Par Stéphane Astier et Hugues Payen
La place centrale et stratégique des systèmes d'information dans les systèmes bancaires (digitalisation des processus, robotisation, IA…) expose l’ensemble des institutions financières à un risque informatique ou numérique croissant pouvant affaiblir leur résilience opérationnelle, dans un contexte marqué par la multiplication de cyberattaques de plus en plus sophistiquées.
La mise en en commun croissante par ces institutions de leurs ressources techniques et opérationnelles est également source d’une augmentation des risques de détérioration ou d’interruption de service.
Le recours aux prestataires externes qui opèrent pour un certain nombre d’organisations, et deviennent malgré eux des vecteurs de contamination en cas d’incident participe de cette augmentation du niveau d’exposition du secteur bancaire au risque cyber.
Qu'est-ce que le projet DORA ?
C’est dans ce contexte que la Commission européenne a adopté le 24 septembre 2020, le « digital financial package » visant à garantir que le secteur financier puisse tirer parti des possibilités offertes par les technologies de l’information et de la communication (TIC).
Le projet de règlement européen « DORA » (Digital Operational Resilience Act), qui en est issu, a vocation à renforcer la cybersécurité de l’ensemble du secteur financier.
Ce règlement s’appliquera aux acteurs du secteur financier[1] d’ici la fin 2022 et plus particulièrement aux Organismes d’Importances Vitales (OIV)[2] dans le secteur de la finance.
DORA s’articule autour de cinq piliers représentés ci-dessous :
Organiser la gouvernance pour la gestion des risques informatiques autour d’un organe de direction dédié
Un organe de direction sera pleinement responsable de la gestion des risques informatiques de l’entité financière concernée.
Le projet de règlement DORA décline la responsabilité de l’organe de direction en un certain nombre d’exigences[3] :
- Définir clairement les rôles et les responsabilités pour toutes les fonctions liées à l’informatique ;
- Réaliser des examens périodiques de la gestion des risques informatiques ainsi que des processus d’approbation et de contrôle ;
- Allouer un budget approprié à la résilience opérationnelle numérique ainsi que pour les formations concernant ces risques informatiques.
Plus précisément chaque organisme financier devra mettre en place :
- une cartographie des risques,
- des mécanismes de détection des activités anormales (seuils d’alerte, critère de déclenchement des processus de détection des incidents),
- des politiques de sauvegardes, des méthodes de récupération et des politiques de continuité des activités informatiques,
- des procédures de réponse aux incidents et de rétablissement pour garantir la continuité des activités informatiques ainsi qu’une stratégie de communication en cas d’incidents,
- des formations au profit de l’ensemble du personnel concerné.
Création d’un processus harmonisé et centralisé de notification des incidents informatiques
Le projet de règlement DORA met en place un dispositif de signalement harmonisé des incidents auprès d’un guichet unique et selon une méthodologie standard de classification des incidents par des critères spécifiques[4], tels que :
- le nombre d’utilisateurs ou de contrepartie financières touchés,
- la durée de l’incident,
- la répartition géographique des zones touchées,
- la perte de données occasionnée,
- la gravité des effets de l’incident et la criticité des services touchés,
- l’impact économique de l’incident.
Selon cette méthodologie, les incidents désignés comme majeurs devront être signalés à l’autorité de régulation, au plus tard à la fin du jour ouvrable de leur survenance, selon un modèle précis.[5] Un rapport de suivi devra également être fourni à l’autorité de régulation dans la semaine puis dans le mois suivant la notification de l’incident.
Obligation de réaliser des tests de résilience opérationnelle numérique
Le projet de règlement DORA impose de réaliser un programme complet de tests de résilience numérique, selon la taille, l’activité et le profil de risque de l’entité financière concernée[6].
Les organisations les plus critiques (l’Autorité bancaire européenne, l’Autorité européenne des marchés financiers et l’Autorité européenne des assurances et des pensions professionnelles) devront réaliser tous les trois ans des tests de pénétration fondés sur la menace par des testeurs indépendants qui répondent à un certain nombre d’exigences, notamment concernant leur expertise technique.[7]
Neutralisation des risques liés aux tiers prestataires de services informatiques
Les organismes financiers devront disposer d’un niveau de contrôle et de surveillance de leurs tiers prestataires de services informatiques suffisant (en particulier ceux désignés comme critiques) et mettre en place une surveillance spécifique des fournisseurs qui sont essentiels pour le marché dans son ensemble[8].
Plus précisément, avant de conclure avec un tiers prestataire, chaque organisme financier, devra :
- Identifier si celui-ci couvre une fonction critique et évaluer tous les risques pertinents ;
- Vérifier les qualités requises du tiers prestataire tout au long du processus de sélection et d’évaluation;
- S’assurer qu’il respecte des normes élevées, adéquates et actualisées en matière de sécurité de l’information;
- Formaliser un registre des fournisseurs et des prestations rendues.
Chaque accord contractuel devra respecter les exigences posées par l’article 27 du projet de règlement et notamment les motifs de résiliation qui doivent être liés à un risque ou à une preuve de non-conformité du fournisseur et s’accompagner de périodes de transitions obligatoires.
Enfin, les fournisseurs essentiels devront être évalués chaque année au regard des exigences de résilience et notamment : la disponibilité, la continuité, l’intégrité des données, la sécurité physique, les processus de gestion des risques, la gouvernance, la portabilité, les tests etc..[9]
Le partage d’informations entre les entités financières
La proposition de règlement DORA définit une stratégie de communication afin de promouvoir l’échange d’informations sur les cybermenaces entre entités financières et introduit des lignes directrices pour mettre en place des accords de partage d’informations, en incluant des exigences de confidentialité et l’obligation d’informer l’autorité de régulation.[10]
Cette proposition de règlement est encore en discussion entre le Conseil et le Parlement européen mais devrait entrer en vigueur courant 2022.
Il est donc impératif pour l’ensemble des organismes financiers de lancer dès à présent ces chantiers de mise en conformité.
Le département cyber sécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 25 ans en droits des nouvelles technologies et de la communication et en droit de la propriété intellectuelle, se tient à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Contactez nous ici.
[1] Article 2 de la proposition de règlement UE sur la résilience opérationnelle numérique du secteur financier
[2] Selon l’article R. 1332-2 du Code de la Défense un secteur d’activité d’importance vitale concerne les activités qui « ont trait à la production et la distribution de biens ou de services indispensables : a) A la satisfaction des besoins essentiels pour la vie des populations ; b) ou à l’exercice de l’autorité de l’État, c) ou au fonctionnement de l’économie, d) ou au maintien du potentiel de défense, e) ou à la sécurité de la Nation, dès lors que ces activités sont difficilement substituables ou remplaçables […] ».
[3] Article 4 de la proposition de règlement UE sur la résilience opérationnelle numérique du secteur financier
[4] Article 16 de la proposition de règlement UE sur la résilience opérationnelle numérique du secteur financier
[5] Article 17 de la proposition de règlement UE sur la résilience opérationnelle numérique du secteur financier
[6] Article 21 de la proposition de règlement UE sur la résilience opérationnelle numérique du secteur financier
[7] Article 23 et 24 de la proposition de règlement UE sur la résilience opérationnelle numérique du secteur financier
[8] Article 25 de la proposition de règlement UE sur la résilience opérationnelle numérique du secteur financier
[9] Article 30 de la proposition de règlement UE sur la résilience opérationnelle numérique du secteur financier
[10] Article 0 de la proposition de règlement UE sur la résilience opérationnelle numérique du secteur financier