Le projet de règlement de la Commission européenne « DORA » (Digital Operational Resilience Act) a pour objectif d’améliorer la résilience opérationnelle informatique des acteurs des services financiers en mettant en place un cadre de gouvernance et de contrôle interne spécifique (ICT risk management framework). Alors que cette loi devrait entrer en vigueur courant 2022, que faut-il en retenir et comment s’y préparer ?
Une nécessaire évolution de la règlementation pour renforcer la résilience opérationnelle
En 2005, les accords de Bâle II (Basel Committee on Banking Supervision) introduisaient aux côtés des risques bancaires, le risque opérationnel « de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d’évènements externes ».
Cette notion polymorphe intègre nativement la continuité d’activité en cas d’‘incident majeur, ou de sinistre, en évaluant principalement la capacité des établissements à mettre en place un plan de continuité au niveau des principales activités financières. La source et la nature des incidents informatiques étant de plus en plus complexes et multiples, et leurs impacts de plus en plus conséquents, l’évaluation macroscopique des risques liés aux technologies n’est aujourd’hui plus suffisante.
En effet, la place centrale et stratégique des systèmes d'information dans le fonctionnement du système bancaire (digitalisation des processus, robotisation, IA…) expose l’ensemble des institutions financières à un risque informatique ou numérique croissant pouvant affaiblir la résilience opérationnelle, notamment dans un contexte marqué par la multiplication des cyberattaques de plus en plus sophistiquées.
Ces dernières peuvent en effet atteindre les systèmes internes de l’établissement, exemple des rançongiciels (« ransomware »), ou atteindre des infrastructures externes endommageant les services interbancaires. Par ailleurs, la mise en commun croissante de ressources techniques et opérationnelles élargit et intensifie les impacts d’une détérioration ou interruption de service et en complexifie la gestion des risques.
Cette situation délicate est même aggravée par le recours à l’externalisation auprès de prestataires, qui parfois opèrent pour de nombreuses organisations et deviennent ainsi des vecteurs de contamination en cas d’incident. C’est pourquoi l’amélioration de la résilience opérationnelle nécessite aujourd’hui une évolution de la règlementation pour accompagner les entreprises du secteur des services financiers dans la gestion de leurs risques opérationnels, en particulier sur le plan informatique.
Les objectifs du projet DORA
Dans ce contexte, le projet de règlementation DORA a vocation à renforcer la résilience opérationnelle informatique des acteurs financiers en mettant en place un nouveau cadre de gouvernance et de contrôle interne concernant :
- la gestion des risques informatiques,
- la déclaration des incidents majeurs liés aux technologies,
- les tests de résilience opérationnelle informatique,
- la gestion du risque de tiers avec notamment la supervision directe des prestataires de services « critiques ».
Plus globalement, La directive impose la mise en œuvre d’une stratégie de résilience opérationnelle informatique sous la pleine responsabilité de la Direction des institutions financières, dont les principaux objectifs seront :
- d’améliorer la gestion des incidents liés aux technologies notamment pour répondre aux exigences de reporting vers une instance européenne unique,
- de renforcer la conduite des tests d’intrusion,
- d’étendre le périmètre des plans de continuité aux activités de gestion des technologies (infrastructures, services informatiques…).
S’assurer de la mise en place d’une gestion efficace des risques liés aux technologies
L’importance d’une gouvernance forte sous la responsabilité de la Direction est explicitement inscrite dans le projet de règlement (cf. article 4). Ainsi, la Direction doit d’ores et déjà s’assurer de la mise en place d’une gestion efficace des risques liés aux technologies (ICT) se traduisant en particulier par :
- la détermination du niveau de tolérance aux risques liés aux technologies,
- l’approbation, la surveillance et la revue périodique de la politique de continuité des activités et du plan de reprise d’activité liés aux technologies,
- la revue périodique des plans d’audit couvrant les risques informatiques,
- l’approbation et le suivi des contrats d’externalisation de services TIC, notamment en cas de modification des conditions,
- l’allocation et le suivi périodique des budgets pour répondre aux besoins de résilience opérationnelle informatique,
- le suivi des incidents informatiques et leurs impacts, ainsi que les réponses apportées, les mesures de rétablissement et de correction.
Le règlement DORA précise en outre que les membres de la Direction devront disposer d’une formation spécifique pour comprendre et évaluer les risques informatiques ainsi que leurs impacts sur les opérations. S’agissant encore d’un projet, les discussions entre les différentes instances européennes aboutiront probablement à une version finale du règlement au cours des 12 prochains mois. Cette proposition de la Commission européenne s’inscrit dans la continuité des récentes publications de l’EBA et de l’EIOPA1, et concourt à la création d’un cadre réglementaire unifié et dédié à la gestion des risques informatiques.
1 EBA/GL/2019/04 et EIOPA-BoS-20/600