Article | Les Dernières Clarifications du Règlement DORA : Impact et Perspectives

Que retenir des textes finaux de la Règlementation DORA

Le 17 juillet dernier, les Autorités Européennes de Surveillance (AES) ont publié le dernier lot de textes complémentaires visant à clarifier certains enjeux du règlement DORA (Digital Operational Resilience Act). Les textes ont tout d’abord été soumis à consultation publique et sont à présent définitifs, pour entrer en application au 17 janvier 2025.

Le corpus de textes définitif se compose des éléments suivants :

_{A noter que le RTS concernant l’harmonisation de la surveillance (Pilier 5) est finalement sorti en version finale sous forme de 2 RTS distincts afin de préciser également les modalités d’intervention et de composition des équipes de surveillance.}

L’enjeu principal de DORA réside dans le fait de savoir définir une vision convergente entre gestion des risques IT, résilience opérationnelle et cyber.

DORA exige une vision holistique et transverse, qui dépasse la notion de continuité d’activité pour atteindre la véritable résilience opérationnelle numérique.

Il s’agit ainsi de définir une stratégie de résilience opérationnelle globale pour l’organisation, et le Groupe le cas échéant, résultant d’une appétence au risque définie et formalisée.

Celle-ci doit se traduire dans le cadre d’une politique de résilience opérationnelle numérique. Différents éléments peuvent d’ores et déjà exister dans le cadre des politiques et procédures de gestion des risques et/ou de sécurité, pour autant, il s’agit de les mettre en regard afin de bien refléter cette stratégie globale.

Notre retour d’expérience sur les grands chantiers de place actuels est le suivant :

• Renforcer la gestion des risques TIC et l’intégrer pleinement dans la stratégie globale de gestion des risques (Pilier 1)

Pour concrétiser cette vision transverse de la résilience opérationnelle numérique, les acteurs de la place doivent élaborer une cartographie précise de leurs processus métiers et des systèmes d'information qui les soutiennent. Cette cartographie facilite ainsi l’identification des points faibles et surtout des interdépendances critiques.

Elle permet ensuite de formaliser un profil de risque IT global et intégré dans le dispositif de gestion des risques, qui doit être suivi et maintenu à jour afin de refléter les évolutions des menaces et caractéristiques du dispositif de contrôle interne.

• Renforcer le processus de gestion des incidents par paliers (Pilier 2) :

Le dispositif de signalement et de classification des incidents est aujourd’hui déjà en majorité établi chez les acteurs de la place. Néanmoins, outre les processus de qualification des incidents, il s’agit de renforcer la communication de ces derniers auprès des parties prenantes extérieures - en particulier les superviseurs et les clients.

Cela implique la définition d’un plan de communication clair et détaillé pour assurer une notification rapide et efficace des incidents.

Afin de renforcer ce processus, il est recommandé d’implémenter des outils de détection automatique afin de réduire la part manuelle de détection des incidents.

• Finaliser les stratégies de résilience et renforcer les tests (Pilier 3) :

Les acteurs de la place disposent en majorité d’ores et déjà de tests de résilience.

Pour autant, il s’agit d’élaborer une véritable stratégie de tests de résilience, basée sur l’analyse des risques de l’organisation.

• Renforcer le dispositif de maîtrise des fournisseurs de services TIC critiques (Pilier 4)

Il s’agit de définir la liste des fournisseurs TIC critiques sur base de critères objectifs et formalisés, et de recueillir un certain nombre d’informations complémentaires, notamment relatives aux risques que peuvent représenter ces derniers pour la stratégie de résilience de l’organisation.

Il s’agit ainsi de considérer un risque de concentration relatif aux prestataires tiers de services TIC en développant une stratégie multifournisseurs, et de développer des stratégies de sortie considérant notamment l’aspect de récupération des données personnelles.

Une partie de ces informations est nécessaire à la bonne tenue du futur registre d’information qui sera harmonisé pour toutes les organisations.

Cela nécessitera une revue globale des clauses contractuelles de ces prestataires. De plus, la mise en place d’audits réguliers et systématiques des fournisseurs est d’autant plus essentielle afin de garantir le respect des normes de sécurité, et de résilience opérationnelle.

Le règlement DORA prévoit quelques simplifications d’application pour les microentreprises

Il est à préciser que dans le cas des microentreprises, d’une part, le réexamen du cadre de gestion des risques se veut moins fréquent que pour les autres entités financières. D’autre part, elles ne sont tenues de maintenir des capacités en matière de TIC redondantes qu’en fonction de leur profil de risque. Les AES tiendront notamment compte de ce profil mais aussi des caractéristiques propres aux entreprises pour évaluer leur capacité à mobiliser des ressources en cas d’incident. Enfin le régime se veut plus flexible quant aux tests de résilience opérationnelle numérique à effectuer qui s’aligneront sur ces mêmes profils.

Les intermédiaires d’assurance sont assujettis au règlement DORA au même titre que les assureurs

Comme attendu, le règlement DORA concerne les entités du secteur financier (établissements de crédit, entreprises d’assurance et de réassurance, etc.) mais aussi les intermédiaires d’assurance et de réassurance - à condition qu’ils ne soient pas des petites ou moyennes entreprises ou microentreprises, et enfin tous les prestataires de services TIC (cf. article 2).

En synthèse : 

Finalement, si les stratégies cyber, IT et gestion des fournisseurs sont largement en place au niveau des organisations financières aujourd’hui, le règlement DORA vise à les renforcer et à créer une vision convergente en matière de résilience opérationnelle numérique pour tous les acteurs financiers.

Rédactrice : 

Aline Schmitz - Senior Manager - Conseil Assurance