DORA – Enjeux pour la finance et les ESN
Auteure : Pascaline Allely
1. DORA et la gestion des risques informatiques
1.1. ISO2700 / Bâle 3 / OIV / SRI / DSP2 / RGPD / DSP2
De nombreuses initiatives ont été prises pour renforcer la résilience du système financier à la suite de la crise financière de 2007 et aux nombreuses cyber-attaques afin de palier aux manquements et se prémunir du risque de réputation. Elles se traduisent par des normes, des directives Européennes, des lois d’orientation ou bien sont incluses dans des cadres réglementaires plus généraux.
- ISO 27000 est une série de normes conçues en 2009 pour protéger les actifs d’information des organisations en les guidant dans leur gestion des risques liés au systèmes d’information, de la formulation à l’exécution, de la supervision, de l’ajustement, de l’évaluation et de la maintenance, afin de s’assurer que les actifs d’information sensibles sont sécurisés (données financières, intellectuelles, personnelles et comportementales), qu’il s’agisse de données de première main ou secondaires.
- Les accords de Bâle définissant la notion de risque opérationnel, les accords de Bâle 3 publiés en décembre 2010 visent à garantir un niveau minimum de capitaux propres et renforcer la solidité financière des banques.
- Dans la continuité de sa Loi de programmation militaire, l’état Français a mis en place la Sécurisation des Opérateurs d’Importance Vitale (OIV) en identifiant des secteurs et des entreprises vitales pour le maintient de l’activité du pays qui ont l’obligation, depuis 2016, de mettre en place un plan de Sécurité SI en collaboration avec l’ANSSI. Cela touche l’Energie, le Transport, les Communications, les Banques…
- La Directive concernant la Sécurité des Réseaux et de l’Information SRI (Network and Information System Security NIS), entrée en vigueur en août 2016, a pour objectif de renforcer les capacités de cybersécurité des infrastructures critiques de l’UE. Pour cela, elle impose des obligations de sécurité et de notification des incidents à de nombreux types de fournisseurs de services essentiels et numériques, et exige notamment des États membres qu’ils adoptent des stratégies de cybersécurité nationales et coopèrent entre eux.
- Le Règlement Général sur la Protection des données (RGPD), entré en application en mai 2018, renforce les droits des citoyens de l’Union Européenne et concerne tous les organismes publics et privés collectant ou traitant des données personnelles. Un consentement sur la collecte et le traitement des données doit être émis. Les entités qui collectent et traitent ces données personnelles sont juridiquement responsables en cas de fuite ou d’usage abusif.
- La deuxième Directive européenne sur les Services de Paiement (DSP2), en vigueur en Décembre 2020, comporte un ensemble de dispositions règlementaires visant à encadrer la prestation des services de paiements et renforcer la sécurité des paiements à l’échelle européenne. Les deux principaux domaines affectés par la DSP2 sont l’authentification des clients et l’accès des tiers aux comptes clients.
1.2. DORA
L’absence de règles détaillées et exhaustives sur la résilience opérationnelle numérique au niveau de l’Union Européenne et le manque de coordination entre les initiatives nationales ont engendré des incohérences, des exigences redondantes et des coûts administratifs et de mise en conformité élevés pour les entités financières.
Cette situation fragmente le marché unique, compromet la stabilité et l’intégrité du secteur financier de l’UE et porte atteinte à la protection des consommateurs et des investisseurs.
La Commission Européenne a publié la Digital Operational Resilience Act (DORA) en novembre 2022 pour une mise en application sous deux ans :
Le projet de règlement de la Commission européenne Digital Operational Resilience Act (DORA), a pour objectif d’établir un cadre global pour les institutions financières de l’Union Européenne pour permettre d’unifier la gestion des risques liés aux Technologies de l’Information et de la Communication (TIC).
Il s’articule autour de cinq piliers :
Ce règlement sera appliqué dans les 27 pays membres de l’UE et concerne tous les professionnels du secteur financier appartenant ou ayant des opérations dans l’UE
Ainsi que les prestataires de TIC considérés comme critiques :
Les 5 piliers :
2. Impacts pour les prestataires de services
2.1. Impact pour les ESN
DORA concerne donc également les tiers prestataires de services informatiques tout en ne réduisant en aucun cas les responsabilités des établissements financiers.
- Les tiers fournisseurs TIC devront identifier s’ils sont considérés comme critiques sur la base de critères réglementaires tels que le nombre et le caractère systémique des entités financières qui en dépendent ainsi que son degré de substituabilité.
- Chaque prestataire de services TIC critique sera contrôlé par une autorité de supervision qui évaluera si le prestataire de services a mis en place les dispositifs adéquats de maîtrise des risques liés aux TIC pouvant impacter les institutions financières (article 37).
- L’autorité compétente pourra procéder à des contrôles sur pièces ou sur place (articles 33 à 35) et aura également le pouvoir de prononcer des sanctions en cas de non-conformité. Celles-ci peuvent notamment être des pénalités financières et des astreintes journalières à un taux de 1% du chiffre d’affaires mondial de la précédente année d’exercice réalisé par le prestataire de services TIC concerné, et ce pendant une période totale de 6 mois maximum (article 311).
- Des clauses contractuelles obligatoires doivent être mises en place entre l’établissement financiers et les prestataires de Service. Le régulateur pourra demander aux établissements financiers de mettre fin à leurs accords avec un prestataire.
Tôt ou tard, les établissements financiers travaillant avec des ESN vont leur demander d’être en accord avec la Règlementation DORA.
- Les consultants des ESN seront directement impactés durant leur mission pour des établissements financiers
- Les ESN devront elles-mêmes gérer leur SI au siège selon DORA
- Les ESN devront vérifier que leur propres tierces parties sont en accord avec DORA
2.2. DORA s’inspire de ISO 27000
La démarche de mise en conformité avec DORA est en convergence avec l’application de la norme ISO 27000.
La norme ISO 27002 se découpe en :
- 4 thèmes : Contrôles de l’organisation, Contrôles des personnes, Contrôles physiques, Contrôles techniques.
- 14 chapitres.
- 114 mesures de sécurité.
Pour une ESN cela implique de :
- Désigner un responsable SI et un responsable RSSI.
- Mettre en place une gouvernance impliquant la direction de l’entreprise.
- Qualifier les composants du système d’information : confidentialité, criticité, vulnérabilité.
- Former à la sécurité SI, revoir les contrats ou règlements internes.
- Durcir le système d’information avec des fonctions d’audit, de filtrage, de tolérances aux pannes.
L’objectif n’est pas d’être certifié ISO 27000 mais d’utiliser ce cadre pour répondre aux attentes des entités financières.
ANNEXES
DORA – Article 2 – Personal scope
1.Without prejudice to paragraphs 3 and 4, this Regulation applies to the following entities:
- (a) credit institutions,
- (b) payment institutions, including payment institutions exempted in accordance with Article 32 (1) of Directive (EU) 2015/2366,
- (ba) account information service providers,
- (c) electronic money institutions, including electronic money institutions exempted in accordance with Article 9 (1) of Directive 2009/110/EC,
- (d) investment firms,
- (e) crypto-asset service providers as authorized under MiCA and issuers of assets-referenced tokens,
- (f) central securities depositories,
- (g) central counterparties,
- (h) trading venues,
- (i) trade repositories,
- (j) managers of alternative investment funds,
- (k) management companies,
- (l) data reporting service providers, PE734.260v01-00 58/173 AG\1259083EN.docx EN
- (m) insurance and reinsurance undertakings,
- (n) insurance intermediaries, reinsurance intermediaries and ancillary insurance intermediaries,
- (o) institutions for occupational retirement provision,
- (p) credit rating agencies,
- (r) administrators of critical benchmarks,
- (s) crowdfunding service providers,
- (t) securitisation repositories,
- (u) ICT third-party service providers.
2. For the purposes of this Regulation, entities referred to in paragraph (a) to (t) shall collectively be referred to as ‘financial entities’.
3. This Regulation shall not apply to:
- (a) managers of alternative investment funds referred to in Article 3(2) of Directive 2011/61/EU;
- (b) insurance and reinsurance undertakings referred to in Article 4 of Directive 2009/138/EC;
- (c) institutions for occupational retirement provision which operate pension schemes which together do not have more than 15 members in total;
- (d) natural or legal persons exempted from the application of Directive 2014/65/EU pursuant to Articles 2 and 3 of that Directive; AG\1259083EN.docx 59/173 PE734.260v01-00 EN
- (e) insurance intermediaries, reinsurance intermediaries and ancillary insurance intermediaries which are microenterprises, small or medium-sized enterprises;
- (g) institutions referred to in point (3) of Article 2(5) of Directive 2013/36/EU.
4. Member States may exempt institutions referred to in points (4) to (23) of Article 2(5) of Directive 2013/36/EU that are located within their respective territory from the scope of this Regulation. In case such option is exercised, this Regulation shall not apply to the exempted institutions.
Where a Member State makes use of such option, it shall inform the Commission thereof as well as of any subsequent changes. The Commission shall make the information public on a website or other easily accessible means.
Source : Explorons DORA ! – Almond