« Grâce aux exigences juridiques harmonisées que nous avons adoptées aujourd’hui, notre secteur financier sera mieux à même de continuer à fonctionner à tout moment. Si une attaque de grande envergure est lancée contre le secteur financier européen, nous y serons préparés » déclarait Zbyněk Stanjura en 2022 lors de l’adoption par le Conseil du règlement européen (UE) 2022/2554 sur la résilience opérationnelle numérique (dit règlement « DORA » pour Digital Operational Resilience Act).

Ce texte définit des exigences pour renforcer et harmoniser la gestion des risques liés aux technologies de l’information et de la communication (TIC) et à la sécurité des réseaux et des systèmes d’information dans le secteur financier. Entré en vigueur le 16 janvier 2023, il entrera en application le 17 janvier 2025.

L’adoption d’un tel règlement s’explique par un constat : au cours des dernières décennies, l’utilisation des TIC est devenue centrale dans la fourniture de services financiers, et ces dernières ont acquis une importance essentielle dans l’exécution des fonctions quotidiennes de toutes les entités financières. Par conséquent, l’adoption d’une telle réglementation se justifie par la nécessité de faire face à la numérisation croissante de tous les services financiers, couplée à une menace cyber grandissante.

Afin de faire face aux incidents pouvant toucher les systèmes d’information, le mot d’ordre de ce règlement est le suivant : la résilience. On parle plus précisément de résilience opérationnelle numérique, qui désigne « la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations ». L’objectif est d’accompagner les entités financières afin qu’elles puissent se prémunir contre les risques cyber mais également pour qu’elles puissent limiter l’impact des perturbations qui pourraient atteindre leur système d’information.

DORA s’intéresse donc à la résilience opérationnelle des entités financières, qui sont des acteurs critiques particulièrement exposés au risque cyber du fait du volume et de la sensibilité des données traitées. Cela explique que le législateur européen ait opté pour un champ d’application large de ce texte : les entités financières rassemblent des acteurs divers tels que les établissements de crédit, les établissements de paiement, les établissements de monnaie électronique, les entreprises d’investissement, les plateformes de négociation, les sociétés de gestion, les entreprises d’assurance et de réassurance, etc.

Toutefois, le législateur, dans un souci de ne pas soumettre les acteurs de taille moindre à une tâche qui entraînerait des efforts - notamment financiers - disproportionnés au regard de leur taille et des services offerts, a inclus au sein de l’article 4 du règlement un principe de proportionnalité. Ainsi, les entités financières devront mettre en œuvre les exigences liées à la gestion du risque lié au TIC « en tenant compte de leur taille et de leur profil de risque global, ainsi que de la nature, de l’ampleur et de la complexité de leurs services, activités et opérations ».

Le règlement se divise en cinq piliers, qui seront présentés successivement :

• La gestion du risque lié aux TIC
• La gestion, la classification et la notification des incidents liés au TIC
• Les tests de résilience opérationnelle numérique
• La gestion des risques liés aux prestataires tiers de services TIC
• Les dispositifs de partage d’informations.

1. La gestion du risque lié aux TIC.

Tout d’abord, un des objectifs de ce règlement est d’exiger des entités financières qu’elles aient en place des procédures et outils afin de gérer le risque lié aux TIC, en particulier en amont, c’est-à-dire avant que le risque ne se réalise.

En matière de gouvernance, les entités financières devront ainsi disposer d’un cadre de gouvernance et de contrôle interne afin de garantir une gestion efficace et prudente du risque lié aux TIC.

Par ailleurs, l’organe de direction de l’entité financière devra définir, approuver, superviser, et être responsable de la mise en œuvre du cadre de gestion du risque lié aux TIC. Il devra, entre autres, (i) assumer la responsabilité ultime de la gestion du risque lié aux TIC de l’entité financière, (ii) mettre en place des stratégies visant à garantir le maintien de normes élevées en matière de disponibilité, d’authenticité, d’intégrité et de confidentialité des données, (iii) approuver, superviser et examiner périodiquement la mise en œuvre de la politique de continuité des activités, etc.

Les entités financières devront également confier la responsabilité de la gestion et de la surveillance du risque lié aux TIC à une fonction de contrôle qui soit suffisamment indépendante. Elles devront donc garantir une séparation et une indépendance adéquates des fonctions de gestion du risque lié aux TIC, des fonctions de contrôle et des fonctions d’audit interne. En matière de détection, elles devront mettre en place des mécanismes permettant de détecter rapidement les activités anormales, y compris les problèmes de performance des réseaux de TIC et les incidents liés aux TIC.

2. La gestion, la classification et la notification des incidents liés au TIC.

Un autre objectif de DORA est d’harmoniser la notification des incidents liés aux TIC au sein de l’Union européenne et de faciliter la transmission des informations entre les autorités nationales concernant les cybermenaces existantes. C’est la raison pour laquelle le règlement impose aux entités concernées de définir et mettre en œuvre un processus de gestion des incidents liés aux TIC afin de détecter, de gérer et de notifier ce type d’incidents.

Dès lors, les entités financières auront l’obligation (i) d’enregistrer tous les incidents liés aux TIC et les cybermenaces importantes, et (ii) de mettre en place des procédures et des processus adéquats pour assurer une surveillance, un traitement et un suivi cohérents de ces incidents afin que leurs causes soient identifiées, documentées et qu’il y soit remédié, pour éviter que de tels incidents ne se produisent à l’avenir.

Par ailleurs, elles devront classer les incidents et déterminer leur incidence sur la base de certains critères comme le nombre de clients touchés, la durée de l’incident, les conséquences économiques, etc.

En cas d’incident majeur, les entités financières devront les déclarer à l’autorité compétente. Elles pourront également notifier, à titre volontaire, les cybermenaces qu’elles estiment importantes à l’autorité compétente si elles estiment que la menace est pertinente pour le système financier, les utilisateurs de services ou les clients.

Cela permettrait, en cas de menace grave avérée, que l’autorité nationale compétente informée puisse avertir les autres autorités.

En outre, DORA accroît les exigences de communication vis-à-vis des clients. Ainsi, lorsqu’un incident majeur surviendra et aura une incidence sur les intérêts financiers des clients, les entités financières devront promptement informer leurs clients de cet incident et des mesures qui ont été prises pour atténuer les effets préjudiciables de cet incident. Ce mécanisme se rapproche de l’obligation de notification des personnes concernées, imposée par l’article 34 du Règlement Général sur la Protection des Données, qui pèse déjà sur les responsables de traitement en cas d’incident pouvant constituer un risque élevé pour la vie privée des personnes concernées. Néanmoins, cette disposition va plus loin car, même en l’absence d’incident majeur, en cas de cybermenace importante les entités financières devront informer leurs clients susceptibles d’être affectés de toute mesure de protection appropriée que ces derniers pourraient envisager de prendre. Cela s’explique par le fait qu’en matière financière, les conséquences pour les clients des entités financières peuvent être particulièrement graves.

3. Les tests de résilience opérationnelle numérique.

Les entités financières devront établir, maintenir et réexaminer régulièrement un programme de tests de résilience opérationnelle numérique faisant partie intégrante du dispositif de gestion des risques liés aux TIC.

Des exigences générales sont posées concernant la réalisation de ces tests de résilience opérationnelle. Ainsi, le programme de tests de résilience numérique devra inclure des évaluations, tests, méthodologies pratiques et outils à appliquer. Ces tests devront être effectués par des parties indépendantes, qu’elles soient internes ou externes.

Par ailleurs, les entités financières devront soumettre à des tests appropriés, au moins une fois par an, tous les systèmes et applications de TIC qui soutiennent des fonctions critiques ou importantes. De plus, toujours dans une logique de proportionnalité des efforts à fournir au regard de la taille de l’entité et des services offerts, le règlement précise que certaines entités désignées par les autorités, sur la base de certains critères (par exemple le niveau de maturité des TIC de l’entité financière), devront effectuer des tests avancés au moyen d’un test de pénétration fondé sur la menace, et cela tous les trois ans.

4. La gestion des risques liés aux prestataires tiers de services TIC.

Un pan important du règlement concerne la gestion, par les entités financières, des risques liés aux prestataires tiers de services TIC. L’objectif est que les différents maillons de la chaîne bénéficient d’une meilleure sécurisation du patrimoine informationnel des entités financières et offrent une résilience renforcée.

Ainsi, les entités financières devront :

• Conclure des accords contractuels pour l’utilisation de services TIC qui devront être documentés et pour lesquels il faudra distinguer ceux qui couvrent des services TIC soutenant des fonctions critiques et ceux qui ne le font pas
• Communiquer au moins une fois par an aux autorités compétentes le nombre de nouveaux accords, le type d’accords contractuels et les services et fonctions fournis
• Tenir à la disposition de l’autorité un registre d’informations complet ainsi que toute information jugée nécessaire pour garantir une surveillance efficace de l’entité financière
• Informer en temps utile l’autorité compétente de tout projet d’accord contractuel portant sur l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes
• Veiller à ce que les accords contractuels relatifs à l’utilisation de services TIC puissent être résiliés dans certaines circonstances qui sont listées au sein du règlement (le prestataire a gravement enfreint les règles, le prestataire présente des faiblesses avérées dans sa gestion globale du risque lié aux TIC, etc.)
• Avant de conclure un contrat relatif à l’utilisation de services TIC, les entités financières devront s’attacher à identifier les potentiels risques et évaluer si les conditions de surveillance en matière de contrats sont remplies.

DORA introduit également un mécanisme de surveillance des prestataires de services TIC critiques par les autorités européennes de surveillances (AES). En la matière, le règlement prévoit que les AES désigneront les prestataires tiers de services TIC qui sont critiques pour les entités financières, après prise en compte de critères tels que la continuité ou la qualité de la fourniture de services financiers dans les cas où le prestataire tiers de services TIC concerné serait confronté à une défaillance opérationnelle à grande échelle, le caractère ou l’importance systémique des entités financières qui dépendent du prestataire tiers de services TIC ou encore le degré de substituabilité du prestataire tiers de services TIC.

Par ailleurs, sera désigné un « superviseur principal » chargé d’assurer la supervision des prestataires tiers critiques de services TIC, et qui sera notamment le premier point de contact pour ces prestataires. Ce superviseur principal sera chargé d’évaluer si chaque prestataire critique de services TIC a mis en place les règles, procédures et mécanismes adéquats pour gérer le risque que ces acteurs sont susceptibles de faire peser sur les entités financières. Cette évaluation portera sur des éléments tels que les politiques de gestion des risques, les modalités de gouvernance, la sécurité physique (locaux, installation, centres de données) ou encore sur les mécanismes relatifs à la portabilité des données et des applications.

Le superviseur principal pourra, en cas de non-conformité, imposer aux prestataires critiques une astreinte, sur une base journalière et pendant six mois maximum, égale à 1 % du chiffre d’affaires quotidien moyen réalisé au niveau mondial.

Il convient de noter que le 27 septembre 2023, les autorités européennes de surveillance (l’autorité bancaire européenne (ABE), l’autorité européenne des assurances et des pensions (EIOPA) et l’autorité européenne des marchés financiers (ESMA)) ont publié [1] un aperçu des prestataires de services TIC dans le cadre de leurs préparatifs pour l’application de DORA. L’analyse fournit une première vue d’ensemble des prestataires de services TIC. Les AES ont identifié environ 15 000 prestataires de services TIC directement au service d’entités du secteur financier dans l’UE et ont relevé que les prestataires les plus fréquemment utilisés soutiennent des fonctions critiques ou importantes pour leurs clients dans un large éventail de services. En outre, les autorités ont relevé que la plupart des services critiques ont été classés comme non substituables par les institutions financières.

5. Les dispositifs de partage d’informations.

L’article 45 du règlement prévoit que

« les entités financières peuvent échanger entre elles des informations et des renseignements sur les cybermenaces, notamment des indicateurs de compromis, des tactiques, des techniques et des procédures, des alertes de cybersécurité et des outils de configuration ».

Le règlement a donc également pour objectif de bâtir une stratégie de communication entre les entités financières elles-mêmes afin que ces dernières puissent prendre en compte ces informations pour mieux se protéger.

Conclusion.

Les entités financières, entendues largement, ont jusqu’en janvier 2025 pour se préparer à l’entrée en application de ce règlement qui entraînera de nouvelles obligations, notamment en matière de gouvernance et d’organisation interne.

En cas de non-respect des dispositions du règlement, les Etats membres pourront choisir d’adopter des sanctions pénales spécifiques DORA, ce que la France ne devrait pas se priver de mettre en œuvre.

Concernant le montant des sanctions, le texte ne prévoit pas de plafond, mais il faudra prendre en compte certains critères tels que (i) le fait que la violation soit intentionnelle ou que, au contraire, elle résulte d’une négligence, (ii) l’assise financière de la personne responsable ou encore (iii) l’importance des gains obtenus ou des pertes évitées.

Hélène Brandela, Elève-Avocat