DORA

Table of Contents

Introduction

DORA est une réglementation européenne, s’appliquant aux entités financières.

Contrairement à une directive, qui nécessite une transposition dans le droit national de chaque pays membre, ce règlement s’applique immédiatement aux États membres (contrairement à NIS2).

Le texte a été voté par la Commission européenne et adopté en novembre 2022.

Le règlement a été approuvé en commission, puis signé en décembre 2022.

Entrée en vigueur au janvier 2023, avec une application effective à partir de janvier 2025.

Le règlement DORA s’étend sur environ 80 pages.

Complété par des normes techniques de régulation NTR (détails techniques supplémentaires et des spécifications pour faciliter une application uniforme) et des normes techniques d’implémentation NTI (spécifications techniques détaillées nécessaires à l’implémentation pratique).

Une première vague de ces standards a été diffusée en version draft en juin 2023, et leur version définitive est prévue pour le début de l’année 2024.

Une seconde vague de standards est actuellement en cours de publication, également en version draft, avec une publication finale attendue pour l’été 2024.

Le règlement contient 64 articles.

Le régulateur a détaillé ces articles, qui sont repris dans différents documents et annexes.

Ces documents complémentaires, basés sur l’article d’origine, entraînent une multiplication des exigences à respecter.

En additionnant le règlement et tous ces standards techniques, le corpus documentaire atteint environ 700 pages.

Cela illustre la richesse et la profondeur des exigences imposées…

Qui est concerné ?

La réglementation DORA concerne principalement trois types d’acteurs dans le secteur financier :

Les entités financières

Cela inclut les banques, les prestataires de services de paiement, et les assureurs.

Historiquement, les banques et les assurances avaient des réglementations distinctes, mais DORA tend à homogénéiser la réglementation entre ces deux secteurs.

Les prestataire de service TIC

Cette catégorie se divise en deux typologies :

  • Prestataires Critiques

    ils sont jugés suffisamment importants et systémiques pour le marché financier européen, nécessitant ainsi une surveillance spécifique de la part des autorités de surveillance européennes.

  • Autres Prestataires

    ceux qui ne sont pas jugés critiques, surveillés indirectement à travers leurs clients : les entités financières.

La surveillance des autorités financières sur les prestataires critiques est cumulative et non substitutive à celle des entités financières.

Les autorités de surveillance (AES)

En France, la mise en œuvre de DORA est supervisée par l’Autorité de Contrôle Prudentiel et de Résolution (ACPR).

L’ACPR est l’entité française qui sert d’antenne au système européen de surveillance financière dans le cadre de DORA.

Elle veille à la bonne application du règlement en France, notamment en effectuant des contrôles et en imposant des plans de remédiation aux entités financières.

Dans le cadre de la réglementation DORA, les entreprises du secteur financier ont la responsabilité de s’auto-évaluer pour déterminer si elles sont concernées par cette réglementation.

Après cette auto-évaluation, elles sont tenues de se déclarer.

La structure

Ce règlement se fonde sur cinq piliers principaux, qui correspondent aux grands chapitres du texte.

Pilier 1 – Gestion des risques

Ce domaine vaste implique notamment le renforcement du cadre de gestion des risques liés aux TIC, l’amélioration des services informatiques, et le renforcement des systèmes et outils associés.

Il s’agit également de revoir les politiques de continuité d’activité, les plans de reprise après incident, et de travailler sur la formation du personnel ainsi que la sensibilisation du management.

L’objectif est que toute la gouvernance de l’organisation soit pleinement consciente des risques et des stratégies de résilience.

Ce pilier inclut aussi un nombre important d’exigences de sécurité opérationnelle, introduites récemment dans un document spécifique.

RTS on ICT risk management framework and RTS on simplified ICT risk management framework - Draft

Guidelines on the estimation of aggregated annual costs and losses caused by major ICT-related incidents - Draft

Pilier 2 – Gestion des incidents liés aux TIC

Ce pilier met l’accent sur l’établissement de seuils spécifiques pour classer les incidents majeurs dans le domaine des TIC.

Il implique la mise en place d’un processus détaillé pour la remontée et la notification de ces incidents.

Les entités financières devront revoir et adapter leurs processus existants pour intégrer de nouveaux critères spécifiques. Ces critères permettront de classifier et de gérer plus efficacement les incidents majeurs. Tous les incidents majeurs devront faire l’objet d’une notification et d’un reporting aux autorités compétentes.

En outre, ce pilier intègre un ensemble important d’exigences de sécurité opérationnelle, introduites récemment dans un document spécifique.

En conséquence, il sera indispensable pour les entités financières de revoir et de modifier leurs seuils actuels, ainsi que de mettre en place des mécanismes efficaces pour la remontée d’informations concernant les incidents.

Ce travail implique donc une refonte significative de la gestion des incidents liés aux TIC, avec l’intégration de nouveaux critères et seuils.

Gestion, classification et notification des incidents liés au TIC RTS on criteria for the classification of ICT-related incidents - Draft

Gestion, classification et notification des incidents liés au TIC RTS to specify the reporting of major ICT-related Incidents & ITS to establish the reporting details for major ICT related incident - Draft

Pilier 3 - Tests de résilience opérationnelle numérique

Ce pilier se concentre sur deux grandes thématiques : le test de la stratégie de résilience opérationnelle et les tests de pénétration basés sur la menace. Ces aspects sont particulièrement impactant pour l’organisation, car ils vont bien au-delà des pratiques habituelles telles que les plans de reprise d’activité, les tests de reprise et les tests de pénétration standard.

Les tests de pénétration, en particulier, constituent un volet essentiel de ce pilier.

Ils requièrent une mise en place spécifique au sein des organisations financières. Un avantage notable est que les entités disposent d’un peu plus de temps pour se conformer à ces exigences, reconnaissant que leur mise en œuvre est un processus de longue haleine. Ce pilier vise à renforcer significativement la résilience numérique des entités financières face à diverses menaces, en mettant l’accent sur des tests plus approfondis et spécialisés par rapport aux pratiques standard.

RTS to specifying elements related to threat led penetration tests - Draft

Pilier 4 - Gestion des risques liés aux prestataires de services

Les entités financières doivent mettre en place des politiques et des processus pour évaluer et gérer les risques liés à tous les types de prestataires externes. Cela comprend la nécessité de contrats détaillés et spécifiques, qui définissent clairement les obligations, les normes de performance, les exigences en matière de sécurité des données, et les protocoles de réponse en cas d’incidents ou de crises.

Ces contrats doivent également prévoir des mécanismes de surveillance et de révision, permettant de s’assurer que les prestataires respectent continuellement les normes établies et s’adaptent aux évolutions réglementaires et technologiques. L’objectif est de garantir que tous les aspects des services externalisés, qu’ils soient informatiques, logistiques, de gestion ou autres, soient couverts par une gestion des risques efficace et conforme.

Enfin, le pilier 4 met en lumière la responsabilité des entités financières à maintenir un contrôle et une gouvernance forts sur les activités externalisées, afin de protéger l’intégrité et la stabilité de leurs opérations. Cette approche holistique est essentielle pour minimiser les risques et assurer une collaboration sécurisée et efficace avec les prestataires de services tiers.

Pilier 5 - Partage d’information sur les cybermenaces

L’objectif est de renforcer la capacité du secteur financier à anticiper, détecter et répondre de manière proactive aux cyberattaques et aux vulnérabilités.

Les entités financières sont encouragées à établir des mécanismes de rapport et de communication transparents, non seulement pour se conformer aux exigences réglementaires, mais aussi pour contribuer activement à la sécurité collective du secteur.

Le pilier souligne la nécessité de protéger la confidentialité et l’intégrité des données partagées, assurant que les informations sensibles sont manipulées avec le plus haut niveau de sécurité.

Eric
Eric
🛡️ Cybersecurity enthusiast driven by curiosity and the desire to share.