conejota - Fotolia

Conseil

Qu’est-ce que DORA ?

Le nouveau règlement sur la protection du secteur financier face aux risques IT est appliqué depuis janvier. Quels acteurs sont concernés ? Que leur impose le règlement ? Récapitulatif de tout ce qu’il y a savoir sur DORA.

par
  • Philippe Glaser, associé, Taylor Wessing
Publié le: 17 févr. 2025

Le règlement européen sur la résilience opérationnelle numérique du secteur financier (dit règlement DORA) du 14 décembre 2022 est entré en application le 17 janvier 2025. Il fait partie d’une série de mesures relatives à la finance numérique en Europe.

Ce règlement s’inscrit dans le cadre d’une complexification et d’une intensification des technologies de l’information et de la communication (TIC) dont l’utilisation est devenue quotidienne et qui expose les acteurs du système financier – seuls concernés par ce texte – à diverses menaces ainsi qu’à des dysfonctionnements parfois majeurs.

Les services financiers ont depuis de nombreuses années connu une numérisation importante de leurs activités touchant aussi bien aux paiements, aux opérations de prêt et de financement, et, en matière d’assurance, aux opérations quotidiennes réalisées par les assureurs et leurs intermédiaires.

Comme dans d’autres secteurs, le risque lié aux TIC est majeur. Et s’il avait donné lieu à diverses réglementations dans le domaine financier, il n’avait jusqu’alors pas donné lieu à une harmonisation au plan européen.

Le règlement DORA est venu combler ce vide.

Les acteurs concernés

Selon ce texte, le « risque lié aux TIC » est principalement défini comme toute circonstance liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre leur sécurité.

L’« incident lié aux TIC » est pour sa part défini comme un événement que l’entité financière n’a pas prévu et qui, outre la mise en cause de la sécurité des systèmes et réseaux, a une incidence négative sur les données ou sur les services fournis pas l’entité financière.

En bref, sont ici visés les accidents (dysfonctionnements de matériels ou de solutions logicielles, interruptions inopinées des flux du SI de manière accidentelle et bien évidemment les cyberattaques et intrusions dans un SI).

Les acteurs concernés par cette réglementation sont ceux du système financier (établissements de paiement, de crédit, sociétés de gestion, entreprises d’investissement, ou encore les prestataires de services sur cryptoactifs), mais aussi les entreprises d’assurance, les intermédiaires de ce secteur, les institutions de retraite notamment.

Un régime simplifié de gestion du risque est cependant prévu par l’article 16 du règlement pour certaines entités plus modestes en taille.

Les 5 axes de DORA

Ce nouveau cadre réglementaire harmonisé se concentre principalement sur cinq axes majeurs :

  1. la gestion des risques informatiques pouvant compromettre la sécurité des réseaux et des systèmes d’information,
  2. la notification des incidents majeurs aux autorités compétentes,
  3. la réalisation de tests de résilience opérationnelle numérique,
  4. la gestion des risques des prestataires tiers de services TIC,
  5. le partage d’informations opérationnelles concernant les menaces susceptibles d’affecter le secteur financier.

1 – La gestion des risques

Les entités concernées par le règlement DORA sont en premier lieu invitées à mettre en place un cadre de gouvernance et de contrôle interne qui garantisse une gestion efficace et prudente du risque lié aux TIC.

L’organe de direction, responsable de cette gestion, définit le cadre de la gestion de ce risque, les rôles et responsabilités des intervenants. Il approuve et supervise la stratégie de résilience opérationnelle numérique, les plans internes d’audit, et le budget nécessaire.

En outre, le règlement instaure un suivi des accords conclus avec les prestataires tiers de TIC.

En bref, ces nouvelles obligations à la charge de l’organe de direction viennent accroître ses obligations et donc ses responsabilités dans ce domaine.

Autant dire qu’un système interne de partage de ces responsabilités devra être mis en place de manière détaillée au sein de l’entreprise pour répondre à ces exigences.

Cette politique de gestion du risque a avant tout un objet préventif, celui de parer aux risques ou aux incidents de manière rapide, efficiente et exhaustive. L’intérêt est de protéger l’entreprise, mais aussi ses clients, leurs données et l’ensemble de leurs transactions qui doivent pouvoir intervenir dans un cadre sécurisé.

À cette fin, l’entité financière doit procéder à une cartographie des risques par métier pour permettre à tout moment leur identification ainsi que les éventuelles vulnérabilités des systèmes et process de l’entreprise.

En outre, il est exigé des entreprises concernées qu’elles identifient toutes les interconnexions avec des prestataires tiers pour, là encore, identifier d’éventuels risques pouvant mettre à mal leur activité.

Un contrôle permanent de la sécurité du SI et des outils doit aussi être mis en place, pour réduire tout risque lié aux TIC et pouvant affecter la sécurité des moyens de transfert de données, la protection de celles-ci et les risques de corruption de ces données.

Enfin, l’article 11 édicte des contraintes particulières en matière de continuité de l’activité, mais aussi de reprise. On peut penser que ces obligations, notamment en matière de tests des PCA et PRA, étaient déjà en place, tout comme les procédures de sauvegarde pour lesquelles le règlement édicte là encore des obligations strictes.

2 – La gestion des incidents

Les incidents et cybermenaces (définis par le règlement 2019/881, comme toute circonstance, toute action ou tout événement, potentiellement susceptibles de nuire ou de porter atteinte aux réseaux et au SI, aux utilisateurs de tels systèmes et à d’autres personnes, ou encore de provoquer des interruptions de ces réseaux et systèmes) doivent aussi donner lieu à une politique stricte d’identification.

Celle-ci doit déterminer l’incidence de ces incidents, leur nombre, leur durée et bien évidemment les services et opérations impactés.

Lorsqu’un incident est classé comme majeur au regard de la définition donnée par le règlement délégué 2024/1772 du 13 mars 2024, l’entité financière doit notifier celui-ci à l’autorité compétente (AMF ou ACPR) dans les 4 heures qui suivent la classification de l’incident comme majeur et pas plus tard que 24 heures après sa détection. Puis elle doit établir un rapport intermédiaire dans les 72 heures après la notification initiale avant le rapport final dans un délai d’un mois.

3 – Les tests de résilience

Le règlement prévoit des tests afin d’évaluer l’état de préparation d’éventuels incidents et leur traitement pour traquer les éventuelles lacunes des SI (évaluation des vulnérabilités, de la sécurité des réseaux, des codes sources notamment).

L’approche doit être fondée sur le risque. Et les tests avancés effectués par des parties indépendantes internes ou externes doivent être faits tous les 3 ans.

4 – La gestion des risques liés aux prestataires IT

Il s’agit ici d’un point d’attention particulièrement important pour les entités financières qui sollicitent les services de prestataires IT. L’entité doit régulièrement adapter sa stratégie en matière de risques, notamment s’agissant des accords contractuels passés avec ces tiers.

Un registre avec ces prestataires doit être tenu et une fois par an, l’entité financière doit déclarer aux autorités de tutelle les nouveaux accords relatifs à l’utilisation de services TIC.

Des stratégies de sortie doivent être établies lorsque des fonctions critiques ou importantes sont concernées pour éviter toute atteinte ou perturbation de leurs activités.

Mais surtout, le règlement a prévu que ces conventions doivent nécessairement comporter des clauses portant sur une description claire et exhaustive des services, les liens avec d’éventuels sous-traitants, la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, la description des niveaux de service, les droits de résiliation, etc.

L’article 30 à l’origine de ces obligations a amené les entités et prestataires à revisiter leurs conventions pour une mise à niveau indispensable.

5 – Le partage d’informations

Dans sa volonté de protection du marché, le règlement a également prévu entre les entités un partage d’informations sur les cybermenaces dès lors qu’elles permettent d’améliorer la résilience opérationnelle du marché.

Les autorités publiques peuvent participer à cet échange.

Les sanctions administratives et mesures correctives

Enfin, le règlement prévoit pour son application et sa parfaite exécution des pouvoirs de surveillance, d’enquête et de sanction.

En matière de sanction, il est notamment prévu, au profit des autorités compétentes, la possibilité d’émettre une injonction pour faire cesser un comportement ou une pratique non conforme au règlement, mais aussi la possibilité de prendre des sanctions financières en cas de non-respect du règlement.

Conclusion

Le règlement DORA constitue à l’évidence une avancée majeure dans la protection de l’écosystème financier et on peut penser qu’à l’instar d’autres réglementations ayant pour objet d’harmoniser les pratiques sur le plan européen, celle-ci devrait renforcer la solidité des transactions et protéger les institutions, mais aussi leurs clients.

Philippe Glaser est associé au cabinet d’avocats international Taylor Wessing.

Pour approfondir sur Réglementations et Souveraineté