Notification des incidents
Un autre point majeur de DORA concerne les informations à présenter aux autorités. Elles sont de trois catégories : les déclarations en cas d’incidents majeurs, les notifications volontaires en cas de cybermenace importantes et les informations clients.
La déclaration en cas d’incident majeur
Concernant la déclaration en cas d’incident doit être effectuée :
- d’une part, auprès de l’autorité compétente désignée par les États membres ;
- d’autre part, uniquement lorsqu’un incident majeur survient. Pour être considéré comme majeur un incident doit atteindre un certain nombre de seuils d’importance significative : soit concernant les clients, les contreparties financières et les transactions ; soit concernant la réputation des entités financières ; soit concernant la durée de l’interruption ; soit concernant la répartition géographique ; la perte de données ou les conséquences économiques ;
- enfin la déclaration implique la communication à l’autorité d’une notification initiale, puis d’un rapport intermédiaire et d’un rapport final.
La notification volontaire
Concernant la notification volontaire, elle doit intervenir lors de cybermenaces importantes.
Comme pour les incidents cette notification doit être faite à l’autorité désignée et répond à des critères concrets décrits dans le règlement délégué cité.
L’esprit de cette notification volontaire est de diffuser auprès de l’ensemble des États membres, par la voix de l’autorité compétente, les cas de cybermenaces importantes.
L’information client
Ensuite, lorsqu’un incident majeur survient et a une incidence sur les intérêts financiers des clients, les entités financières informent leurs clients de cet incident majeur lié aux TIC et des mesures qui ont été prises pour atténuer les effets préjudiciables de cet incident sans retard injustifié, dès qu’elles en ont connaissance. Il en est de même pour les cybermenaces importantes.
∞
Dans le cadre du cycle « Guide pour la mise en application du règlement DORA » expliquant le cadre légal de cette nouvelle réglementation qui entre en application le 17 janvier 2025, nous abordons les six thèmes suivants :
- #1 Dispositions générales : qu’est-ce que le règlement DORA ? De quoi est-ce qu’il est question ? À qui s’applique-t-il ? Quel est le risque en cas de non-conformité ?
- #2 Les exigences que DORA impose en matière de gestion du risque lié aux TIC
- #3 Les règles de gestion, de classification et de notification des incidents liés aux TIC
- #4 Les tests de résilience opérationnelle numérique
- #5 La gestion des risques liés aux prestataires tiers de services TIC
- #6 Le partage d’information et les autorités compétentes
- Le département Contrats informatiques, données & conformité peut vous accompagner dans la gestion et la mise en place contractuelle ainsi que dans la constitution du cadre de sécurité indispensable au respect de la conformité DORA.
- Pour toute question, n’hésitez pas à nous contacter.
[1] Régl. Dora, art. 17.
[2] Régl. (UE) 2019/881, 17 avr. 2019, relatif à l’ENISA et à la certification de cybersécurité des technologies de l’information et des communications, abr. Régl. (UE) n°526/2013 (règlement sur la cybersécurité), art.2, 8).
[3] Pour la qualification des acteurs v. l’article du cabinet Cloix Mendès-Gil sur ce sujet.
[4] Régl. Délégué, n°2024/1772, 13 mars 2024, art. 3, 1°).
[5] Régl. Délégué, n°2024/1772, 13 mars 2024, art. 4.
[6] Pour le détail voir Régl. Délégué, n°2024/1772, 13 mars 2024, art. 7.