DORA – Digital Operational Resilience Act Partie 2 : Perspectives et objectifs

DORA doit permettre de faire face aux cyberrisques croissants. Quelles réglementations sont prévues ? Qui sera concerné par ces réglementations ?

Nous souhaitons aborder ces questions dans deux articles de blog consécutifs. Dans la première partie, nous rassemblons des informations sur le contrôle et l’organisation et examinons les exigences étendues en matière de gestion des risques liés aux TIC, la notification des incidents liés aux TIC et les risques liés aux fournisseurs tiers de TIC.

Dans la deuxième partie, nous donnons un aperçu des futurs développements et nous discutons de la manière dont les fournisseurs de cloud américains peuvent être intéressés à s’installer dans l’UE. 

Partie 2 

Le Parlement européen et le Conseil adopteront le texte officiel du règlement probablement à l’automne 2022 et celui-ci sera ensuite publié au Journal officiel de l’Union européenne. On s’attend à ce que le règlement DORA soit applicable dans toute l’UE fin 2024. Dès à présent, les institutions financières et les prestataires de services financiers devraient réfléchir à la mise en œuvre d’une gestion adéquate des risques liés aux TIC et envisager des mesures appropriées.

Les entreprises financières actives dans les transactions financières ont un intérêt intrinsèque à protéger la résilience opérationnelle numérique et à la rendre plus résiliente aux cyberattaques, car les perturbations opérationnelles peuvent entraîner des pertes de chiffre d’affaires considérables et, par conséquent, d’immenses dommages à la réputation. Le fait que les grandes institutions financières, les Fin- et BigTechs, représentent une grande surface de projection pour les attaques de pirates et que la numérisation exponentielle devient de plus en plus pertinente, renforce la nécessité de mettre en œuvre des mesures européennes pour renforcer la résilience opérationnelle numérique des entreprises financières.

Étant donné que les entreprises financières sont généralement très interconnectées, même un cyberincident localisé peut entraîner d’énormes risques systémiques pour le secteur financier et menacer la stabilité financière. Les produits et services fournis par les entreprises financières sont souvent élémentaires pour le fonctionnement d’une société. Les coûts engendrés par une cyberattaque sont souvent très élevés pour la société et les entreprises financières.

D’une part, les entreprises financières pourraient être découragées de signaler les cyberincidents aux autorités compétentes en raison des coûts de notification et des dommages potentiels à leur réputation. D’autre part les rapports sur les cyberincidents pourraient générer des bénéfices externes importants en permettant à d’autres entreprises financières d’identifier et de combler les failles de sécurité. La proposition de règlement n’est toutefois pas proportionnée. La gestion des risques liés aux TIC des entreprises financières devrait se concentrer uniquement sur les éléments critiques de la résilience opérationnelle numérique. DORA, en revanche, couvre tous les composants physiques, les infrastructures, les locaux et les centres de traitement de données, indépendamment de leur risque opérationnel. 

DORA oblige les entreprises financières à résilier les contrats avec des fournisseurs tiers critiques de TIC si ceux-ci enfreignent les lois, les règlements, les directives ou les conditions contractuelles, ou si elles y sont contraintes par une autorité de surveillance financière.

Cela devrait augmenter le risque opérationnel pour les entreprises financières, car il pourrait être difficile de trouver des fournisseurs alternatifs appropriés rapidement. Au lieu de cela, DORA devrait encourager une coordination étroite entre les acteurs concernés, articuler une liste de niveaux de sanctions et prévoir au moins des périodes de transition. Un mandat strict de résiliation de contrat devrait être le dernier recours.

La restriction de conclure des contrats de fourniture informatique avec des fournisseurs tiers critiques de TIC issus de pays tiers est une forte atteinte à la liberté contractuelle des entreprises financières européennes. Cette mesure pourrait paradoxalement freiner le renforcement de la résilience opérationnelle numérique, car les sociétés financières pourraient se voir contraintes de conclure des contrats avec des fournisseurs présentant un niveau de cybermaturité inférieur. Cette contrainte a le potentiel de limiter le choix et l’accès à des solutions, produits et services TIC plus cybersécurisés et innovants.

L’objectif de la Commission européenne de réduire la dépendance du secteur financier européen vis-à-vis des fournisseurs de cloud américains ne doit pas se transformer en actionnisme. Une action plus ciblée consisterait à prendre des mesures réglementaires pour inciter ces fournisseurs à établir des filiales dans l’UE, afin qu’ils puissent être surveillés plus efficacement par les autorités de surveillance locales en ce qui concerne les risques opérationnels.

En 2023, l’Autorité bancaire européenne (EBA) aura pour mandat de créer le cadre réglementaire pour MiCAR et DORA. En plus de son rôle de supervision, l’EBA est chargée d’élaborer des directives et des procédures de supervision, ainsi que des lignes de conduite visant à assurer l’échange d’informations entre toutes les parties concernées. Il s’agit notamment des émetteurs de cryptoactifs réglementés, des autorités nationales compétentes, de la BCE et des autres banques centrales concernées. Le temps d’agir est limité, car tout doit être réalisé avant la date d’application de MiCAR et DORA. Le cadre à développer pour DORA fournira un cadre réglementaire pour assurer la surveillance et la limitation des cyberrisques et des incidents liés aux TIC. En revanche, pour le règlement MiCAR, l’EBA devra rédiger des exigences spécifiques concernant l’émission de cryptoactifs et l’offre de services de cryptographie.

Source de la figure : EU Digital Operational Resilience Act (DORA) | Compliance | Haufe


Auteurs : Salar Hydary, Judith Petersen

DORA – Digital Operational Resilience Act : Partie 1 : Pourquoi la résilience opérationnelle numérique doit être évaluée de manière uniforme au niveau de l’UE ?

DORA doit permettre de faire face aux cyberrisques croissants. Quelles réglementations sont prévues ? Qui sera concerné par ces réglementations ?
Nous souhaitons aborder ces questions dans deux articles de blog consécutifs. Dans la première partie, nous rassemblons des informations sur le contrôle et l’organisation et examinons les exigences étendues en matière de gestion des risques liés aux TIC, la notification des incidents liés aux TIC et les risques liés aux fournisseurs tiers de TIC.
Dans la deuxième partie, nous donnons un aperçu des futurs développements et nous discutons de la manière dont les fournisseurs de cloud américains peuvent être intéressés à s’installer dans l’UE.

Partie 1

Le 22 mai 2022, la Commission européenne, le Conseil de l’Union européenne et le Parlement européen ont conclu un accord préliminaire sur la proposition de loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act – DORA). En tant que partie intégrante de la stratégie de numérisation de l’ensemble du secteur financier européen, DORA se trouve ainsi au centre de l’attention. La Commission européenne a publié la proposition législative de DORA pour la première fois le 24 septembre 2020 dans le cadre du Digital Finance Package. Le triumvirat composé de la Commission, du Conseil et du Parlement a déjà adopté le Digital Finance Package en septembre 2020 pour réaliser une numérisation transfrontalière.
Le Digital Finance Package comprend les parties suivantes :

  • Stratégie de numérisation du secteur financier
  • Propositions législatives sur les cryptoactifs (Markets in Crypto Asset Regulation, règlement pilote de Distributed-Ledger-Technology et Transfer of Funds Regulation)
  • Propositions législatives sur la résilience opérationnelle des systèmes numériques (DORA) du secteur financier
  • Stratégie pour les paiements de masse  

La stratégie européenne en matière de résilience opérationnelle numérique a été complétée par deux règlements importants en matière de cryptographie, à savoir le Markets in Crypto Assets Regulation (MiCAR) et le Transfer of Funds Regulation (ToFR). Le 30 juin 2022, l’Union européenne a donné son feu vert au règlement MiCAR pour la surveillance du secteur de la cryptographie.
Un jour plus tôt, le 29 juin 2022, le Parlement européen avait déjà trouvé un accord sur le règlement ToFR.
L’objectif de DORA est, d’une part, de garantir la stabilité financière, la protection des consommateurs et l’intégrité du marché et, d’autre part, d’éliminer efficacement les obstacles réglementaires dans le secteur financier grâce à une harmonisation juridique. En outre, un cadre intersectoriel à l’échelle de l’UE sera mis en place pour gérer et atténuer les risques liés aux technologies de l’information et de la communication (risques liés aux TIC). Les acteurs financiers traditionnels tels que les institutions financières, les compagnies d’assurance et les sociétés d’investissement sont concernés par le règlement DORA, mais également les Fin- et BigTechs, les prestataires de services cryptographiques et les places de marché. Les micro-entreprises qui emploient moins de 10 personnes et dont le chiffre d'affaires annuel ou le bilan annuel n’excède pas 2 millions d’euros sont exclues. (art. 3, p. 1, point 50, en combinaison avec l’article 2, par. 3 de l’annexe de la recommandation 2003/361/CE).

Gouvernance et organisation
Les institutions financières et les prestataires de services financiers devraient disposer de cadres de gouvernance et de contrôle internes garantissant une gestion efficace et prudente de tous les risques liés aux TIC (art. 4, par. 1). Les institutions financières devraient disposer d’un cadre de gestion des risques liés aux TIC solide, complet et bien documenté, leur permettant de faire face aux risques liés aux TIC de manière immédiate et efficace (art. 5, par. 1). L’organe de direction définit, autorise et contrôle le cadre de gestion des risques liés aux TIC et doit rendre compte de sa mise en œuvre. Afin de garantir le bon fonctionnement de la gouvernance, des fonds doivent être alloués aux investissements dans les ressources des TIC, y compris la formation aux risques liés aux TIC pour le personnel (art. 4, par. 2).

Exigences en matière de gestion des risques liés aux TIC
Les exigences énumérées dans DORA pour répondre à une gestion adéquate des risques liés aux TIC requièrent des fonctions spécifiques. Le cadre de gestion des risques liés aux TIC est documenté et réexaminé au moins une fois par an, ainsi que lors de la survenance d’incidents graves liés aux TIC, résultant de contrôles ou de procédures d’audit quant à la résilience opérationnelle numérique. L’objectif est d’identifier les menaces potentielles à un stade précoce, de collecter des informations et d’assurer une amélioration continue de la gestion des risques informatiques. (art. 5 par. 9 DORA)
La gestion des TIC doit assurer la protection et la prévention contre les cyberattaques ou réduire au minimum la vulnérabilité aux cyberincidents et mettre en œuvre des stratégies et des procédures garantissant « la résilience, la continuité et la disponibilité des systèmes de TIC » et « des normes élevées en matière de sécurité, de confidentialité et d’intégrité des données » (art. 8, par. 2).
Les institutions financières et les prestataires de services financiers doivent mettre en œuvre une stratégie de TIC visant à réagir rapidement, efficacement et de manière appropriée à tous les incidents liés aux TIC, notamment les cyberattaques, afin de limiter les dommages et d’assurer la reprise des activités et le rétablissement des opérations (art. 10, par. 2). La mise en œuvre de mécanismes permettant à la fois de détecter les vulnérabilités et d’enregistrer tous les incidents liés aux TIC est indispensable.
En tant qu’acteurs du marché particulièrement orientés vers le client et considérés comme intègres, les institutions financières doivent disposer de plans de communication permettant de « divulguer de manière responsable les incidents liés aux TIC ou les vulnérabilités importantes aux clients et aux autres entreprises financières, ainsi qu’au public » (DORA, art. 13, par. 1).

Notification d’incidents liés aux TIC
DORA exige des institutions financières et des prestataires de services bancaires qu’ils mettent en place des procédures de gestion pour surveiller, identifier, classer, suivre, consigner et signaler aux autorités compétentes les incidents graves liés aux TIC (art. 15, par. 1).
Les destinataires des notifications d’incidents TIC graves sont les autorités nationales compétentes. Les institutions financières et les prestataires de services financiers doivent fournir des détails pertinents sur les incidents à d’autres institutions ou autorités, telles que les Autorités européennes de surveillance (AES), la Banque centrale européenne (BCE) ou les points de contact centraux désignés en vertu de la Directive sur la sécurité des réseaux et des systèmes d’information (Directive NIS). Les incidents graves liés aux TIC doivent être signalés de manière centralisée par les autorités au niveau de l’Union. Les entreprises financières seront tenues de présenter des rapports initiaux, intermédiaires et finaux. Si un incident lié aux TIC a une répercussion sur les intérêts financiers des utilisateurs de services et des clients de l’entreprise financière concernée, ceux-ci doivent en être informés sans délai (art. 17, par. 2).

L’une des principales tâches de l’AES consiste à publier annuellement un rapport complet, sous forme anonyme, fournissant des informations sur les notifications d’incidents graves liés aux TIC faites par les autorités compétentes. Cela concerne le nombre minimum d’incidents graves, leur nature, l’impact sur les activités commerciales des entreprises financières ou des clients, ainsi que les coûts (art. 20, par. 2). En outre, le projet de règlement oblige les institutions financières à veiller à ce que les contrats d’utilisation de services liés aux TIC soient résiliés si les fournisseurs tiers de TIC enfreignent les lois, les règlements ou les conditions contractuelles applicables (art. 25, par. 8). 

Contrôle de la résilience opérationnelle numérique
La gestion des risques liés aux TIC des institutions financières et des prestataires de services financiers doit faire l’objet d’audits réguliers afin de vérifier leur capacité à se défendre et à détecter les vulnérabilités, les défauts ou les lacunes ainsi que la mise en œuvre immédiate de mesures correctives. Les systèmes de TIC doivent être régulièrement examinés en profondeur. Un tel contrôle doit être effectué au moins une fois par an et être dûment documenté. La réalisation de tests de prévention, de détection, de réaction et de récupération est indispensable pour corriger exhaustivement tous les points faibles, défauts ou lacunes (art. 21, par. 5).

Les principaux outils utilisés pour tester la résilience opérationnelle numérique sont les suivants (art. 22) :

  • Évaluations et contrôles de la vulnérabilité
  • Analyses de logiciels à source ouverte
  • Évaluations de la sécurité des réseaux
  • Analyses des failles
  • Analyses de la sécurité physique
  • Vérifications de la sécurité physique
  • Questionnaires et solutions logicielles d’analyse
  • Audits de code source, dans la mesure du possible
  • Tests basés sur des scénarios
  • Tests de compatibilité
  • Tests de performance
  • Tests de bout en bout
  • Tests d’intrusion basés sur les menaces


Le niveau d’exigence des tests de résistance dépend en grande partie de la taille du profil commercial et du profil de risque de chaque entreprise financière.
Des exigences particulièrement élevées quant aux tests de résilience opérationnelle numérique s’appliquent aux établissements importants dans le domaine des paiements, par exemple les grands établissements de crédit, les grandes institutions de paiement et les grandes institutions de monnaie électronique. Cela s’applique également aux sous-secteurs jouant un rôle central dans les transactions financières, le secteur bancaire, la compensation et le règlement.

Risques liés aux fournisseurs tiers de TIC
DORA met un accent particulier sur la surveillance de l’UE, sur ce que l’on appelle les fournisseurs tiers de TIC et sur le risque de tiers en matière de TIC qui en découle. L’externalisation de fonctions numériques joue aujourd’hui un rôle important dans la stratégie TIC des entreprises financières. C’est là que les fournisseurs tiers de TIC entrent en jeu. Ils proposent aux entreprises financières la mise à disposition d’espace de stockage ou de performance informatique (Infrastructure as a Service) jusqu’à la mise à disposition d’applications logicielles (Platform as a Service).
L’externalisation ne peut fonctionner que si les institutions financières sont en mesure de surveiller et de contrôler pleinement les processus de sous-traitance. Les entreprises financières qui font appel à des services liés aux TIC de fournisseurs tiers de TIC ont la responsabilité de s’assurer que ces derniers respectent le règlement DORA (art. 25, par. 1). Toutefois, si une entreprise financière constate que le fournisseur tiers de TIC ne respecte pas les lois, les règlements ou les conditions contractuelles en vigueur lors de la fourniture de services informatiques, le contrat avec ce fournisseur doit être résilié (art. 25, par. 8). Les entreprises financières doivent mettre en place des stratégies de sortie pour faire face aux défaillances des prestataires de services tiers liés aux TIC. La résiliation du contrat ne doit pas être contraire aux exigences réglementaires ou affecter la qualité des services offerts (art. 25, par. 9).
En résumé, DORA vise à créer un cadre de surveillance européen pour les fournisseurs tiers de TIC « critiques » (art. 28, par. 1). DORA accorde à l’entreprise financière le droit de surveiller intégralement les prestations à fournir par le fournisseur tiers de TIC (art. 27, par. 2). Dans ce cadre, les autorités de surveillance financière compétentes peuvent forcer les entreprises financières à suspendre temporairement, partiellement ou totalement, leurs contrats avec des fournisseurs TIC tiers, jusqu’à ce que les risques soient éliminés. Les autorités peuvent, si nécessaire, exiger des entreprises financières qu’elles mettent fin à tout ou partie des accords contractuels pertinents conclus avec des prestataires tiers critiques de TIC (art. 37, par. 3).
Avant de conclure un contrat avec un fournisseur tiers TIC, les institutions financières et les prestataires de services financiers doivent vérifier si le fournisseur informatique en question doit être considéré comme un fournisseur critique ou s’il couvre des fonctions numériques importantes. Les institutions financières et les prestataires de services financiers doivent vérifier si votre fournisseur tiers TIC est remplaçable ou si plusieurs contrats sont conclus avec lui (art. 25, par. 5). L’évaluation de ces critères est importante dans la mesure où les entreprises financières ne peuvent pas entretenir de relations contractuelles avec des fournisseurs tiers TIC critiques qui ont leur siège en dehors de l’UE et ne sont donc pas basés dans l’UE (art. 28, par. 9).

Source de la figure : EU Digital Operational Resilience Act (DORA) | Compliance | Haufe


Auteurs : Salar Hydary, Judith Petersen