Par le projet de Règlement DORA (« Digital Operational resilience of the financial sector ») prévu pour fin 2022, l’Union Européenne compte rendre les services financiers adaptés aux nouvelles technologies et plus accessibles aux consommateurs.
Ce projet règlementaire s’inscrit dans la continuité des orientations de l’Autorité Bancaire Européenne de 2019 sur la gestion des risques liés aux TIC (Technologies de l’Information et de la Communication) et à la sécurité des établissements financiers, reprises par l’arrêté du 25 février 2021.
En effet, avec les nouvelles technologies, la source et la nature des incidents informatiques deviennent de plus en plus complexes et leur impact de plus en plus conséquent. Il est donc nécessaire que les établissements mettent en place un plan de continuité d’activité (PCA) en cas d’incident majeur ou de sinistre. Dans un contexte marqué par la multiplication des cyberattaques, les institutions financières sont exposées à un risque informatique ou numérique toujours plus élevé pouvant affaiblir la résilience de leurs opérations en raison de la place centrale et stratégique des systèmes d’informations dans le fonctionnement du système bancaire.
Les accords de Bâle (Basel Committee on Banking Supervision) de 2005 ont introduit, avec les risques bancaires, la notion de risque opérationnel définit comme le risque « de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d’évènements externes ».
Depuis le 24 septembre 2020, l’Union Européenne continue sur cette lancée et cherche à mettre en place un cadre détaillé et complet sur la résilience opérationnelle informatique pour ses institutions. On entend par résilience opérationnelle la capacité d’une organisation à s’adapter à un environnement en constante et rapide évolution.
Cet article est consacré à la compréhension du projet de règlement DORA mais ce n’est pas l’unique acte législatif qui impose, en France, des normes de sécurité pour certains systèmes d’informations. On compte à ce jour plusieurs actes législatifs récents sur la sécurité des systèmes d’information comme les trois lois de programmation militaire (de 2005, de 2013 et de 2018) qui viennent impacter directement certaines entreprises, ou encore la Directive NIS 1 qui a été transposée en droit français par la loi dite « SRSI » (Sécurité des Réseaux et des Systèmes d’Information) n°2018-133 du 26 février 2018.
Le 26 juin 2021, le Haut Comité juridique de la Place financière de Paris (HCJP) a mis en ligne son rapport sur le « Cloud bancaire » concernant l'usage grandissant de la technologie de l'informatique en nuage (cloud) et sa généralisation au sein des métiers bancaires qui soulève d'indéniables enjeux.
Parmi les mesures sur la finance numérique lancées par la Commission Européenne, ce projet de règlementation a pour objectif le renforcement de la résilience des organisations financières en posant un nouveau cadre de surveillance et de contrôle interne en ce qui concerne par exemple les tests de résilience opérationnelle numérique, la gestion des risques et incidents liés aux TIC , la gestion du risque de tiers (en supervisant directement les prestataires de services dits « critiques »), par la déclaration des incidents majeurs liés aux technologies, soit le partage d’informations concernant les cybermenaces.
Voici 5 obligations primordiales que les entités financières traitant avec les prestataires TIC devront respecter pour assurer la gestion des risques liés à leurs dispositifs :
Ce règlement, qui, une fois adopté, sera d’application directe dans les 27 pays membres de l’UE, se penche sur la sécurité informatique des professionnels du secteur financier (professionnels du secteur bancaire, financier ou des assurances par exemple). Ainsi, les entreprises directement concernées par les obligations du projet DORA sont les suivantes :
L’UE gère directement la supervision des prestataires dits « critiques » pour le secteur financier. Les tiers fournisseurs critiques sont sous la surveillance renforcée des AES. DORA constitue le premier cadre de surveillance au niveau de l'UE permettant d’identifier et de superviser les prestataires de services TIC jugés « critiques » pour les institutions financières, sur la base de critères prédéfinis.
Une fois désigné comme « critique », le contrôle du tiers pourra être effectué par l’une des AES, qui pourra mener des audits sur site et hors site, faire certaines recommandations et imposer des amendes pouvant aller jusqu’à 1 % du chiffre d’affaires mondial quotidien en cas de non-conformité règlementaire. L’AES pourra également demander aux entités du secteur des services financiers de mettre fin à leur accord avec le tiers en question.
Ces différentes procédures devraient permettre de renforcer la confiance des entités du secteur des services financiers et les pousser à transférer certaines de leurs activités dans un cloud.
Cependant, les entités assujetties devront potentiellement faire face à certaines normes de localisation complexes et ne seront normalement pas autorisées à utiliser les services d’un prestataire de services TIC qui n’est pas « établi » au sein de l’UE et qui est considéré comme « critique ».
Le futur cadre de surveillance des tiers « fournisseurs TIC critiques » (CTPP) ne supprime cependant pas les responsabilités réglementaires des entités du secteur des services financiers à leur égard. Le projet DORA contient (conformément aux lignes directrices existantes de l’ABE et de l’Autorité européenne des assurances et des pensions professionnelles (AEAPP) les exigences de gestion des risques pour les entités faisant appel à des tiers, surtout en ce qui concerne les clauses d’audit et les clauses contractuelles obligatoires.
CONCLUSION :
DORA concrétise une avancée tant en matière de notification des incidents, de gestion des menaces de cybersécurité, de conduite des tests de résilience que d’encadrement des prestataires de services TIC critiques au niveau de l’UE.
Pour en savoir plus sur la protection des données personnelles retrouvez notre article sur le RGPD.