
DORA doit permettre de faire face aux cyberrisques croissants. Quelles réglementations sont prévues ? Qui sera concerné par ces réglementations ?
Nous souhaitons aborder ces questions dans deux articles de blog consécutifs. Dans la première partie, nous rassemblons des informations sur le contrôle et l’organisation et examinons les exigences étendues en matière de gestion des risques liés aux TIC, la notification des incidents liés aux TIC et les risques liés aux fournisseurs tiers de TIC.
Dans la deuxième partie, nous donnons un aperçu des futurs développements et nous discutons de la manière dont les fournisseurs de cloud américains peuvent être intéressés à s’installer dans l’UE.
Partie 1
Le 22 mai 2022, la Commission européenne, le Conseil de l’Union européenne et le Parlement européen ont conclu un accord préliminaire sur la proposition de loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act – DORA). En tant que partie intégrante de la stratégie de numérisation de l’ensemble du secteur financier européen, DORA se trouve ainsi au centre de l’attention. La Commission européenne a publié la proposition législative de DORA pour la première fois le 24 septembre 2020 dans le cadre du Digital Finance Package. Le triumvirat composé de la Commission, du Conseil et du Parlement a déjà adopté le Digital Finance Package en septembre 2020 pour réaliser une numérisation transfrontalière.
Le Digital Finance Package comprend les parties suivantes :
- Stratégie de numérisation du secteur financier
- Propositions législatives sur les cryptoactifs (Markets in Crypto Asset Regulation, règlement pilote de Distributed-Ledger-Technology et Transfer of Funds Regulation)
- Propositions législatives sur la résilience opérationnelle des systèmes numériques (DORA) du secteur financier
- Stratégie pour les paiements de masse
La stratégie européenne en matière de résilience opérationnelle numérique a été complétée par deux règlements importants en matière de cryptographie, à savoir le Markets in Crypto Assets Regulation (MiCAR) et le Transfer of Funds Regulation (ToFR). Le 30 juin 2022, l’Union européenne a donné son feu vert au règlement MiCAR pour la surveillance du secteur de la cryptographie.
Un jour plus tôt, le 29 juin 2022, le Parlement européen avait déjà trouvé un accord sur le règlement ToFR.
L’objectif de DORA est, d’une part, de garantir la stabilité financière, la protection des consommateurs et l’intégrité du marché et, d’autre part, d’éliminer efficacement les obstacles réglementaires dans le secteur financier grâce à une harmonisation juridique. En outre, un cadre intersectoriel à l’échelle de l’UE sera mis en place pour gérer et atténuer les risques liés aux technologies de l’information et de la communication (risques liés aux TIC). Les acteurs financiers traditionnels tels que les institutions financières, les compagnies d’assurance et les sociétés d’investissement sont concernés par le règlement DORA, mais également les Fin- et BigTechs, les prestataires de services cryptographiques et les places de marché. Les micro-entreprises qui emploient moins de 10 personnes et dont le chiffre d'affaires annuel ou le bilan annuel n’excède pas 2 millions d’euros sont exclues. (art. 3, p. 1, point 50, en combinaison avec l’article 2, par. 3 de l’annexe de la recommandation 2003/361/CE).
Gouvernance et organisation
Les institutions financières et les prestataires de services financiers devraient disposer de cadres de gouvernance et de contrôle internes garantissant une gestion efficace et prudente de tous les risques liés aux TIC (art. 4, par. 1). Les institutions financières devraient disposer d’un cadre de gestion des risques liés aux TIC solide, complet et bien documenté, leur permettant de faire face aux risques liés aux TIC de manière immédiate et efficace (art. 5, par. 1). L’organe de direction définit, autorise et contrôle le cadre de gestion des risques liés aux TIC et doit rendre compte de sa mise en œuvre. Afin de garantir le bon fonctionnement de la gouvernance, des fonds doivent être alloués aux investissements dans les ressources des TIC, y compris la formation aux risques liés aux TIC pour le personnel (art. 4, par. 2).
Exigences en matière de gestion des risques liés aux TIC
Les exigences énumérées dans DORA pour répondre à une gestion adéquate des risques liés aux TIC requièrent des fonctions spécifiques. Le cadre de gestion des risques liés aux TIC est documenté et réexaminé au moins une fois par an, ainsi que lors de la survenance d’incidents graves liés aux TIC, résultant de contrôles ou de procédures d’audit quant à la résilience opérationnelle numérique. L’objectif est d’identifier les menaces potentielles à un stade précoce, de collecter des informations et d’assurer une amélioration continue de la gestion des risques informatiques. (art. 5 par. 9 DORA)
La gestion des TIC doit assurer la protection et la prévention contre les cyberattaques ou réduire au minimum la vulnérabilité aux cyberincidents et mettre en œuvre des stratégies et des procédures garantissant « la résilience, la continuité et la disponibilité des systèmes de TIC » et « des normes élevées en matière de sécurité, de confidentialité et d’intégrité des données » (art. 8, par. 2).
Les institutions financières et les prestataires de services financiers doivent mettre en œuvre une stratégie de TIC visant à réagir rapidement, efficacement et de manière appropriée à tous les incidents liés aux TIC, notamment les cyberattaques, afin de limiter les dommages et d’assurer la reprise des activités et le rétablissement des opérations (art. 10, par. 2). La mise en œuvre de mécanismes permettant à la fois de détecter les vulnérabilités et d’enregistrer tous les incidents liés aux TIC est indispensable.
En tant qu’acteurs du marché particulièrement orientés vers le client et considérés comme intègres, les institutions financières doivent disposer de plans de communication permettant de « divulguer de manière responsable les incidents liés aux TIC ou les vulnérabilités importantes aux clients et aux autres entreprises financières, ainsi qu’au public » (DORA, art. 13, par. 1).
Notification d’incidents liés aux TIC
DORA exige des institutions financières et des prestataires de services bancaires qu’ils mettent en place des procédures de gestion pour surveiller, identifier, classer, suivre, consigner et signaler aux autorités compétentes les incidents graves liés aux TIC (art. 15, par. 1).
Les destinataires des notifications d’incidents TIC graves sont les autorités nationales compétentes. Les institutions financières et les prestataires de services financiers doivent fournir des détails pertinents sur les incidents à d’autres institutions ou autorités, telles que les Autorités européennes de surveillance (AES), la Banque centrale européenne (BCE) ou les points de contact centraux désignés en vertu de la Directive sur la sécurité des réseaux et des systèmes d’information (Directive NIS). Les incidents graves liés aux TIC doivent être signalés de manière centralisée par les autorités au niveau de l’Union. Les entreprises financières seront tenues de présenter des rapports initiaux, intermédiaires et finaux. Si un incident lié aux TIC a une répercussion sur les intérêts financiers des utilisateurs de services et des clients de l’entreprise financière concernée, ceux-ci doivent en être informés sans délai (art. 17, par. 2).
L’une des principales tâches de l’AES consiste à publier annuellement un rapport complet, sous forme anonyme, fournissant des informations sur les notifications d’incidents graves liés aux TIC faites par les autorités compétentes. Cela concerne le nombre minimum d’incidents graves, leur nature, l’impact sur les activités commerciales des entreprises financières ou des clients, ainsi que les coûts (art. 20, par. 2). En outre, le projet de règlement oblige les institutions financières à veiller à ce que les contrats d’utilisation de services liés aux TIC soient résiliés si les fournisseurs tiers de TIC enfreignent les lois, les règlements ou les conditions contractuelles applicables (art. 25, par. 8).
Contrôle de la résilience opérationnelle numérique
La gestion des risques liés aux TIC des institutions financières et des prestataires de services financiers doit faire l’objet d’audits réguliers afin de vérifier leur capacité à se défendre et à détecter les vulnérabilités, les défauts ou les lacunes ainsi que la mise en œuvre immédiate de mesures correctives. Les systèmes de TIC doivent être régulièrement examinés en profondeur. Un tel contrôle doit être effectué au moins une fois par an et être dûment documenté. La réalisation de tests de prévention, de détection, de réaction et de récupération est indispensable pour corriger exhaustivement tous les points faibles, défauts ou lacunes (art. 21, par. 5).
Les principaux outils utilisés pour tester la résilience opérationnelle numérique sont les suivants (art. 22) :
- Évaluations et contrôles de la vulnérabilité
- Analyses de logiciels à source ouverte
- Évaluations de la sécurité des réseaux
- Analyses des failles
- Analyses de la sécurité physique
- Vérifications de la sécurité physique
- Questionnaires et solutions logicielles d’analyse
- Audits de code source, dans la mesure du possible
- Tests basés sur des scénarios
- Tests de compatibilité
- Tests de performance
- Tests de bout en bout
- Tests d’intrusion basés sur les menaces
Le niveau d’exigence des tests de résistance dépend en grande partie de la taille du profil commercial et du profil de risque de chaque entreprise financière.
Des exigences particulièrement élevées quant aux tests de résilience opérationnelle numérique s’appliquent aux établissements importants dans le domaine des paiements, par exemple les grands établissements de crédit, les grandes institutions de paiement et les grandes institutions de monnaie électronique. Cela s’applique également aux sous-secteurs jouant un rôle central dans les transactions financières, le secteur bancaire, la compensation et le règlement.
Risques liés aux fournisseurs tiers de TIC
DORA met un accent particulier sur la surveillance de l’UE, sur ce que l’on appelle les fournisseurs tiers de TIC et sur le risque de tiers en matière de TIC qui en découle. L’externalisation de fonctions numériques joue aujourd’hui un rôle important dans la stratégie TIC des entreprises financières. C’est là que les fournisseurs tiers de TIC entrent en jeu. Ils proposent aux entreprises financières la mise à disposition d’espace de stockage ou de performance informatique (Infrastructure as a Service) jusqu’à la mise à disposition d’applications logicielles (Platform as a Service).
L’externalisation ne peut fonctionner que si les institutions financières sont en mesure de surveiller et de contrôler pleinement les processus de sous-traitance. Les entreprises financières qui font appel à des services liés aux TIC de fournisseurs tiers de TIC ont la responsabilité de s’assurer que ces derniers respectent le règlement DORA (art. 25, par. 1). Toutefois, si une entreprise financière constate que le fournisseur tiers de TIC ne respecte pas les lois, les règlements ou les conditions contractuelles en vigueur lors de la fourniture de services informatiques, le contrat avec ce fournisseur doit être résilié (art. 25, par. 8). Les entreprises financières doivent mettre en place des stratégies de sortie pour faire face aux défaillances des prestataires de services tiers liés aux TIC. La résiliation du contrat ne doit pas être contraire aux exigences réglementaires ou affecter la qualité des services offerts (art. 25, par. 9).
En résumé, DORA vise à créer un cadre de surveillance européen pour les fournisseurs tiers de TIC « critiques » (art. 28, par. 1). DORA accorde à l’entreprise financière le droit de surveiller intégralement les prestations à fournir par le fournisseur tiers de TIC (art. 27, par. 2). Dans ce cadre, les autorités de surveillance financière compétentes peuvent forcer les entreprises financières à suspendre temporairement, partiellement ou totalement, leurs contrats avec des fournisseurs TIC tiers, jusqu’à ce que les risques soient éliminés. Les autorités peuvent, si nécessaire, exiger des entreprises financières qu’elles mettent fin à tout ou partie des accords contractuels pertinents conclus avec des prestataires tiers critiques de TIC (art. 37, par. 3).
Avant de conclure un contrat avec un fournisseur tiers TIC, les institutions financières et les prestataires de services financiers doivent vérifier si le fournisseur informatique en question doit être considéré comme un fournisseur critique ou s’il couvre des fonctions numériques importantes. Les institutions financières et les prestataires de services financiers doivent vérifier si votre fournisseur tiers TIC est remplaçable ou si plusieurs contrats sont conclus avec lui (art. 25, par. 5). L’évaluation de ces critères est importante dans la mesure où les entreprises financières ne peuvent pas entretenir de relations contractuelles avec des fournisseurs tiers TIC critiques qui ont leur siège en dehors de l’UE et ne sont donc pas basés dans l’UE (art. 28, par. 9).
Auteurs :
Salar Hydary, Judith Petersen