Les prestataires financiers (banques, assurances, gestionnaires de placement…) ont jusqu’au 17 janvier 2025 pour respecter l’ensemble des 64 articles du règlement DORA (the Digital Operational Resilience Act). Comme nous vous l’expliquions dans cet article, un système de contrôle renforcé sera mis en place et une non-conformité pourrait entraîner un arrêt total de l’activité. Mais alors, comment faire pour se préparer à l’entrée en vigueur de ce nouveau règlement sur la cyber-résilience économique ? Akerva vous explique.
Une étude approfondie du SI est nécessaire afin d’apprécier le niveau de maturité en cybersécurité de l’entité. La première étape pour pouvoir se préparer à l’application de la Loi DORA sera donc d’évaluer l’ensemble de son système d’information afin d’identifier tous les éventuels écarts de conformité.
Par la suite, cela permettra de définir une feuille de route avec toutes les mesures de sécurité nécessaires à la mise en conformité de l’organisme au nouveau règlement européen. Cette roadmap définira également les actions à mener en priorité, les moyens humains et financiers à allouer, ainsi que les livrables à produire.
Dès que les principaux chantiers seront déterminés, la stratégie globale de l’entreprise en termes de résilience opérationnelle numérique sera définie.
Il est impératif de réaliser une analyse de risques en identifiant clairement les principaux actifs critiques de l’entreprise, les processus qu’ils soutiennent et les données hébergées. A partir de cette analyse, il faudra mettre en place un cadre de gestion des risques qui pèsent sur l’entité et surtout des plans de sécurisation et d’amélioration continue de la sécurité, avec une stratégie de communication et une attribution claire des rôles et des responsabilités.
La Loi DORA opère par ailleurs un transfert des responsabilités de la DSI à la Direction de l’entreprise. L’organe de gestion, ainsi que l’ensemble du personnel, devra suivre une formation obligatoire sur la résilience opérationnelle numérique.
La Loi DORA comprend plusieurs exigences en termes de classification et de signalement des incidents liés aux TIC dans le secteur financier. Il faudra être capable d’évaluer le seuil de gravité d’un incident en fonction notamment du nombre d’utilisateurs touchés par la cyberattaque, la répartition géographique, la perte de donnée, l’impact économique, la durée, la criticité des services touchés et la gravité sur les systèmes TIC.
Les incidents classés majeurs selon la méthodologie de DORA devront être signalés en moins de 48h et des rapports de suivi devront être fournis. L’intérêt de cette mesure est de récolter tous les rapports d’incidents, les anonymiser et les mettre à disposition de la communauté pour limiter les impacts de la cyberattaque et promouvoir l’amélioration collective.
La Loi DORA prévoit que les entités financières puissent tester l’efficacité du cadre de gestion des risques liés aux TIC et des mesures en place pour répondre à divers scénarios de risques, tout en étant capable de s’en remettre avec un minimum d’impact.
Les prestataires financiers auront à réaliser un test interne annuel obligatoire, et à fournir le rapport et les résultats aux AES selon un format spécifique fourni par l’organisme de réglementation. Un second test avancé sera à effectuer trois fois par an et s’appliquera aux entreprises répondant à certains critères qui seront définis par les régulateurs dans les prochains mois. Ce dernier test avancé, à réaliser par une entité externe, permettra aux AES de délivrer un certificat attestant de la bonne conformité de l’organisme à DORA.
Ce nouveau règlement européen introduit des exigences non seulement envers les prestataires financiers, mais aussi envers leurs fournisseurs essentiels.
Les prestataires financiers : vont devoir mettre en place une stratégie de gestion des risques liés aux tiers, ainsi que des dispositifs appropriés de contrôle et de surveillance de leurs prestataires TIC, surtout ceux qui soutiennent des fonctions critiques. Un registre standard d’informations permettant d’avoir une vision claire de tous leurs fournisseurs TIC, les services fournis et les fonctions qu’ils sous-tendent, devra être tenu et mis à jour ; et les organismes devront faire un rapport sur les modifications apportées à ce registre une fois par an aux régulateurs. Les entités financières devront aussi prévoir une stratégie de sortie en cas de risque ou de non-conformité de l’un des fournisseurs.
Les fournisseurs essentiels feront quant à eux l’objet d’évaluations annuelles au regard des exigences de résilience (disponibilité, intégrité, continuité, gouvernance, sécurité physique, gestion des risques…). Ceux sont les régulateurs qui effectueront ces tests et attribueront des sanctions en cas de non-conformité.
Les entités financières ont désormais deux ans pour évaluer leur conformité au règlement DORA. L’objectif à court terme : identifier les principaux chantiers en termes de cyber-résilience.