Le 24 septembre 2020, le « digital financial package » a été adopté par la Commission européenne afin de rendre le secteur financier européen plus compétitif. Plusieurs projets de règlementation ont été proposés et en particulier le projet de règlement sur la résilience opérationnelle numérique des acteurs financiers (ou règlement DORA).
Le Règlement ayant pour objectif de renforcer la cybersécurité de l’ensemble du secteur financier, il a vocation à s’appliquer à l’ensemble des acteurs financiers et notamment aux :
établissement de crédit et de paiement
entreprises et gestionnaires de fonds d’investissements
plateformes de négociations, les sociétés de gestions
prestataires de services de communication de données
entreprises et intermédiaires d’assurance et de réassurance
institutions de retraite professionnelles
prestataires de services de financement participatif
les tiers prestataires de services informatiques
commissaire aux compte, cabinets d’audit, etc..
Le Règlement s’organise autour de quatre axes :
1er Axe : Gouvernance et gestion des risques
L’organe de direction sera responsable de la gestion des risques informatiques. Cette responsabilité se décline en une série d’exigences spécifiques telles que :
L’attribution de rôles et de responsabilités clairs pour toutes les fonctions liées à l’informatique
Un engagement continu dans le contrôle du suivi de la gestion des risques informatiques, dans les processus d’approbation et de contrôle
Une répartition appropriée des investissements et des formations dans le domaine informatique.
De fait, afin de mieux gérer les risques informatiques, les acteurs financiers devront mettre en place :
Une cartographie des risques
Des mécanismes de détection des activités anormales (seuils d’alerte, critères de déclanchement des processus de détection des incidents, mise en place d’un SOC)
Des politiques de sauvegarde, de méthodes de récupération et de politiques de continuité d’activité
Une stratégie de réponse aux incidents et de rétablissement afin de garantir la continuité des activités et définir des mesures et plan de communication en cas de crise
Des programmes de sensibilisation et de formation
Le cadre de gouvernance de résilience numérique devra être testé et audité, puis révisé au moins une fois par an.
2ème Axe : La notification des incidents
Les acteurs financiers auront l’obligation de notifier les incidents de sécurité auprès d’un guichet unique. Cette obligation nécessite de mettre en place au sein des organismes une procédure de notification des incidents.
Les utilisateurs et clients touchés par les incidents devront également être informés des mesures prises pour atténuer les effets négatifs de cet incident.
3eme Axe : les tests de résilience
Le Règlement prévoit des exigences en matière de tests de résilience opérationnelle numérique en fonction de la taille, de l’activité et du profil de risque des entités financières.
Renforcement de la sécurité des systèmes :
tests de résilience opérationnelle numérique (évaluation, tests) au moins une fois par an
tests d’intrusion avancés fondés sur la menace tous les trois ans
Le Règlement énonce également les exigences applicables aux testeurs et à la reconnaissance des résultats des tests d’intrusion fondés sur la menace dans l’ensemble de l’Union européenne pour les entités financières exerçant leur activité dans plusieurs États membres.
4eme axe : Les relations avec des tiers
Prérequis à la conclusion de contrats sur la fourniture et l’utilisation de services informatiques :
Identification et évaluation des risques
Vérification des qualités requises du tiers prestataires tout au long du processus de sélection et d’évaluation
Respect par le fournisseur d’exigences adéquates et actualisées en matière de sécurité de l’information
Ce contrôle des prestataires et sous-traitants devra être également être assuré régulièrement tout au long de la relation commerciale.
De fait, les acteurs financiers devront choisir leur prestataires et sous-traitants :
En prenant en compte la criticité ou l’importance du service, du processus ou de la fonction en question
En prenant en compte les risques potentiels sur la continuité et la qualité des services et activités financiers au niveau individuel et au niveau du groupe
Par ailleurs, le Règlement impose la rédaction d’un registre d’information en rapport avec tous les accords contractuels portant sur l’utilisation de services informatiques fournis par des tiers prestataires des services informatiques. Les entités financières devront communiquer au moins une fois par an aux entités compétentes des informations sur le nombre de nouveaux accords relatifs à l’utilisation de services informatiques, les catégories de tiers prestataires de services informatiques, le type d’accords contractuels et les services fournis.
Le Règlement est actuellement en relecture auprès des autorités compétentes françaises pour discussion sur des points opérationnels, notamment la parution et l’application des guides explicatifs. Le Règlement devrait être adopté courant 2022.