DORA : faites de cette réglementation un atout pour renforcer la résilience cyber de votre organisation

Introduction

Le règlement européen pour la résilience numérique opérationnelle (Digital Operational Resilience Act – DORA) a pour objectif d’harmoniser et d’élever le niveau de résilience cyber et de cybersécurité des entités financières de l’Union Européenne telles que les banques et les assurances. La Commission Européenne définit les exigences techniques des cinq piliers de DORA à travers des publications comme les Regulatory Technical Standard (RTS) et les Implementing Technical Standard (ITS).

Contexte

Le 16 janvier 2023, l’Union Européenne a publié le règlement DORA au Journal Officiel, lançant ainsi le processus de mise en conformité pour les entités financières. À ce stade, certaines précisions manquaient encore, en attendant la publication des textes complémentaires. Les RTS et ITS ont apporté ces précisions au fil des mois. La Commission Européenne a finalisé la publication complète de ces textes le 17 juillet 2024. clarifiant les exigences supplémentaires, souvent techniques, relatives aux cinq piliers de DORA.

Suite à l’entrée en vigueur de DORA le 17 janvier 2025, les entités financières doivent s’assurer de leur conformité en intégrant ces nouvelles obligations dans leurs pratiques. DORA impose aux entités financières européennes un cadre renforcé pour garantir la résilience opérationnelle numérique face aux risques croissants des cybermenaces. Conçu pour protéger l’intégrité du secteur financier, il impose des obligations strictes concernant la gestion des risques liés aux technologies de l’information et de la communication (TIC), la gestion des incidents et cybermenaces, la réalisation de tests de résilience, et le contrôle des prestataires tiers de services TIC.

La mise en conformité avec DORA représente un véritable défi pour les institutions financières, qui doivent adapter leurs processus et outils pour répondre à ces exigences légales. En effet, le règlement ne se contente pas de renforcer les exigences de gestion des risques, mais impose également un contrôle plus rigoureux des prestataires tiers et une transparence accrue dans la gestion des incidents cyber.

Pour ces entités, cela implique de repenser leurs stratégies de cybersécurité, d’intégrer des solutions adaptées et de mettre en place une gouvernance rigoureuse. Au-delà de la simple conformité réglementaire, la mise en œuvre de DORA constitue un enjeu stratégique majeur pour assurer la protection des infrastructures critiques, maintenir la confiance des clients et des régulateurs, et préserver la stabilité financière au niveau européen.

Le respect de ces normes devient ainsi un pilier fondamental pour garantir l’autonomie stratégique et la compétitivité des acteurs du secteur financier face à un environnement de plus en plus numérique et menaçant.

Les autorités de supervision

Les Autorités Européennes de Supervision impliquées dans la régulation et la supervision du cadre de DORA sont :

• L’Autorité bancaire européenne (EBA – European Banking Authority) qui supervise les institutions financières, y compris les banques, en matière de régulation financière et de gestion des risques.
• L’Autorité européenne des assurances et des pensions professionnelles (EIOPA – European Insurance and Occupational Pensions Authority) qui est responsable de la régulation et de la supervision des secteurs des assurances et des pensions professionnelles.
• L’Autorité européenne des marchés financiers (ESMA – European Securities and Markets Authority) qui supervise les marchés financiers, en particulier les titres et instruments financiers, ainsi que les infrastructures des marchés financiers.

Ces trois AES collaborent ensemble pour établir et faire respecter les normes techniques et les exigences de supervision concernant la gestion des risques numériques, la cybersécurité et la résilience opérationnelle des entités financières en vertu de DORA.

Chaque pays membre de l’UE, y compris la France, a des autorités nationales compétentes qui travaillent en coopération avec ces autorités européennes pour appliquer les régulations et superviser les entités financières locales.

En France, les autorités nationales responsables de la supervision des institutions financières sont principalement :

• L’Autorité de contrôle prudentiel et de résolution (ACPR) qui supervise les banques, assurances et autres institutions financières pour assurer leur stabilité et protéger les clients.

• L’Autorité des marchés financiers (AMF) qui supervise les marchés financiers et veille à leur bon fonctionnement en garantissant la transparence et la protection des investisseurs.

Ces autorités nationales veillent à la mise en conformité des entités financières françaises avec les régulations européennes, telles que DORA, en collaboration avec les trois AES (EBA, EIOPA et ESMA).

Le cadre de gestion des risques

Premier pilier de DORA, le cadre de gestion des risques liés aux technologies de l’information et de la communication (TIC) instaure un niveau d’exigence plus élevé que les anciens textes européens en la matière, tels que la Directive NIS (Network and Information Security), la Directive NIS 2, ou encore la Loi de Programmation Militaire (LPM). Ces textes ont posé les bases de la gestion des risques numériques, mais DORA va plus loin en apportant des exigences détaillées et un cadre harmonisé, visant à renforcer la résilience des institutions financières face à des menaces de plus en plus complexes.

La norme définit rapidement ce cadre de gestion des risques, puis le détaille dans un RTS (RTS 2021/0215). Les trois autorités européennes de supervision (AES) y précisent les outils, méthodes, processus et politiques nécessaires à la constitution de ce cadre. Il est intéressant de noter que ce texte suit la même dynamique que les récentes mises à jour de la suite ISO 27000.

L’heure n’est plus à l’accompagnement et à l’encadrement des processus et politiques : les nouveaux challenges, risques et menaces poussent les organismes législatifs et normateurs vers des obligations d’outillage logiciel pour les acteurs certifiés ou concernés.

Test de résilience opérationnelle numérique

Les tests de résilience opérationnelle numérique, qui étaient déjà abordés dans les textes européens ou nationaux précédents (comme la Directive NIS ou la LPM), ont été renforcés par le règlement DORA. Ce troisième pilier détaille l’organisation des tests de pénétration dirigés par la menace (Threat-Led Penetration Testing – TLPT).

Le RTS (RTS 2022/2554) définit de manière claire l’organisation, la méthodologie, le périmètre et les critères de contrôle de ces tests. Il établit un cadre rigoureux pour garantir la résilience des systèmes critiques, en s’appuyant sur une approche proactive de gestion des risques.

Pour être conforme à ces exigences, les entités financières doivent organiser des tests TLPT à fréquence régulière, en fonction de leur profil de risque et de leur importance systémique. Les entités critiques, par exemple celles ayant un impact systémique sur l’économie de l’Union Européenne, doivent mener ces tests au moins une fois par an, tandis que les entités non critiques peuvent avoir une fréquence réduite, bien que les tests doivent être réalisés sur une base régulière.

La méthodologie de ces tests doit impliquer des attaques simulées qui imitent des scénarios de cybermenaces réelles, avec un accent particulier sur les vulnérabilités potentielles pouvant affecter la résilience des systèmes clés. Les entités doivent également s’assurer que les tests sont menés par des experts qualifiés et que des mesures de suivi appropriées sont prises pour corriger les vulnérabilités identifiées. En France, c’est la certification PASSI délivrée par l’ANSSI qui est exigée.

DORA s’appuie sur le programme TIBER-EU pour encadrer les tests de résilience opérationnelle numérique, les deux initiatives ayant des objectifs communs visant à renforcer la cybersécurité des institutions financières par la mise en œuvre de tests de pénétration ciblés.

Gestion des risques liés aux prestataires tiers de service TIC

Pour assurer une maîtrise complète des enjeux cyber des entités financières, il est crucial d’adopter une posture de contrôle des prestataires, qu’ils fournissent un service TIC critique ou non. C’est dans cette optique que le législateur européen a créé un cadre d’accompagnement et de contrôle des tiers. Ce pilier permet d’encadrer les accords contractuels parfois complexes, la sous-traitance secondaire, mais aussi de garantir aux entités financières un meilleur contrôle sur les prestataires de services TIC considérés comme critiques pour leur activité.

Le contrôle des prestataires repose sur l’établissement d’un registre d’informations relatives aux accords contractuels, cartographiant l’ensemble du paysage contractuel des tiers des entités financières, ainsi que sur la définition d’une gouvernance claire du cycle de vie des accords contractuels.

Réelle nouveauté dans les sujets traités, ce pilier est largement considéré comme l’un des plus complexes à mettre en place. Il s’accompagne de trois RTS et ITS qui guident les entités financières dans l’application des mesures DORA. Le registre fait l’objet d’un premier ITS (ITS 2022/2556) qui propose un modèle de registre, ainsi que des guides de complétion, tandis qu’un RTS (RTS 2022/2557) précise le dispositif de gouvernance, la gestion des risques et les contrôles à mettre en place pour le suivi des contrats.

La résilience cyber ainsi que l’autonomie stratégique des entités financières sont capitales pour la sauvegarde des intérêts de l’Union Européenne et de ses États membres. Il est donc essentiel que les entités financières, clés de voûte de l’économie du marché intérieur, restent maîtresses de leurs fonctions critiques ou importantes, même lorsqu’elles sont sous-traitées. Le législateur européen définit à travers ce RTS (RTS 2022/255) un cadre auquel les entités financières, ainsi que les sous-traitants envisagés, doivent être conformes pour garantir que la contractualisation soit valide et conforme. Ces exigences recouvrent notamment l’évaluation des risques portés par le sous-traitant, l’évaluation du tiers, le suivi des accords, ainsi que la notification des changements majeurs chez le prestataire ayant un impact sur l’objet de la prestation.

Echange d’information

Le cinquième et dernier pilier de DORA met en lumière la volonté du législateur européen de renforcer l’harmonisation et l’unification de la réponse des entités financières aux enjeux et menaces cyber. En visant une plus grande autonomie stratégique pour l’Union Européenne, particulièrement dans les secteurs des nouvelles technologies et de la finance, le règlement encourage et encadre les pratiques d’échange d’informations au sein de l’écosystème financier européen. Ce pilier établit plusieurs mécanismes de communication et d’échange d’informations entre les entités financières, les autorités compétentes, ainsi que les acteurs concernés. Ce dispositif facilite l’échange d’informations sur les incidents rencontrés, les défis cybers et les réponses mises en place pour renforcer la résilience des systèmes financiers.

Deux RTS viennent préciser ces exigences concernant les échanges d’informations. Le premier RTS (RTS2022/2558) définit les modalités de coopération entre les Autorités Européennes de Supervision (AES) et les autorités compétentes des États membres. Il vise à harmoniser les contrôles effectués sur les différentes juridictions, assurant ainsi une approche cohérente des exigences DORA au sein de l’Union Européenne. Ce RTS coordonne principalement les actions de supervision entre les régulateurs, sans affecter directement les entités financières, bien qu’il puisse influencer leur conformité globale. Le second RTS (RTS2022/2559) se concentre sur les prestataires de services TIC dits « critiques ». Il précise les informations que ces prestataires doivent fournir aux autorités de contrôle, tant sur le fond (type de données requises) que sur la forme (structure et délais de communication). Il précise également les mesures que les autorités compétentes peuvent prendre en cas de non-conformité ou de défaillance dans le respect des exigences DORA.

Conclusions et convictions

L’implémentation de la règlementation DORA représente un enjeu stratégique majeur pour les organisations, nécessitant une approche structurée et une expertise approfondie. À travers l’analyse des exigences, le pilotage de la gouvernance et la mise en œuvre des remédiations nécessaires, les entreprises peuvent répondre aux défis de conformité tout en renforçant leur résilience opérationnelle. Le cabinet HeadMind Partners, fort de 20 ans d’expérience dans l’accompagnement de la mise en conformité à diverses normes et régulations du paysage cyber (telles que la suite ISO 27001, LPM, NIS et NIS 2, RGPD, etc.), offre l’accompagnement nécessaire pour naviguer dans ces exigences complexes et garantir une transformation réussie.

Notre équipe de la BU Cyber, qui combine expertise technique et vision stratégique, offre un accompagnement de bout en bout : de l’analyse des enjeux et des chantiers de conformité à la mise en place des évolutions nécessaires pour garantir une gouvernance conforme.

L’approche de HeadMind Partners repose sur une connaissance approfondie des besoins spécifiques de chaque secteur, une capacité à piloter des projets complexes et un savoir-faire dans l’intégration des exigences réglementaires à des stratégies de sécurité numérique adaptées. Grâce à cette double expertise, nous apportons des solutions concrètes et efficaces qui permettent à nos clients de se conformer aux exigences DORA tout en optimisant leurs processus et en renforçant leur résilience opérationnelle.