Le secteur financier dépend de plus en plus de la technologie pour fournir des services à ses clients. Cela rend les entités financières vulnérables aux risques d’incidents et de cyberattaques. DORA fait partie du paquet législatif de l'Union européenne visant à adapter le cadre juridique au développement dynamique de la technologie dans ce secteur. Les dispositions du règlement s'appliqueront à plus de 22 000 institutions financières dans les pays de l'UE.
Une mauvaise gestion des risques liés aux TIC peut entraîner des perturbations dans la fourniture de services financiers au niveau national et transfrontalier. Cela a à son tour un impact sur d’autres entreprises, secteurs et souvent sur l’ensemble de l’économie, ce qui détermine l’importance de la résilience numérique opérationnelle et garantit la stabilité et l’intégrité du secteur financier.
Dans ce contexte, entre en jeu le règlement du Parlement européen et du Conseil relatif à la loi sur la résilience opérationnelle numérique (« DORA »), qui introduit un cadre étendu pour la gestion des risques TIC et la continuité des activités. Le règlement est entré en vigueur le 16 janvier 2023 et sera applicable à partir du 17 janvier 2025.
L'objectif de DORA est de construire et de maintenir une résilience opérationnelle numérique dans un environnement de cybermenace en évolution dynamique dans le secteur des services financiers, qui est constamment exposé à une variété d'attaques avancées.
DORA harmonise les règles de résilience opérationnelle du secteur financier applicables à 20 types différents d’entités financières et de prestataires de services TIC tiers, notamment : banques, établissements de paiement, sociétés d'investissement, compagnies d'assurance, gestionnaires d'actifs, fournisseurs de services cloud et plateformes de financement participatif. Les dispositions du règlement s'appliqueront à plus de 22 000 institutions financières dans les pays de l'Union européenne.
Par conséquent, les entités opérant dans le secteur financier sont tenues d'introduire des politiques et des procédures appropriées pour appliquer des mesures efficaces de contrôle de la gestion des risques afin de limiter leur impact potentiel sur les informations, notamment en empêchant le vol ou la destruction de données ainsi qu'en empêchant les perturbations des opérations clés. sécuriser les entrepreneurs et les clients.
Les fournisseurs de services
DORA définit le périmètre de gestion des prestataires de services TIC pour permettre une surveillance complète des risques par l'entité financière à toutes les étapes de la coopération. Il s’agit notamment d’entreprises fournissant, entre autres : logiciels, services cloud ou centres de données. Afin de préserver la stabilité du système financier de l'Union et l'intégrité du marché unique des services financiers, les principaux prestataires externes de services TIC devraient être soumis au cadre de surveillance de l'Union.
Les accords entre les principales institutions financières et les prestataires de services TIC devraient préciser une description complète des fonctions et des services, l'indication du lieu de traitement des données, les règles d'accès, la garantie de la sécurité et de l'intégrité des données, les procédures en cas de défaillance, ainsi que l'obligation de déclaration. Incidents TIC et assistance à leur traitement. Vous devez également garantir votre droit d'accès pour auditer et contrôler le fournisseur et préciser votre obligation de coopérer avec les autorités de contrôle.
Les dispositions du Règlement s'appliquent également aux fournisseurs de l'Union européenne et des pays tiers.
Tester la résilience numérique opérationnelle
Les entités financières sont tenues de mettre en œuvre au moins une fois par an un programme étendu de tests opérationnels de résilience numérique sur les systèmes de production, qui fait partie intégrante du système de gestion des risques TIC. L'infrastructure, tous les systèmes et applications TIC clés doivent être testés pour évaluer l'état de préparation de l'organisation en cas d'incidents et en même temps identifier les lacunes ou les vulnérabilités dans la résilience numérique opérationnelle. Si une menace est détectée, l'entité examinée doit prendre des mesures correctives.
Un programme opérationnel détaillé de tests de résilience numérique comprend un certain nombre de tests, de méthodologies, de pratiques et d'outils permettant le diagnostic des risques. En particulier, les tests doivent inclure une évaluation de la vulnérabilité, l'identification des déficiences physiques, des contrôles de sécurité, des examens de l'architecture, de la configuration, des logiciels, de la compatibilité, des performances, des simulations de pannes et de cyberattaques, des examens des plans de continuité d'activité et de reprise, ainsi que des tests d'ingénierie sociale, par exemple le phishing. . La connaissance et la sensibilisation aux cybermenaces parmi les salariés de l'entreprise doivent également être vérifiées.
Sur la base d'une analyse des menaces, les entités financières sont tenues d'effectuer au moins une fois tous les trois ans des tests d'intrusion avancés TLPT (Threat-Led Penetration Testing), qui affectent les fonctions critiques des systèmes TIC.
Les testeurs doivent assurer une bonne gestion des risques associés à la réalisation des tests. Cela signifie recourir aux services de testeurs expérimentés qui possèdent des compétences techniques et organisationnelles, font preuve de connaissances professionnelles, sont certifiés par un organisme d'accréditation, jouissent d'une bonne réputation et adhèrent à des principes éthiques.
S'il existe des prestataires de services TIC externes, l'entité financière garantit la participation de ces prestataires au processus de test.
Incidents de sécurité
Un incident lié aux TIC désigne un événement imprévu, provoqué par une panne matérielle ou logicielle ou provoqué intentionnellement par des tiers, qui menace la sécurité des réseaux et des systèmes informatiques, des informations stockées ou transmises via ces systèmes, ayant un impact négatif sur leur disponibilité, confidentialité, intégrité et, par conséquent, continuité des services financiers fournis par une entité financière. DORA établit des règles pour répondre de manière proactive à ces types d'incidents.
Un incident informatique majeur désigne un événement ayant un impact négatif potentiel élevé sur les réseaux et les systèmes d'information qui soutiennent les fonctions critiques d'une entité financière. Un tel incident doit être obligatoirement signalé à l'autorité de surveillance – l'Autorité polonaise de surveillance financière. Un rapport intermédiaire doit être remis au plus tard une semaine après la notification initiale, puis, après analyse des causes et des effets de l'incident, un rapport final, mais au plus tard un mois plus tard. L'Autorité polonaise de surveillance financière transmet des informations sur l'incident à l'Autorité européenne de surveillance.
Lorsqu'un incident grave lié aux TIC a ou est susceptible d'affecter les intérêts financiers des clients, l'entité financière devrait informer ses clients sans retard injustifié et des mesures qui ont été prises pour limiter les effets négatifs d'un tel incident.
Avantages de la mise en œuvre de DORA
La mise en œuvre de DORA impliquera des dépenses en infrastructures, des activités opérationnelles supplémentaires et des changements organisationnels au sein des institutions financières. Toutefois, un effet positif sera une augmentation de la sécurité des réseaux et des systèmes TIC, ce qui se traduira par une plus grande résistance opérationnelle aux cybermenaces.
En exigeant des systèmes de sécurité numérique avancés, les institutions financières seront en mesure de mieux se protéger contre les cyberattaques, de répondre aux menaces potentielles, de mieux gérer les situations de crise, de minimiser les risques de perte de données, d'interruption d'activité ou de vol d'actifs financiers, ainsi que d'éviter les pénalités et perte de réputation. La mise en œuvre de DORA dans une institution financière contribuera à améliorer l'efficacité opérationnelle et à accroître la confiance de ses clients.