putilov_denis - stock.adobe.com
DORAÂ : Quel rĂ´le pour la DSIÂ ?
Avec DORA, la DSI devient un pilier de la conformité dans le secteur financier. Quatre missions clés – gouvernance des risques IT, cartographie des infrastructures, organisation des tests de résilience et gestion des prestataires informatiques – lui promettent de jouer un rôle déterminant.
Le règlement européen sur la résilience opérationnelle numérique du secteur financier (dit règlement DORA) est entré en application le 17 janvier 2025. Il vise à renforcer la résilience du secteur financier face aux risques liés aux technologies de l’information et de la communication (TIC) en imposant un cadre réglementaire strict.
Selon un rapport du FMI d’avril 2024, le secteur financier est le plus exposé aux cyberattaques, représentant près d’un cinquième des incidents cybers mondiaux.
La mise en conformité avec le règlement est d’une ampleur inédite pour les entités concernées. Une étude du cabinet McKinsey de juin 2024 révélait que seul un tiers des grandes institutions financières européennes estimaient pouvoir être conformes d’ici janvier 2025.
Certains textes techniques d’application sont encore en cours de finalisation. Leur adoption par la Commission européenne apportera des précisions sur certaines obligations clés, notamment les tests de pénétration. Et on peut espérer des autorités nationales de supervision qu’elles adoptent, dans un premier temps, une démarche d’accompagnement des acteurs.
Mais si l’urgence peut être vue comme relative, il n’en reste pas moins que les entités concernées doivent désormais accélérer leur programme de mise en conformité sur le périmètre connu du règlement.
Gouvernance des risques TIC
La mise en conformité au règlement repose sur la mise en place d’une véritable politique de gouvernance des risques TIC, fondée sur la mobilisation de toutes les fonctions requises de l’entreprise sous l’impulsion et la supervision des organes de direction de celle-ci.
Sur ce dernier point, il convient d’insister sur les dispositions de l’article 5.2 du règlement aux termes duquel l’organe de direction de l’entité financière « assume la responsabilité ultime de la gestion du risque lié aux TIC ». Les obligations strictes de définition, d’approbation et de contrôle du respect des exigences réglementaires sont également à la charge de l’entité.
La DSI sera partie prenante au programme de mise en conformité afin d’aligner les exigences techniques avec les impératifs réglementaires. Elle devra travailler en collaboration étroite avec les autres fonctions de l’entreprise, dont la conformité, les risques et le juridique.
La DSI devra apporter l’éclairage technique requis dans le respect des indicateurs de suivi et de reporting qui auront été arrêtés, ce qui lui donne une place importante dans les organes de pilotage de la mise en conformité.
Plus généralement, la DSI conservera dans le dispositif un rôle essentiel en intégrant les exigences du règlement dans la stratégie informatique et la gouvernance IT de l’entreprise.
Cartographie et cadre de gestion des risques TIC
La mise en conformité au règlement nécessite une cartographie des infrastructures IT et des risques associés. Contrairement à d’autres réglementations comme le RGPD, cette démarche est une exigence prévue explicitement par le texte.
Le règlement impose d’établir un « cadre de gestion des risques liés aux TIC », structurant l’ensemble des stratégies, des procédures, des protocoles et des outils nécessaires à la protection des systèmes d’information, tant sur le plan informationnel que physique.
Ce cadre devra faire l’objet d’audits annuels.
Il incombera ici à la DSI de contribuer à l’élaboration de ce cadre de gestion. L’exercice de cartographie ne se limite pas à l’infrastructure informatique prise dans l’ensemble de ses composants systèmes et applicatifs, mais il doit également porter sur les incidents TIC en fonction de leur impact sur les activités de l’entreprise. Le but est de permettre une meilleure gestion des menaces et par là même le respect des obligations de prévention et de notification des incidents.
Cette cartographie est essentielle à l’analyse des écarts entre la situation existante et les exigences du règlement, afin de mesurer les ajustements nécessaires.
La contribution de la DSI n’est pas exclusive de celle des autres fonctions de l’entreprise. NLes fonctions métiers pourront apporter un soutien dans le recensement des outils par une mise en regard avec les processus qui leur sont propres.
Les risques, la conformité et le juridique seront également étroitement associés à la démarche, notamment au titre de l’évaluation des menaces et des vulnérabilités ainsi que l’établissement et la validation des procédures au regard des exigences réglementaires.
Programme de tests de résilience opérationnelle
Le règlement DORA impose la mise en place d’un programme de tests de résilience opérationnelle afin de garantir la robustesse et la capacité de réponse des systèmes IT face aux cybermenaces.
En ce sens, l’article 25 du règlement prévoit une large gamme de tests, qui inclue les analyses de vulnérabilité, l’évaluation des réseaux, les audits de sécurité physique, les tests de compatibilité et de performance, ainsi que les tests de pénétration.
Les entités critiques devront, en outre, réaliser des tests de pénétration avancés, basés sur des scénarios de menaces réelles, a minima tous les trois ans.
La DSI aura là encore un rôle central dans l’organisation des tests. Par ailleurs, elle devra orchestrer des simulations de cyberattaques afin de tester la réaction des équipes face à des scénarios d’incidents réalistes. Ces exercices permettront d’évaluer et d’améliorer la réactivité et l’efficacité des protocoles de gestion de crises.
La DSI est également responsable de la validation des plans de reprise et de continuité d’activité, visant à assurer la continuité des opérations en cas de panne ou de cyberattaque. Des procédures renforcées seront à envisager afin de limiter les accès non autorisés aux systèmes, renforçant ainsi la sécurité globale de l’infrastructure.
La mobilisation d’autres fonctions n’est pas à minimiser. Tant les risques que la compliance devront être impliqués notamment dans la définition des scénarios de tests ainsi que des plans de réponses.
Insistons également sur l’importance d’engager tous les effectifs de l’entreprise dans la démarche, au travers de plans de formation, afin de garantir une bonne compréhension des protocoles de réponse aux incidents et une mobilisation rapide en cas de crise.
Gestion des risques liés aux prestataires TIC
Le règlement impose une surveillance rigoureuse des prestataires TIC. À ce titre, le périmètre ne concerne pas uniquement des fonctions ou des systèmes externalisés, mais l’ensemble des services numériques et de gestion de données fourni à l’entreprise.
La DSI doit recenser et classer l’ensemble des prestataires concernés selon leur niveau de criticité afin d’identifier ceux qui présentent le plus grand risque pour la continuité des opérations.
Une fois cette cartographie réalisée, une évaluation technique est à mener pour assurer que les prestataires IT respectent les exigences en matière de cybersécurité et qu’ils ont mis en œuvre les mesures nécessaires pour répondre efficacement à d’éventuelles cybermenaces.
Par ailleurs, des mécanismes de suivi et d’audit sont à prévoir afin de garantir leur conformité dans le temps.
Une attention particulière sera également portée aux accords contractuels avec ces prestataires. Des stipulations précises sont à prévoir en matière de continuité et de reprise après incident, afin d’assurer la résilience opérationnelle en cas de panne ou d’incident majeur affectant leurs services, et ce, sur toute la chaîne de sous-traitance.
Pour les prestataires les plus critiques, les accords devront également prévoir des droits d’audit renforcés, des mesures de continuité et de gestion de crise, l’obligation de participer aux tests de pénétration, ainsi que des stratégies de sortie adaptées. À ce titre, un plan de substitution pour les prestataires critiques est essentiel afin d’anticiper toute défaillance majeure et d’assurer la continuité des opérations. Ce plan devra être régulièrement mis à jour.
La DSI contribuera dans l’identification des mesures techniques adaptées à l’exécution de ces accords contractuels. À titre d’exemple, la DSI pourra utilement apprécier si l’entiercement du code source d’une solution logicielle critique constitue une stratégie de sortie viable en cas de défaillance du prestataire, ou si d’autres alternatives doivent être envisagées.
Si la DSI dispose d’une bonne visibilité sur les prestataires auxquels l’entreprise a recours, elle n’est pas nécessairement en mesure de déterminer seule, ceux dont les services ont trait à une fonction critique ou importante, le prisme retenu par le texte n’étant pas tant technique que fonctionnel.
Dans la poursuite de ces objectifs, une collaboration étroite est nécessaire non seulement avec les fonctions conformité et juridique dans la cartographie des prestataires et la négociation des contrats ou des avenants à formaliser, mais également avec la fonction achats afin que les impératifs posés par le texte soient traités dès les procédures d’appels d’offres.
La mise en conformité avec le règlement DORA représente un défi d’envergure pour le secteur financier. En adoptant une approche structurée et collaborative, les entités concernées seront en mesure non seulement de répondre aux exigences réglementaires, mais surtout d’assurer la robustesse de leurs infrastructures numériques.
Et par là même, d’améliorer significativement leur résilience face aux risques technologiques en renforçant leur capacité à les prévenir et y répondre efficacement.
Par Marc Schuler, associé, et Benjamin Znaty, counsel au cabinet d’avocats international Taylor Wessing.
