DORA, en résumé
L’Union Européenne a publié le règlement « Digital Operational Resilience Act », ou « DORA », le 27 décembre 2022, qui est entré en vigueur le 16 janvier 2023. Il fixe de nouvelles règles pour les entités financières et leurs prestataires de services TIC en termes de résilience des TIC.
La conformité au texte sera obligatoire à partir du 17 janvier 2025.
DORA vise à simplifier et à améliorer la résilience des organisations des services financiers en établissant un cadre réglementaire et un cadre de supervision robustes. Comme nous l’avons déjà expliqué en détails dans notre article « Décryptage de DORA : qu’est-ce que cela signifie pour la résilience des organisations financières ? », la réglementation introduit des exigences à travers cinq piliers :
- Gestion du risque lié aux TIC
- Gestion, classification et notification des incidents liés aux TIC
- Tests de résilience opérationnelle numérique
- Gestion des risques liés aux prestataires tiers de services TIC
- Dispositifs de partage d’informations (facultatif)
Principaux sujets et articles DORA s’appliquant aux entités financières(références des articles entre parenthèses)
En analysant le contenu du règlement et en tenant compte de la maturité actuelle du secteur financier, la complexité diffère largement en fonction du sujet abordé. Dans la mesure où l’adoption de framework de gestion des risques TIC constitue déjà une bonne pratique largement répandue dans le secteur financier, l’effort portera principalement sur une mise en cohérence de l’existant au sein de l’organisation. De même, les processus et outils de gestion des incidents liés aux TIC ont déjà eu à intégrer des contraintes réglementaires de classification et de notification. Par conséquent, l’intégration des exigences de DORA ne devrait pas présenter de difficultés majeures.
Néanmoins, le respect des exigences de mise en conformité aura toujours ses défis… et ses opportunités !
Un règlement ambitieux qui pointe des fragilités connues
Pour de nombreuses organisations, le premier défi consistera à embarquer le top management dans l’initiative. Comme DORA les désigne comme responsables du suivi, de l’approbation, de la révision et de fixer le cap en termes de résilience opérationnelle, leur implication est essentielle à la réussite d’un éventuel programme. Les embarquer dès les prémices permettra de gagner un temps précieux dans l’identification et la validation des fonctions critiques, de prioriser les principaux scénarios de menace et de donner le rythme sur le sujet. En contrepartie, cela demandera aux équipes en charge de réfléchir soigneusement aux indicateurs de performance (KPI) et aux indicateurs de risque (KRI) appropriés et compréhensibles qui permettront de rendre compte du niveau de résilience opérationnelle de l’organisation. Autant que possible, donnez-leur rapidement un aperçu du contenu de la réglementation et de leur rôle dans ce cadre !
Le deuxième défi sera de passer un cap en termes de gestion des risques liés aux tiers. Les grandes organisations ont souvent des centaines, voire des milliers de parties prenantes, ce qui implique un tri fastidieux pour se concentrer sur les plus critiques. La gestion du risque de résilience opérationnelle des tiers repose aujourd’hui principalement sur l’intégration d’étapes dans les processus d’achat et, finalement, sur l’inclusion de clauses spécifiques dans les contrats. DORA demande beaucoup plus sur le sujet, la responsabilité incombant aux services financiers de s’assurer de la conformité des tiers à ces exigences. Elle exige également de travailler sur des stratégies de sortie potentielles et des tests conjoints. Cette ambition pourrait impacter la manière même de travailler avec ses fournisseurs à l’avenir et devrait être anticipée par les tiers concernés qui vont devoir être en mesure de fournir des preuves de leur bonne gestion du risque de résilience opérationnelle.
Enfin, les tests sont un point crucial et un challenge au sein de DORA. Les organisations devront structurer et tester régulièrement leur résilience pour évaluer en permanence leurs risques et la pertinence de leur stratégie de résilience. Cela nécessite d’acquérir une vision stratégique du sujet qui préexiste rarement dans la mesure où les tests sont souvent gérés en silos (tests de vulnérabilité, tests de pénétration, tests de continuité d’activité…). L’approche adoptée devra également garantir la bonne couverture des fonctions critiques de l’organisation au fil des ans. Les organisations devront par ailleurs mener des tests de pénétration fondés sur la menace et effectués sur des systèmes en environnement de production en direct au moins tous les trois ans, en incluant éventuellement des prestataires de services TIC.
Relever ces défis ne sera pas de tout repos. C’est pourquoi il est essentiel d’enclencher les travaux dès maintenant, car ils exigeront de véritables changements pour les organisations concernées. De toute évidence, une analyse d’écarts aux exigences réglementaires détaillée est un bon point de départ.
La résilience d’abord, la conformité ensuite ?
Il est clair qu’une réglementation telle que la DORA offre des opportunités à ceux qui tenteront de voir au-delà des contraintes de conformité.
En premier lieu, le règlement introduit une approche holistique de la gestion des risques liés aux TIC qui pourrait apporter plus de cohérence au sein des organisations. Cela pourrait constituer une première étape dans la mise en place d’un cadre unifié de gestion des risques liés aux TIC, permettant une meilleure évaluation des risques et simplifiant le reporting à la direction générale. Cela pourrait également lancer l’idée d’une gouvernance convergée sur la gestion des risques liés aux TIC regroupant la cybersécurité, la continuité des activités et la continuité des services informatiques.
Ensuite et surtout, c’est une occasion unique de travailler sur votre niveau réel de résilience en vous posant des questions complexes. Si vous deviez faire face à une situation demain où vous êtes dépourvu de votre SI, votre organisation survivrait-elle ? Vos capacités existantes couvriraient-elles pleinement les besoins qu’une telle situation demande ? Et êtes-vous sûr que votre solution de résilience fonctionnera le jour J ?