Apprentissage

Explication de la loi sur la résilience opérationnelle numérique (DORA, Digital Operational Resilience Act)

La loi sur la résilience opérationnelle numérique (DORA) est entrée en vigueur, il est donc temps pour les organisations de prendre des mesures pour se mettre en conformité. Dans ce guide, nous présentons les principes de base de la loi DORA : sa portée, son importance et ses exigences.

Voir la présentation de la solution

Qu’est-ce que la DORA ?

La DORA est un règlement de l’Union européenne (UE) qui porte sur la manière dont les institutions financières et leurs partenaires dans le domaine des technologies de l’information et de la communication (TIC) gèrent les cybermenaces. Elle crée un cadre de surveillance contraignant et établit des normes techniques que les entités financières de l’UE et leurs fournisseurs de services doivent mettre en œuvre dans leurs systèmes TIC.

La Commission européenne a proposé la DORA en septembre 2020 et le Parlement européen l’a adoptée deux ans plus tard. Enfin, le 17 janvier 2024, l’Autorité bancaire européenne (ABE), l’Autorité européenne des marchés financiers (AEMF) et l’Autorité européenne des assurances et des pensions professionnelles (AEAPP) ont publié les normes techniques finales. La loi DORA est officiellement entrée en vigueur le même jour.

Les entités financières et les fournisseurs de services TIC de l’UE ont désormais jusqu’au 17 janvier 2025 pour se conformer aux exigences de la DORA. Chaque État membre de l'UE est chargé de veiller au respect de la législation. Les régulateurs désignés, appelés « autorités compétentes », peuvent demander aux entités de prendre des mesures de sécurité spécifiques et de remédier aux vulnérabilités connues. 

De même, les sanctions pour non-conformité sont sévères. Par exemple, les fournisseurs de services TIC jugés « critiques » par la Commission européenne seront évalués par des « superviseurs principaux ». Ces organisations peuvent sanctionner les fournisseurs qui ne respectent pas les règles par des amendes pouvant aller jusqu’à 1 % de leur chiffre d’affaires journalier moyen mondial de l’exercice précédent.

Quel est l'impact des exigences de la DORA sur votre organisation ?

La DORA concerne plus directement les organisations qui fournissent des services financiers dans l’Union européenne. Cela comprend les banques, les coopératives de crédit, les sociétés d’investissement, les compagnies d’assurance et d’autres types d’institutions financières. Cependant, son champ d’application est bien plus étendu.

Les fournisseurs de services TIC doivent aussi respecter les exigences de la DORA. En d’autres termes, toute entreprise technologique qui fournit des systèmes TIC au secteur financier de l’UE doit adhérer à ses réglementations. Les dispositions de la DORA incluent tout fournisseur de TIC basé en dehors de l’UE opérant dans sa juridiction.

Supposons que votre entreprise se trouve aux États-Unis et qu’elle fournisse des services cloud et d’analyse de données à des clients autrichiens. Dans ce cas, elle doit établir une filiale dans l’UE pour optimiser la gouvernance.

Au total, selon PricewaterhouseCoopers (PwC), la DORA s’applique à plus de 22 000 entreprises financières et opérateurs de services TIC. En tant que norme technique réglementaire, la DORA établit de nombreuses exigences opérationnelles. Nous les aborderons plus en détail par la suite, mais pour résumer :

  • Les entités couvertes doivent établir une stratégie globale de résilience opérationnelle numérique qui intègre des évaluations des risques de cybersécurité, des plans de continuité des activités et des protocoles de réponse aux incidents.
  • Elles sont tenues de signaler rapidement aux autorités nationales les incidents importants affectant leurs activités numériques, afin de garantir une réponse coordonnée dans l'ensemble de l'UE.
  • Les institutions financières doivent gérer et surveiller les risques associés à leurs fournisseurs de services TIC tiers. Il s'agit notamment de faire preuve de diligence raisonnable et de s'assurer que les fournisseurs respectent les exigences contractuelles.
  • Les organisations doivent tester régulièrement le cadre de résilience opérationnelle afin d'identifier les faiblesses et d'y remédier.
  • Les entités doivent disposer de structures de gouvernance avec des cadres supérieurs et des conseils d'administration chargés de superviser la résilience et d'assurer la conformité.
  • La DORA encourage les organisations à partager les informations sur les menaces et les meilleures pratiques, afin d'améliorer collectivement la gestion des risques opérationnels.

Pourquoi la DORA est-elle nécessaire ?

Les prestataires de services financiers sont menacés. La DORA vise à renforcer la cyber-résilience par deux moyens :

  1. Instaurer une gestion des risques liés aux TIC pour les institutions financières à grande échelle
  2. Harmoniser les réglementations en matière de gestion des risques dans un cadre cohérent

Auparavant, la réglementation de l’UE visait principalement à garantir que les entreprises financières disposent de suffisamment de capital pour couvrir les risques opérationnels et les perturbations. Certains régulateurs ont publié des directives sur la gestion des risques liés aux TIC, mais elles ne s’appliquaient pas de la même manière à toutes les entités. De plus, elles étaient basées sur les meilleures pratiques générales, et non sur des normes techniques.

En l’absence d’un cadre de surveillance unifié, chaque État membre de l’UE a émis ses propres exigences. Il n’était alors pas simple pour les entreprises transfrontalières de s’y retrouver dans ce labyrinthe de réglementations disparates.

La DORA résout ce problème en établissant un ensemble unique de règles pour toutes les entités couvertes, quel que soit l’endroit où elles opèrent dans l’UE. En harmonisant la gestion des risques dans le secteur financier, elle réduit la confusion et place la barre plus haut en matière de sécurité des TIC et de continuité des activités.

Qu’est-ce que la cyber-résilience ?

La DORA vise à renforcer la « cyber-résilience » des entités financières réglementées. Ce terme englobe la capacité d’une organisation à maintenir l’intégrité opérationnelle et la continuité des activités en cas de perturbations, telles que les violations de données et les cyberattaques. 

La continuité est particulièrement vitale dans le secteur financier, où les systèmes TIC jouent un rôle clé dans la manière dont les consommateurs accèdent à leurs fonds et les gèrent. Selon l’ESMA, les services financiers sont devenus très dépendants des technologies numériques pour mener à bien leurs opérations quotidiennes. Cette dépendance a, à son tour, augmenté de manière exponentielle le risque de cyberattaque.

En effet, un seul incident sur les TIC peut entraîner des dommages conséquents sur les infrastructures critiques. Lorsqu’ils ne sont pas gérés correctement, les risques peuvent perturber la fourniture de services financiers avec des répercussions sur d’autres entités, d’autres secteurs, voire sur l’économie européenne dans son ensemble.

Imaginons un scénario dans lequel la plateforme de trading tierce d’une banque d’investissement serait paralysée lors d’une attaque par déni de service. Non seulement cela perturberait l’expérience de l’utilisateur final, mais cela pourrait aussi coûter beaucoup d’argent aux clients sur le marché.

Cette situation s’est encore complexifiée avec les événements géopolitiques qui ont favorisé le piratage financé par des États et les attaques d’hacktivistes malveillants sur les services financiers. La guerre menée par la Russie en Ukraine, par exemple, a incité les cybercriminels pro-russes à attaquer l’infrastructure du réseau de la Banque européenne d’investissement en 2023. Heureusement, l’incident n’a que brièvement affecté la disponibilité de son site web.

Solutions de conformité pour DORA, la loi sur la résilience opérationnelle numérique de l’UE

Découvrez le règlement de l’UE sur les cybermenaces affectant les institutions financières et leurs partenaires dans le domaine des technologies de l’information et de la communication (TIC) et ce qu’Entrust peut vous apporter.

Voir la présentation de la solution

Les 5 piliers de la conformité DORA

Le cadre global de la DORA s’articule autour de cinq piliers. Chacun d’entre eux aborde un aspect différent de la cyber-résilience et de la gestion des risques, mais ensemble, ils constituent la base d’un secteur financier fort et sûr.

1. Gestion des risques et gouvernance en matière de TIC

Conformément à l’article 5, les organismes de gestion doivent mettre en œuvre un cadre de gestion des risques liés aux TIC « solide, complet et bien documenté » visant à atténuer les cyberrisques et à garantir la résilience opérationnelle à un niveau correspondant aux besoins, à la taille et à la complexité de leur entreprise. En cas de non-conformité, les dirigeants peuvent être tenus personnellement responsables.

D’une manière générale, les organisations sont tenues de mettre en place des systèmes assurant la continuité des activités en cas d’incident lié aux TIC. Les cadres de gestion des risques doivent comprendre des stratégies, des politiques, des procédures et des outils visant à protéger les composants physiques et l’infrastructure numérique contre les accès non autorisés ou les dommages.

En outre, les entreprises sont tenues de prendre les mesures suivantes :

  • Inventorier leurs systèmes TIC afin d’identifier les actifs et les fonctions critiques, ainsi que les dépendances entre les fournisseurs
  • Procéder à des évaluations régulières des risques liés à leurs systèmes TIC afin de documenter, de classer et de planifier les cybermenaces
  • Analyser les répercussions sur les activités afin de comprendre comment des perturbations graves pourraient affecter les opérations
  • Mettre en œuvre des mesures de cybersécurité appropriées, telles que des outils de gestion des identités et des accès (GIA), des systèmes de détection automatique des menaces, etc.
  • Mettre en place des plans de continuité des activités et de reprise après sinistre en cas de cyberattaques, de pannes de service et de catastrophes naturelles
  • Réaliser des analyses post-incidents pour tirer les leçons des événements passés et favoriser l’amélioration continue

2. Signalement des incidents

L’article 15 impose aux entités financières d’établir et de mettre en œuvre un processus de gestion des incidents liés aux TIC. Plus précisément, les entreprises doivent mettre en place des systèmes d’alerte précoce afin de détecter, d’atténuer et de signaler les incidents le plus rapidement possible. Elles doivent également mettre en place des processus de suivi des incidents pendant et après leur survenue, afin de permettre aux équipes d’identifier et d’éradiquer leurs causes profondes.

De plus, conformément aux articles 16 à 20, les organisations doivent :

  • classer les incidents liés aux TIC en fonction des critères applicables aux différents niveaux de répercussions ;
  • créer un modèle ou une procédure commune pour signaler les incidents à l’autorité de contrôle ;
  • informer sans délai les utilisateurs finaux et les clients d’un incident majeur ainsi que de toutes les mesures prises pour en atténuer les conséquences ;
  • signaler les événements avant la fin du jour ouvrable ou dans les quatre heures suivant le début du jour ouvrable suivant (si l’incident se produit dans les deux heures suivant la fin du jour ouvrable précédent).

La DORA exige notamment des entités qu’elles rédigent trois types de rapports :

  1. Un premier rapport pour informer les autorités
  2. Un rapport intermédiaire pour communiquer les progrès réalisés dans la résolution de l’incident
  3. Un rapport final analysant les causes profondes de l’incident et la manière dont elles ont été résolues

3. Test de résilience opérationnelle numérique

La DORA établit quelques exigences de base concernant les tests de résilience. La réalisation de tests permet aux organisations d’évaluer leur niveau de préparation aux incidents liés aux TIC, de détecter les vulnérabilités et de mettre en œuvre des mesures correctives.

Conformément à l’article 21, les entités doivent prendre les mesures suivantes :

  • Mettre en place un programme de tests adapté à leur taille, à leur activité et à leur profil de risque
  • Inclure une gamme d’évaluations, de tests, de méthodologies et d’outils
  • Suivre une approche fondée sur les risques en tenant compte de l’évolution des risques liés aux TIC
  • Veiller à ce que les tests soient effectués par des parties indépendantes
  • Hiérarchiser, classer et résoudre intégralement tous les problèmes et vulnérabilités découverts
  • Tester tous les systèmes et applications TIC critiques au moins une fois par an

En outre, l’article 23 stipule que les entités financières doivent également effectuer des tests de pénétration basés sur les menaces au moins tous les trois ans. Il s’agit d’évaluer les domaines les plus exposés, tels que les processus TIC sous-jacents indispensables aux fonctions et services critiques (y compris ceux qui sont externalisés auprès d’un prestataire de services).

4. Gestion des risques liés aux tiers

La DORA attend des entreprises financières qu’elles gèrent activement les risques liés aux tiers et qu’elles gardent à l’esprit la résilience opérationnelle lorsqu’elles négocient des accords contractuels. Plus précisément, la DORA établit les règles suivantes en matière de gestion des risques liés aux tiers :

  • Les entités financières doivent tenir un registre des informations relatives aux accords contractuels avec des prestataires de services TIC tiers.
  • Les entreprises doivent informer les autorités compétentes, au moins une fois par an, du nombre de nouveaux contrats qu’elles ont signés avec des fournisseurs de TIC.
  • Les entités doivent faire preuve de diligence lors de l’évaluation des contrats en identifiant tous les risques pertinents et les conflits d’intérêts potentiels. Elles doivent également négocier des stipulations concernant les stratégies de sortie, les audits et les objectifs de performance en matière d’accessibilité et de sécurité.
  • Les droits et obligations de l’entité financière et du prestataire de services TIC tiers doivent être attribués et consignés par écrit, dans un document accessible aux deux parties. 
  • Les fournisseurs de TIC critiques sont soumis à la surveillance directe d’une autorité de contrôle compétente.

Selon le règlement, les entités ne sont pas autorisées à conclure des contrats avec des entreprises de TIC qui ne respectent pas les normes techniques appropriées. Les autorités compétentes peuvent même suspendre ou résilier les accords qui ne sont pas conformes.

5. Partage d’informations

Bien qu’elle ne soit pas strictement appliquée, la loi DORA encourage également la collaboration entre les entités financières de confiance, l’objectif étant de :

  • Sensibiliser les entités aux risques liés aux TIC
  • Réduire au minimum la propagation des vecteurs de menace liés aux TIC
  • Partager des techniques défensives, des stratégies d’atténuation et des informations sur les menaces

DORA et NIS 2

La DORA est l’une des nombreuses directives de l’UE relatives à la cyber-résilience et à la sécurité numérique. Le règlement révisé sur les réseaux et les systèmes d’information (NIS 2) recoupe en grande partie les dispositions de conformité de la DORA, engendrant parfois une certaine confusion sur les directives à suivre.

En septembre 2023, la Commission européenne a clarifié la relation entre les deux textes législatifs. La DORA est très spécifique à un secteur et concerne principalement les organisations de services financiers. La NIS 2, en revanche, est un cadre réglementaire plus large qui couvre les infrastructures critiques telles que l’énergie et les transports.

Conformément à l’article 4, paragraphes 1 et 2, de la directive NIS, les dispositions de la DORA s’appliquent en lieu et place de celles de la NIS 2. Cela signifie que la DORA prévaut pour les entités financières, du moins en ce qui concerne la gestion des risques liés aux TIC, la notification des incidents et les tests de résilience.

Préparation à la mise en conformité avec la DORA

La DORA place la barre très haut en matière de gestion des risques, ce qui signifie qu’il ne sera pas facile de satisfaire à ses exigences. Mais voici les étapes claires à suivre pour y parvenir :

  1. Effectuer une analyse des lacunes : Une première analyse des lacunes consiste à évaluer le profil de l’entreprise dans son ensemble, de bout en bout, à définir son niveau de maturité en cybersécurité et à déterminer son cadre de gestion des risques existant. Cet exercice vous aidera à déterminer dans quelle mesure vos processus et procédures actuels doivent être modifiés.
  2. Imposer une formation sur les TIC : Il est recommandé de créer un programme de formation continue pour tous les employés, y compris les cadres. Les dirigeants sont responsables de la non-conformité à la DORA, il faut donc s’assurer que tout le monde reste informé et vigilant quant aux dernières menaces de sécurité liées aux TIC.
  3. Réaliser un audit des contrats avec les tiers : Un examen approfondi de vos accords contractuels peut vous aider à comprendre les dépendances avec les fournisseurs de TIC. En retour, vous pouvez identifier et prioriser les mesures de sécurité pour protéger ces connexions. Inventorier tous les contrats, y compris ceux avec les fournisseurs de services cloud et de logiciels, et les autres systèmes TIC. Il faut ensuite s’assurer que les dispositions de ces contrats sont conformes aux exigences de la loi DORA.

Renforcer la cyber-résilience avec Entrust

N’attendez pas que la conformité à la DORA se fasse toute seule. Que vous soyez une entité financière ou un fournisseur de TIC, le portefeuille d’Entrust contient tout ce dont vous avez besoin pour renforcer vos défenses et protéger l’infrastructure critique.

Voici ce que comprennent nos solutions :

  • Modules matériels de sécurité (HSM) : les HSM nShield contribuent à fournir un environnement sécurisé pour la génération, la gestion et la protection des clés cryptographiques, qui sont cruciales pour le chiffrement des données et les communications sécurisées.
  • Gestion de la posture de sécurité dans le cloud : la plateforme de sécurité Entrust CloudControl protège vos environnements cloud hybrides en centralisant l’identification et la résolution des problèmes, ainsi que la création de rapports sur la configuration et la conformité.
  • Gestion des clés : la gestion des clés est essentielle pour garantir la confidentialité et l’intégrité des données et des transactions financières. Entrust KeyControl vous aide à gérer les actifs cryptographiques tout au long de leur cycle de vie, en empêchant l’accès non autorisé aux systèmes TIC.
  • Gestion des identités et des accès : Entrust Identity as a Service est une plateforme intelligente qui rationalise l’authentification, l’autorisation et le contrôle de l’accès des utilisateurs. Communiquez avec vos consommateurs grâce à des portails sécurisés par une vérification de l’identité, et bien plus encore.
  • Public Key Infrastructure (PKI) : Entrust PKI fournit un cadre sécurisé pour les communications et l’authentification, en utilisant des certificats numériques pour vérifier les entités et chiffrer les données.
Explorer les sections

Explorer les sections

Préparez-vous à la mise en conformité avec la loi DORA grâce à des solutions de sécurité résilientes
Garantissez la conformité réglementaire

Lancez-vous ! Contactez notre équipe pour simplifier votre conformité à la DORA dès aujourd’hui.

Contacter le service commercial