La loi sur la résilience opérationnelle numérique : Ce que vous devez savoir maintenant

La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act – DORA) marque le dernier chapitre de l’action des régulateurs en faveur de la résilience opérationnelle. Le règlement, qui introduit un certain nombre d’exigences adaptées aux entreprises financières opérant dans un monde numérique, a été officiellement adopté par l’UE en janvier 2023, et les organisations concernées ont jusqu’à 2025 pour s’y conformer.

Alors que les entreprises de services financiers du Royaume-Uni et de certains pays de l’UE doivent se conformer à des exigences de résilience opérationnelle depuis un certain temps, l’adoption de la loi DORA est la première fois que ces réglementations s’étendent aux fournisseurs de services de technologies de l’information et de la communication (TIC) qui prennent en charge les fonctions essentielles aux services commerciaux importants d’une entreprise. Les entités financières – telles que les banques, les compagnies d’assurance, les établissements de crédit, les entreprises d’investissement et les fournisseurs de services de crypto-actifs – devront désormais s’assurer que les politiques et les processus de leurs fournisseurs de TIC répondent aux nouvelles exigences. Les fournisseurs de services, quant à eux, doivent répondre aux régulateurs qu’ils sont alignés sur les mêmes règles que celles auxquelles sont soumises les entreprises financières.

La bonne nouvelle, c’est que de nombreuses exigences du DORA reflètent étroitement d’autres réglementations sur la résilience opérationnelle et les meilleures pratiques du secteur. Toutefois, le calendrier de mise en œuvre est ambitieux et un certain nombre de nouvelles exigences spécifiques au numérique et aux TIC doivent être prises en compte. C’est le moment de comprendre ce qui est requis et les actions nécessaires pour aligner votre gouvernance et vos pratiques sur la loi sur la résilience opérationnelle numérique.

Les cinq piliers de DORA

La loi sur la résilience opérationnelle numérique s’articule autour de cinq piliers relatifs à la résilience numérique et cybernétique. Ces piliers formalisent et normalisent les exigences des tiers pour les entités financières dans le but de construire un système financier plus résilient.

Gestion des risques liés aux TIC. Les entreprises doivent assumer l’entière responsabilité de la gestion des risques liés aux TIC en mettant en place un cadre de gouvernance et de contrôle de la résilience opérationnelle numérique. Ce cadre doit comprendre des stratégies détaillées fondées sur la tolérance au risque, qui tiennent compte de l’identification, de la prévention et de la détection des risques. Les entreprises doivent également démontrer qu’elles sont en mesure de réagir et de se remettre d’une perturbation, ainsi que d’apprendre et d’évoluer à partir d’incidents.

Signalement et classification des incidents. Le DORA établit une méthodologie standard de classification des incidents avec des critères de durée, d’impact et de criticité des services affectés. Les incidents importants doivent être signalés aux régulateurs en temps utile. Ce pilier vise à rationaliser un certain nombre d’obligations européennes existantes en matière de déclaration d’incidents pour les entreprises de services financiers ; toutefois, de nombreuses entreprises devront élargir la manière dont elles évaluent l’impact quantitatif et analysent les causes profondes pour se conformer à la DORA.

Essais de résilience opérationnelle numérique. Les entreprises doivent effectuer des tests de scénario complets sur la sécurité et la résilience et remédier à toutes les vulnérabilités identifiées par les tests. Les entreprises les plus importantes doivent également demander à un testeur indépendant d’effectuer tous les trois ans des tests de pénétration avancés à grande échelle sur les fonctions critiques et les fournisseurs de TIC.

Partage d’informations entre entités financières. Les lignes directrices encouragent la collaboration entre les entités financières afin de sensibiliser aux risques liés aux TIC, de minimiser la capacité de propagation de la cybercriminalité et de soutenir les stratégies d’atténuation.

Risque lié aux TIC pour les tiers. Pour éviter toute perturbation économique systémique, les entreprises doivent surveiller les risques liés aux fournisseurs de technologie tout au long de la relation, en utilisant des pratiques saines de gestion des risques liés aux tiers.

Comment se préparer dès maintenant à DORA

Bien qu’une grande partie de la loi DORA s’appuie délibérément sur les réglementations existantes dans le but d’harmoniser les normes, la mise en conformité nécessitera des efforts considérables – et ce, dans un délai très court. Voici trois étapes pour commencer :

1. Effectuez une analyse des lacunes. Quelles sont les dispositions du règlement que vous suivez déjà – et que faut-il encore faire pour s’y conformer ? De nombreuses exigences portent sur la gouvernance, le risque et la conformité des fonctions TIC, la collecte et le signalement des incidents, et les tests de scénarios.
   .
   Identifiez vos lacunes et créez un plan avec des tâches spécifiques pour les combler.

2. Assurer la coordination avec les autres parties prenantes. Toute personne travaillant à la mise en conformité avec la loi DORA devra collaborer avec les autres acteurs de l’organisation, notamment :

• • Continuité des activités. Le DORA exige une politique globale de continuité des activités dans le domaine des TIC. L’idée est de s’appuyer sur les meilleures pratiques existantes en accordant une attention particulière à la continuité des activités et aux plans de reprise après sinistre, notamment en réponse à une cyberattaque. L’adaptation des scénarios de perte de technologie utilisés pour la planification, tout en tenant compte de la manière dont une cyberattaque pourrait modifier la réponse et la récupération, peut vous aider à vous préparer de manière plus holistique à un cyberévénement.
  • Résilience opérationnelle. Les activités de résilience opérationnelle qui identifient les fonctions et les processus soutenant les services critiques des entreprises peuvent aider à donner la priorité à ces fonctions dans le cadre du DORA. Les activités de cartographie de bout en bout peuvent fournir une fenêtre sur les ressources vulnérables, y compris les risques qui pourraient affecter la disponibilité des technologies et les systèmes TIC. Les types de tests requis par le DORA peuvent également être menés conjointement avec les tests de scénarios requis par la résilience opérationnelle. Les tests spécifiques aux technologies peuvent être superposés aux plans de tests de scénarios de résilience et utilisés pour prouver que vous êtes dans les limites des tolérances d’impact indiquées.
  • Gestion des risques pour les tiers. Le DORA décrit les étapes spécifiques que les organisations doivent suivre avant de s’engager dans une relation avec un tiers TIC, comme déterminer si le fournisseur soutiendra les fonctions critiques/importantes et si le tiers pourrait aggraver le risque de concentration. C’est l’occasion de collaborer avec les équipes chargées de la continuité, de la résilience et de la gestion des risques liés aux tiers et d’exploiter les résultats d’une analyse d’impact sur les activités ou d’une cartographie de bout en bout pour déterminer la criticité potentielle d’un tiers. Il existe également des exigences relatives à la résiliation des contrats dans certaines circonstances, ce qui oblige les fournisseurs de TIC à maintenir le même niveau de sécurité que les institutions financières. Ces exigences profiteront aux praticiens du risque qui ont souvent la tâche peu enviable d’identifier un tiers ou un risque de concentration, mais qui n’ont pas le pouvoir d’empêcher l’entreprise d’entrer dans la relation.
  • Technologie de l’information. Les entités financières et leurs fournisseurs de TIC doivent maintenir au moins un site de traitement secondaire avec des ressources proportionnelles aux besoins de l’entreprise. Le site secondaire doit être géographiquement séparé, capable de poursuivre les services critiques et accessible au personnel.

3. Élaborez votre plan de communication de crise. Le DORA prévoit des dispositions spécifiques en matière de communication de crise en cas de perturbation importante. Les plans de communication doivent prendre en compte le personnel technique et non technique et désigner des porte-parole publics. Les entreprises doivent également disposer d’une fonction de gestion de crise pour coordonner les activités. Ces dispositions codifient les meilleures pratiques que de nombreuses organisations appliquent déjà pour maintenir une structure de commandement et de contrôle en cas de perturbation, qui ne soit pas uniquement composée d’experts techniques.

Bien que la loi DORA puisse sembler être une énième réglementation sur la cybernétique, il s’agit en fait d’un tournant qui obligera les organisations à envisager le risque technologique sous un angle nouveau et à s’appuyer sur la force d’autres disciplines liées au risque, notamment la continuité des activités, la résilience opérationnelle et la gestion des risques liés aux tierces parties. L’adoption d’une approche globale et holistique contribuera à améliorer la résilience générale de votre organisation, ainsi que celle du secteur financier dans son ensemble.

La mise en conformité avec la loi sur la résilience opérationnelle numérique vous donne l’occasion d’accélérer le changement stratégique dans la manière dont vous gérez le risque numérique. Et ne tardez pas – janvier 2025 ne tardera pas à arriver.

Pour en savoir plus sur la résilience, téléchargez notre livre blanc, Résilience opérationnelle : Naviguer dans le paysage réglementaire mondial, et découvrez le logiciel de continuité des activités et de résilience de Riskonnect.