Résilience du système financier : les principes de la réglementation Dora

Le règlement européen Dora (Digital Operational Resilience Act) est entré en vigueur en début d’année, pour une application à tous les États membres en janvier 2025. Une échéance proche, pour laquelle les actions doivent être entreprises dès aujourd’hui.

Conformité

Mettre en place un dispositif de gestion des risques liés au TIC

Ce premier pilier de la construction Dora est essentiel. C’est aussi l’un des plus complexes, car il requiert une approche holistique à travers une connaissance de l’entreprise, de ses métiers et de ses processus, et surtout de l’architecture technologique qui la compose. Une fois ce premier dispositif constitué, le règlement Dora le complète par une obligation de contrôle, qui peut être opérée en continu ou à des fréquences préétablies. Ces contrôles très fins relèvent des aspects métier et procéduraux. Ils comprennent également la couche technologique – jusqu’à la moindre application impliquée dans un processus critique. Si la plupart des institutions financières disposent déjà de ce genre de vérifications, des contrôles IT spécifiques à Dora seront indispensables pour garantir la conformité du SI à cette nouvelle législation.

Les fournisseurs de cloud et ESN également concernés

Conscient de la complexité croissante des systèmes d’information financiers et de la multiplicité des acteurs, le législateur a étendu les obligations de prudence aux services tiers intervenant sur les architectures : les partenaires métier, et surtout les partenaires technologiques. Les éditeurs d’applications, les fournisseurs de cloud et les ESN seront également contraints par le nouveau règlement européen, notamment sur le niveau de service (SLA) et de sécurité qu’ils proposent.

En interne, la question sera aussi de définir la présence d’un tiers de substitution en cas de défaillance ou d’attaque. La concentration de services auprès d’un unique tiers peut constituer un risque en soi : que se passe-t-il si le principal fournisseur de services cloud est attaqué ? Raison pour laquelle il peut être intéressant pour les institutions financières d’élaborer une stratégie multifournisseurs, afin de limiter les risques en cas d’attaque ou de défaillance du tiers concerné.

Tester régulièrement ses capacités de continuité

La continuité d’activité et la menace d’un effet domino ont conduit les institutions à concevoir des plans spécifiques. Des solutions utiles, si ce n’est vitales, à condition qu’elles soient testées régulièrement pour s’assurer de leur pérennité et de leur bon fonctionnement.

Testées, mais aussi mises à jour : la cybersécurité est une discipline vivante qui doit constamment évoluer face à des cybermenaces, elles mêmes très évolutives. Un plan d’investissement continu et une véritable agilité constituent pour les institutions financières une nécessité afin de conserver des dispositifs de cybersécurité à l’état de l’art et de les prémunir contre les risques.

Déclarer et partager les incidents

La règlementation Dora, tout comme le RGPD, institue une nouvelle obligation pour les acteurs du secteur financier : la tenue d’un registre d’incidents pour assurer un audit fiable en cas de contrôle. En cas d’incident majeur, ce registre permettra de prouver que des actions ont été mises en œuvre pour garantir la résistance du SI et la résilience de l’organisation toute entière. Les incidents majeurs devront être déclarés aux autorités de contrôle.

Outre l’identification d’éventuels risques de propagation, il faut établir une base de connaissances sur les attaques et menaces, qui doit être partagée avec les acteurs du secteur, afin d’identifier les bonnes pratiques à déployer. D’où cette nécessité d’un cadre de communication compréhensible par la majorité des collaborateurs. La résilience des institutions est l’affaire de tous, en particulier de la direction générale, de la direction des risques, des achats, mais aussi des DSI.