Un cadre exigeant pour un secteur stratégique
DORA entend répondre à la menace qui pèse sur un secteur financier en pleine transformation numérique. Deuxième secteur le plus ciblé par les cyberattaques, les organisations financières seraient 77 % à avoir détecté une attaque sur leur infrastructure en 2023, contre 68 % pour les autres secteurs.[1] DORA s’inscrit également dans le cadre de la stratégie de la Commission européenne en matière de finance numérique, qui vise à favoriser l’innovation et l’adoption de nouvelles technologies tout en assurant la stabilité financière et la protection des investisseurs et des consommateurs européens. Le texte rassemble et harmonise les diverses règlementations qui encadraient jusque-là la cybersécurité du secteur financier dans l’Union. La portée de DORA s’étend au-delà des 21 types d’entités du secteur financier directement concernés, et intègre désormais leurs prestataires et sous-traitants de services informatiques, soit près de 15 000 acteurs de leur chaîne de valeur.
Une approche de gouvernance fondée sur les risques
DORA promeut une approche de gouvernance fondée sur les risques large et ambitieuse. 5 piliers sont identifiés comme essentiels pour renforcer la résilience opérationnelle du secteur financier. Le premier, le plus exigeant et le plus structurant pour les entités concernées, prévoit une gouvernance renforcée et l’établissement d’un cadre complet de gestion des risques liés aux TIC. L’article 6 appelle ainsi les organisations à établir un cadre de gestion de risques « solide, complet et bien documenté, qui leur permet de parer aux risques informatiques de manière rapide, efficiente et exhaustive. » Le cadre devra inclure les stratégies, politiques, procédures et protocoles nécessaires pour protéger les infrastructures physiques et le matériel informatique, mais aussi les actifs informationnels (données). Une cartographie complète des actifs, des risques et mesures de sécurité associées sera essentielle pour maîtriser son niveau d’exposition au risque cyber. Une « stratégie de résilience numérique » en définira les modalités de mise en œuvre.
L’article 5 du règlement affirme la responsabilité de la résilience opérationnelle et donc la responsabilité finale de la gestion de ces risques à la Direction générale, qui « définit, approuve, supervise et est responsable de la mise en œuvre » de ce cadre. La direction devra ainsi déterminer son niveau de tolérance au risque, donc arbitrer sur la base d’une vision agrégée des risques entre ceux sur lesquels elle souhaite intervenir pour les réduire, ceux qu’elle choisit d’accepter, et ceux qu’elle décide de transférer.
Le régime de sanctions associé se veut lui dissuasif : sanctions administratives, mesures correctives, voire la possibilité pour les Etats membres d’instituer des sanctions pénales. Une façon de souligner que la cybersécurité ne peut pas être la préoccupation des RSSI, DSI, ou des services de conformité à eux-seuls, mais qu’elle est l’affaire de tous et qu’elle doit être adressée au plus haut niveau des organisations. Les décisions d’imposer une sanction administrative peuvent faire l’objet d’une publication sur le site internet officiel des autorités compétentes. La conformité aux exigences cyber représente plus que jamais un véritable enjeu réputationnel.
DORA implique toute la chaîne d’approvisionnement des entités financières et rappelle la responsabilité des entités financières dans le respect et l’exécution de toutes les obligations qui en découlent vis-à-vis de leurs fournisseurs. Leur appartient désormais de définir une stratégie et une politique en matière de risques de tiers, de tenir un registre de tous leurs accords contractuels, et d’identifier les tiers qui couvrent des fonctions critiques avant même de conclure un contrat. Les entreprises concernées devront donc évaluer la posture cyber de leurs sous-traitants ou fournisseurs pour pouvoir faire les bons choix de prestataires, réduire ainsi leurs risques cyber et assurer un niveau de sécurité maximal. Une diligence essentielle pour assurer la résilience du secteur à travers toute la chaîne de valeur.
Des exigences renforcées
Le texte exige des entités financières qu’elles établissent et mettent en œuvre un processus de gestion des incidents permettant de les détecter, les gérer et les notifier, mais aussi de les classer sur la base de certains critères prédéfinis. Il prévoit également une obligation de déclaration des incidents majeurs à la Direction et aux autorités compétentes, et la notification volontaire des cybermenaces « importantes », dans des formats et contenus harmonisés au niveau européen. Ces mesures devraient permettre une meilleure réactivité des autorités de surveillance en cas de menaces ou d’attaques, mais aussi aider les organisations concernées à mieux comprendre l’évolution du paysage des menaces. DORA impose également aux entités financières d’établir, maintenir et réexaminer un programme solide et complet de tests de résilience opérationnelle numérique pour évaluer « l’état de préparation en cas d’incidents liés à l’informatique, de recenser les faiblesses, les défaillances ou les lacunes en matière de résilience opérationnelle numérique. » Le dernier pilier, non obligatoire, habilite enfin les entités financières à instaurer des mécanismes de partage d’informations et de renseignement sur les menaces cyber.
Au-delà de la mise en conformité, la voie de la résilience
Les entreprises doivent activement préparer leur mise en conformité. Des 5 piliers, la gestion des risques liés aux prestataires de services TIC est de loin la plus délicate, tant cette démarche est complexe et devra impliquer la quasi-totalité des métiers de façon transverse ainsi que des parties prenantes externes.
Pour entamer leur préparation à DORA, les entreprises doivent notamment :
• Déterminer les fournisseurs et tierces parties concernées, et les exigences auxquelles elles seront assujetties, qui pourront différer légèrement en fonction de leur nature et statut ;
• Commencer à recueillir des données qui permettront de constituer les registres d’informations des fournisseurs de prestations TIC ;
• Travailler sur les scénarios des tests de pénétration ;
• Développer une approche collégiale et faciliter la coopération entre tous les acteurs concernés au sein de l’organisation : RSSI, responsable des risques, DSI, fonctions achats…
Dès lors, les entreprises doivent s’engager dès aujourd’hui dans une démarche d’anticipation basée sur l’analyse et le pilotage des risques cyber, combinée à un processus basé sur la conformité. Pour y parvenir, réaliser une cartographie des actifs et risques associés, au travers d’outils automatisés permettront des arbitrages sur la posture de l’entreprise face à ses risques mais aussi à l’intégration de son environnement (sous-traitants et fournisseurs), pour in fine prendre des décisions globales au service de la performance de l’entité. De ces contraintes règlementaires, naîtront des opportunités en adoptant une approche basée sur les risques et la conformité, avec la finalité comprise de tous : assurer la sécurisation et la résilience globale d’un secteur vital face à la croissance des menaces cyber.