Résilience opérationnelle numérique des entités financières au sein de l'Union Européenne
Le règlement DORA (Digital Operational Resilience Act) exige que les entités financières signalent, rapidement et de manière exhaustive, les incidents majeurs liés aux technologies de l'information et de la communication (TIC) aux autorités de surveillance et aux acteurs du marché afin que le système financier de l'Union Européenne (UE) puisse réagir rapidement et de manière appropriée aux perturbations et maintenir la résilience du système.
DORA en bref
Le projet "Digital Operational Resilience" a été publié par la Commission Européenne à la fin du mois de septembre 2020 sous la forme d'une proposition de mesures visant à accroître la numérisation du secteur financier.
L'objectif est de renforcer la compétitivité et l'innovation du marché financier. Le 27 décembre 2022, le règlement DORA a été publié au Journal officiel de l'UE, suite à son adoption par le Parlement Européen le 10 novembre 2022 et par le Conseil de l'UE le 28 novembre 2022. Il entrera en vigueur le vingtième jour suivant sa publication et s'appliquera à partir du 17 janvier 2025 directement dans tous les États membres de l'UE.
DORA stipule que la détection rapide des incidents majeurs liés aux TIC et l'analyse de leurs causes profondes constituent la base d'une gestion efficace des menaces émergentes pour les marchés financiers. Les obligations de déclaration augmenteront en conséquence. Une gestion appropriée et efficace des risques liés aux TIC est considérée comme une condition préalable essentielle, entre autres
Champ d'application et contexte
DORA s'applique, entre autres, aux établissements de crédit, aux établissements de paiement, aux prestataires de services de cryptoactifs, aux entreprises d'assurance et de réassurance, aux gestionnaires d'actifs et aux tiers fournisseurs de services TIC.
DORA vise à étendre et unifier les normes et exigences européennes et nationales existantes afin de créer un cadre détaillé, harmonisé et complet pour la résilience opérationnelle numérique des entités financières de l'UE.
DORA : Les exigences dans les grandes lignes
DORA exige un cadre complet de gestion des risques liés aux TIC comme base de la résilience des entreprises financières. L’organisme de direction assume la responsabilité ultime de la gestion du risque lié aux TIC de l'entité financière.
Exemple de mise en œuvre : Cadre cohérent de gouvernance et de contrôle pour la gestion efficace des risques liés aux TIC.
DORA prévoit de renforcer le processus de gestion des incidents, à travers :
- La mise en place de processus de gestion des incidents TIC afin de détecter, de gérer et de notifier les incidents liés aux TIC.
- La classification des incidents liés aux TIC et des cybermenaces.
- L’obligation de déclaration des incidents majeurs liés aux TIC et la notification volontaire des cybermenaces importantes aux autorités compétentes.
Une approche basée sur les risques garantit que les systèmes informatiques critiques et importants sont régulièrement testés pour leur résilience opérationnelle et leur protection contre les perturbations potentielles.
Exemple de mise en œuvre : Un test d’intrusion basé sur les menaces doit être effectué au moins tous les trois ans sur les systèmes de production.
DORA aborde en détail la gestion et la surveillance des risques liés aux prestataires tiers de services TIC, en définissant notamment : Les principes clés à appliquer en matière de gestion des risques liés aux prestataires TIC :
- La tenue d'un registre répertoriant tous les accords contractuels, en distinguant ceux qui couvrent des fonctions critiques du reste ;
- Des exigences contractuelles minimales pour une surveillance complète du risque lié aux tiers ;
- Un cadre de surveillance européen pour les tiers critique. Exemple de mise en œuvre : Introduction de pénalités et de nouvelles options de résiliation en cas de non-respect des exigences DORA.
DORA habilite les entités financières à mettre en place des dispositifs permettant d'échanger des informations et des renseignements sur les menaces cyber, afin de soutenir et développer les capacités défensives et les techniques de détection.
Exemple de mise en œuvre : Mise en place de dispositifs de partage d'informations définissant les conditions à respecter pour y participer, ainsi que les aspects opérationnels de ce partage, y compris de l'utilisation de plateformes spécialisées.
- Complexité de mise en place d'un cadre cohérent de gestion des risques liés aux TIC et d'une gouvernance dans différentes disciplines.
- Obligations de déclaration étendues et normalisées.
- Exigences renforcées en matière de gestion des risques liés aux TIC pour les tiers.
Que peuvent faire les entités financières pour relever ces défis ?
1. Comprendre qu'une approche cohérente est nécessaire
Les entités financières devront procéder à des changements pour se conformer à la nouvelle réglementation. Cela signifie également qu'elles devront répondre aux attentes plus cohérentes des autorités de surveillance en termes de gestion des risques, de contrôles et de reporting. Dans certains cas, une refonte des modèles opérationnels sera nécessaire.
2. Connaitre sa situation actuelle
Les entités financières doivent connaître leur niveau de maturité DORA actuel. La première étape consiste à identifier les écarts et à mobiliser les ressources nécessaires pour planifier et mettre en œuvre une transition réussie. Pour ce faire, il convient de tenir compte des autres projets déjà en cours.
3. Estimer les coûts potentiels engendrés
Selon le niveau de maturité actuel des entités financières, les exigences supplémentaires de DORA vont de pair avec une augmentation des investissements et des ressources. D'une part, les objectifs de rentabilité futurs ou les projets en cours peuvent être compromis, mais d'autre part, les opportunités offertes par la digitalisation du contrôle interne peuvent également être prises en compte en plus des exigences de conformité.
4. Saisir l’opportunité
Il ne faut pas appréhender DORA juste sous le volet obligatoire de la conformité. En harmonisant les réglementations, DORA offre aux entités financières la possibilité d’harmoniser les processus et pratiques de gestion du risque TIC, même au niveau international. Cela permettra d’atteindre un niveau élevé de résilience opérationnelle dans toute l'organisation. Par ailleurs, l'automatisation peut apporter un potentiel d'optimisation supplémentaire pour une gestion uniforme du risque TIC, avec l’utilisation d'outils de GRC ou de gestion des contrats
Conclusion
En résumé, DORA est une réponse à l'environnement technologique de plus en plus complexe dans lequel les sociétés financières opèrent. Le marché financier européen a plus que jamais besoin d'être préparé et de réagir efficacement aux incidents informatiques majeurs.
Comment KPMG peut vous aider ?
Certaines des exigences de DORA n'entraîneront pas de changements majeurs dans les cadres et dispositifs actuels. Toutefois, d'autres exigences nécessiteront de réaliser certains chantiers susceptibles de prendre davantage de temps, de coordination et d'efforts de la part des parties prenantes impliquées. Ainsi, KPMG peut vous aider pour :
Analyser les gaps pour la mise en conformité avec la réglementation DORA et établir des plans d'action pour la mise en conformité.
Examiner les stratégies, politiques, procédures, protocoles et outils TIC et définir un cadre de gestion des risques TIC.
Mettre en place un système de management de la sécurité de l'information pour protéger la confidentialité, l'intégrité et la disponibilité des actifs informationnels.
Améliorer la gestion des risques TIC liés aux tiers (TPRM).
Améliorer les procédures de gestion des incidents de sécurité et du plan de réponse aux incidents.
Mettre en œuvre des politiques, des procédures et des contrôles pour la gestion des changements dans les TIC.
Établir et réviser les mécanismes de reprise de l'activité dans le domaine des TIC (par exemple, PCA, PRA, BIA, etc.)
Proposition des formations pour sensibilisation des collaborateurs à la sécurié IT.
Notre approche de l'analyse des écarts de conformité DORA
Notre approche pour l’analyse des écarts avec le règlement DORA est structurée en cinq phases. Nous analysons la gouvernance, les politiques et procédures existantes, nous organisons des ateliers et des entretiens avec les personnes responsables du sujet et, si nécessaire, nous vérifions l'état réel de la mise en œuvre des dispositifs. Des projets pertinents en matière de conformité ou de cyber défense peuvent être identifiés lors de l’analyse des écarts. Ainsi, nous fournissons un plan d'action avec des propositions de dispositifs classés par ordre de priorité, ainsi qu’une feuille de route et une estimation de l'effort nécessaire pour combler les écarts identifiés.
01
Lancement et cadrage
Cadrage du projet, définition du périmètre d'intervention, définition des parties prenantes, validation du planning du projet.
02
Recueil des informations et analyse
Identification des écarts avec la réglementation sur la base des entretiens, ateliers de travail et documents obtenus.
Analyse des écarts par les experts KPMG.
03
Rapport de Gap Analysis
Synthèse des écarts avec la réglementation.
Recommandations priorisées pour une mise en conformité DORA.
04
Établissement de la feuille de route
Élaboration d'une feuille de route détaillée des actions de mise en conformité à engager.
Présentation et implémentation de la feuille de route.
