Avoconseil

Contact
Toutes les
actualités Actualités
juridiques Actualités
Avoconseil

12
03 2024

  .  Par Arnaud QUILTON

Règlement DORA : quels impacts pour les entités financières et pour les prestataires informatiques ?

 

La numérisation accrue de la société ainsi que l’apparition de multiples règlementations nationales touchant spécifiquement le secteur de la finance ont contraint le législateur européen à élaborer un texte visant à harmoniser au sein de l’Union européenne les règles applicables en matière de risque informatique.

Dans ce cadre, le Digital Operational Resilience Act, aussi dénommé « règlement DORA », a été adopté par le Parlement européen et le Conseil le 14 décembre 2022 et est entré en vigueur le 16 janvier 2023. Il s’appliquera directement aux Etats membres de l’Union européenne vingt-quatre mois plus tard, soit à compter du 17 janvier 2025[1].

Ce texte part du principe que, concernant les entités financières, « le respect d’une hygiène informatique de base devrait […] éviter à l’économie d’avoir à supporter des coûts considérables, en réduisant au minimum les incidences et les coûts des dysfonctionnements des TIC »[2].

Son ambition est de garantir la « résilience opérationnelle numérique » des acteurs du secteur financier : celle-ci y est définie comme la capacité d’une entité financière à développer, garantir et réévaluer l’intégrité opérationnelle de son système d’information.

L’objectif est donc d’uniformiser les process liés à l’identification et à la gestion des risques numériques au sein du secteur financier afin d’assurer, en cas d’indicent, la continuité des services associés, ceux-ci étant assimilés à des services critiques.

Par ricochet, les prestataires de services numériques sont impactés par ces mesures dès lors qu’ils travaillent, en tant que sous-traitants ou fournisseurs, pour les entités financières.

[1] Plusieurs textes complémentaires viendront compléter et affiner le règlement DORA d’ici là.

[2] Règlement (UE) 2022/2554 du parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (ci-après « Règlement DORA ») et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011, para. 13. Disponible à l’adresse : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022R2554

I. Qui est concerné par le règlement DORA ?

Une multitude d’institutions financières et de professionnels du secteur financier (PSF) sont concernés par ce règlement et notamment[1] :

  • Les établissements de crédit ;
  • Les établissements de paiement ;
  • Les prestataires de services de communication de données ;
  • Les établissements de monnaie électronique ;
  • Les entreprises d’investissement ;
  • Les prestataires de services sur crypto-actifs agréés en vertu du règlement du Parlement européen et du Conseil sur les marchés de crypto-actifs ;
  • Les plates-formes de négociation ;
  • Les gestionnaires de fonds d’investissement alternatifs ;
  • Les sociétés de gestion ;
  • Les entreprises d’assurance et de réassurance ;
  • Les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire ;
  • Les prestataires de services de financement participatif.

Plus important encore, les entreprises tierces fournissant aux entités financières des services numériques sur des fonctions jugées critiques ou importantes sont elles aussi concernées par ce règlement. Les prestataires informatiques/techniques, tels que les éditeurs d’applications mobiles ou de logiciels en mode SaaS ou encore les hébergeurs doivent, dès lors qu’ils fournissent des services à ces professionnels, être en conformité avec DORA.

Il est précisé qu’en vertu du principe de proportionnalité, certaines entités de ce secteur pourront bénéficier d’un régime simplifié et même être exemptées si elles sont considérées comme des entreprises de petite taille ou de taille moyenne.

[1] Voir la liste énumérée à l’article 2 du Règlement DORA.

II. Quelles sont les principales mesures prévues par le règlement DORA ?

  • Gouvernance des risques numériques

En premier lieu, les organes de direction des entités financières concernées doivent avoir un rôle majeur dans l’application des dispositions du règlement DORA. Ils doivent assurer l’identification des risques numériques ainsi que la gestion et le suivi de la mise en œuvre des processus afférents.

C’est la raison pour laquelle les entités financières se doivent, pour atteindre un niveau de résilience opérationnelle adéquat, de disposer d’organes de gouvernance et de contrôle internes dédiés aptes à garantir le respect des règles applicables, étant précisé que les organes de direction de l’entité assumeront « l’entière et l’ultime responsabilité » en la matière.

Ces organes doivent donc réduire au minimum l’incidence des risques informatiques en déployant des stratégies, des politiques, des procédures, des protocoles et des outils adéquats, tels que définis dans le cadre de gestion des risques informatiques. Ils fournissent en outre des informations complètes et actualisées sur les risques informatiques, conformément aux exigences des autorités compétentes.

  • Cadre de la gestion des risques : Cartographie et contrôle

Tout comme le règlement général sur la protection des données (RGPD) en son temps, le législateur européen a axé sa réflexion en matière de risques numériques sur la prévention, la cartographie et le contrôle (ou l’auto-contrôle).

L’organe de gouvernance précité joue ainsi un rôle déterminant puisqu’il doit cartographier précisément le système informatique en place et préciser les méthodes permettant de parer aux risques informatiques en :

  • a) expliquant la manière dont le cadre de gestion du risque lié aux Technologies d’Informations et de la Communication (TIC) soutient la stratégie d’entreprise et les objectifs de l’entité financière ;
  • b) déterminant le niveau de tolérance au risque lié aux TIC, en fonction de l’appétit pour le risque de l’entité financière, et en analysant la tolérance à l’incidence des dysfonctionnements des TIC ;
  • c) définissant des objectifs clairs en matière de sécurité de l’information, y compris des indicateurs de performance clés et des indicateurs de risque clés ;
  • d) décrivant l’architecture des TIC de référence et les changements nécessaires pour atteindre des objectifs spécifiques de l’entité financière ;
  • e) présentant les différents mécanismes mis en place pour détecter et prévenir les incidents liés aux TIC, ainsi que pour se protéger contre leurs effets ;
  • f) déterminant la situation actuelle en matière de résilience opérationnelle numérique sur la base du nombre d’incidents majeurs liés aux TIC signalés et de l’efficacité des mesures de prévention ;
  • g) mettant en œuvre des tests de résilience opérationnelle numérique, conformément au chapitre IV du présent règlement ;
  • h) définissant une stratégie de communication en cas d’incidents liés aux TIC qui doivent être divulgués »[1].

Cette cartographie doit aussi permettre de lister, classer et documenter, au moins une fois par an – et de manière adéquate -, toutes les fonctions opérationnelles des systèmes d’information, les actifs d’information associés ainsi que les configurations des systèmes informatiques et les interconnexions avec les systèmes informatiques internes et externes.

Les organes de gouvernance doivent aussi s’assurer de contrôler, via une fonction dédiée, l’adéquation et la fiabilité des systèmes informatiques utilisés et ce à un rythme régulier.

Ils peuvent à ce titre procéder ou faire procéder à des tests réguliers permettant de vérifier la bonne adéquation de leurs équipements informatiques aux exigences de résilience opérationnelle numérique. Ceci se caractérise notamment par la mise en place de tests d’intrusion sur les services fournis par des prestataires externes. Notons que pour les entités financières dont la défaillance aurait des effets systémiques, celles-ci doivent intégrer la possibilité de faire, a minima tous les trois ans, des tests avancés au moyen d’un « test de pénétration fondé sur la menace ».

  • Signalement des incidents majeurs liés au TIC et notification volontaire des cybermenaces importantes

Par « incident », il est ici entendu tout évènement imprévu détecté dans les réseaux et les systèmes d’information, « événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière »[2].

Par « cybermenace importante », le texte renvoie à la définition inscrite dans le RÈGLEMENT (UE) 2019/881 relatif à l’Agence de l’Union européenne pour la cybersécurité. La cybermenace y est définie comme « toute circonstance, tout événement ou toute action potentiels susceptibles de nuire ou de porter autrement atteinte aux réseaux et systèmes d’information, aux utilisateurs de tels systèmes et à d’autres personnes, ou encore de provoquer des interruptions de ces réseaux et systèmes »[3].

Le règlement DORA impose la mise en place d’un processus particulier de gestion de ces incidents permettant de les détecter, de les catégoriser puis de les notifier aux autorités compétentes.

Tous les incidents de ce type doivent avoir fait l’objet d’une analyse d’impact, en fonction notamment du nombre d’utilisateurs concerné, de la durée de l’incident ou encore de ses conséquences financières. Les procédures correspondantes doivent être impérativement documentées.

S’agissant des cybermenaces importantes, leur signalement aux autorités compétentes s’opérera sur la base du volontariat, lorsque les entités financières estiment que la cybermenace est suffisamment grave pour le « système financier, les utilisateurs des services ou les clients ».

En France, et à compter du 17 janvier 2025, le signalement de l’incident et de la cybermenace s’opérera auprès du régulateur national, en l’espèce l’AMF ou l’ACPR.

III. Focus sur les contrats souscrits avec les prestataires tiers

Le règlement DORA impose aux entités financières de tenir un véritable registre des contrats souscrits avec les sous-traitants et fournisseurs tiers de services numériques.

Au stade de l’avant contrat, elles doivent faire preuve de diligence en évaluant notamment le risque de concentration auprès d’un même prestataire de services. De même, il sera pertinent d’établir un véritable cahier des charges à destination des prestataires et reprenant les obligations prévues par DORA.

Ces entités doivent en outre passer en revue les contrats avec les sous-traitants et les fournisseurs de services numériques en s’assurant i) que certaines clauses sont impérativement présentes et ; ii) que le fournisseur et/ou le prestataire respecte(nt) les « normes adéquates en matière de sécurité de l’information »[4].

L’objectif est notamment, pour les entités financières, qu’elles puissent se retirer des accords en question sans perturber leurs activités et sans porter atteinte à la continuité et à la qualité des services fournis à leurs clients.

Ces clauses sont précisées aux articles 28 et suivants du règlement DORA et elles prévoient entre autres :

  • Une description claire des droits et obligations des parties ainsi que des services fournis par le prestataire (Référence à l’article « objet » du contrat concerné) ;
  • Les lieux, notamment les régions ou les pays, où les services et fonctions visés par le contrat ou la sous-traitance seront fournis et où les données seront traitées, y compris le lieu de stockage, et l’obligation pour le prestataire tiers de services d’informer au préalable l’entité financière si celui-ci envisage de changer ces lieux (Référence aux articles « Sous-traitance » / « Lieu d’exécution des prestations » / « Lieu de stockage des données» du contrat concerné) ;
  • Des dispositions sur la disponibilité, l’authenticité, l’intégrité et la confidentialité en ce qui concerne la protection des données, y compris les données à caractère personnel (Référence aux articles « Engagements de niveaux de services ou SLA » / « Sécurité » du contrat concerné) ;
  • La possibilité pour l’entité financière de faire des tests d’intrusion sur les services fournis par des prestataires externes. Rappelons que pour les entités financières dont la défaillance aurait des effets systémiques, celles-ci doivent intégrer la possibilité de faire, a minima tous les trois ans, des tests avancés au moyen d’un test de pénétration fondé sur la menace (Référence à l’article « Test d’intrusion» / « Sécurité » du contrat concerné).
  • Des dispositions sur la garantie de l’accès, de la récupération et de la restitution, dans un format facilement accessible, des données à caractère personnel et autres traitées par l’entité financière en cas d’insolvabilité, de résolution, de cessation des activités du prestataire tiers de services TIC ou de résiliation des accords contractuels (Référence à l’article « Réversibilité » du contrat concerné) ;
  • Une description précise des niveaux de service, y compris leurs mises à jour et révisions (Référence à l’article « Engagements de niveaux de services ou SLA » du contrat concerné).

Si ce n’est pas déjà fait, il s’agit donc pour les entités financières de mettre en œuvre une véritable méthodologie juridique – et en l’espèce contractuelle – afin de se conformer aux exigences de la réglementation.

IV. Quelles sanctions en cas de non-respect du règlement DORA ?

  • Pour les entités financières

Le texte prévoit que chaque pays membre disposera, via leurs autorités compétentes, de pouvoirs de surveillance, d’investigation et de sanction en cas de non-respect des règles édictées.

Les Etats pourront donc adopter « tout type de mesure, y compris de nature pécuniaire, propre à garantir que les entités financières continueront à respecter leurs obligations légales »[5].

  • Pour les prestataires tiers critiques de services numériques

L’autorité européenne de surveillance pourra quant à elle contrôler la conformité des prestataires tiers « critiques » de services numériques et, éventuellement, les sanctionner.

A ce titre, les prestataires tiers « critiques » récalcitrants pourront se voir imposer une astreinte « sur une base journalière » et pendant six mois égale à « 1 % au maximum [de son] chiffre d’affaires quotidien moyen réalisé au niveau mondial »[6].

[1] Règlement DORA, Section II, Article 6, para. 8.

[2] Règlement DORA, Article 3, « Définitions ».

[3] Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, Article 2, « Définitions ».

[4] Règlement DORA, article 28, para. 5.

[5] Règlement DORA, Article 5, para. 9.

[6] Règlement DORA, Article 35, para. 8.

 

 

**************

Compte tenu de l’importance de ce texte et de la multitude des processus afférents à mettre en œuvre, il importe pour les acteurs concernés (acteurs financiers et prestataires IT) d’amorcer au plus tôt les travaux de mise en conformité afin d’être prêts pour le 17 janvier 2025.

Ces acteurs peuvent notamment s’appuyer un lot de normes techniques, d’implémentation et de lignes directrices (« RTS », « ITS » et « GL ») censées faciliter la mise en œuvre opérationnelle.

Mais nul ne doute que les premiers impactés par la mise en place de ces mesures sont les services juridiques et/ou les services compliance des entités financières qui doivent impérativement :

  • Prévoir des processus adaptés pour la négociation des futurs contrats avec les prestataires/sous-traitants informatiques ;
  • Répertorier et revoir les contrats en cours – et concernés – en vérifiant si les clauses souscrites sont conformes au règlement DORA.
Toutes
les actus >