DORA, ou la résilience opérationnelle informatique
Publié le 19 octobre 2020
Aujourd’hui, la Commission européenne a publié son projet de loi sur la résilience opérationnelle informatique (« DORA » ou « Digital Operational Resilience Act ») à l’attention des services financiers. La proposition législative s’appuie sur les exigences existantes en matière de gestion des risques liés aux technologies de l’information et de la communication (TIC) déjà élaborées par d’autres institutions de l’UE et réunit plusieurs initiatives européennes récentes en un seul règlement.
La DORA vise à établir un socle beaucoup plus clair pour les régulateurs et les superviseurs financiers de l’UE afin qu’ils puissent élargir leur champ d’action et ne plus se contenter de veiller à la résilience financière des entités, mais qu’ils soient également en mesure de maintenir la résilience des opérations en cas de grave perturbation opérationnelle.
Ce texte comprend l’évaluation des notions les plus importantes de la proposition « DORA », et les implications pratiques que ces réformes pourraient avoir pour les entités assujetties. Il s’agit notamment des éléments suivants :
- Faire entrer dans le périmètre réglementaire les tiers « fournisseurs TIC critiques » (« CTPP » ou « Critical Third Party Provider »), en y intégrant les fournisseurs de Cloud (« CSP » ou « Cloud Services Provider »). Ceux-ci seraient supervisés par l’une des autorités européennes de surveillance (AES), qui aurait le pouvoir de demander des informations, de mener des audits sur site et hors site, d’émettre des recommandations et des demandes, et d’imposer des amendes lorsque nécessaire ;
- Etablir des normes européennes pour les tests de résilience opérationnelle informatique, en laissant pour le moment de côté la reconnaissance transfrontalière automatique des tests d’intrusion (« TLPT » ou « threat-led penetration testing »). L’objectif final étant l’harmonisation des règles locales dans toute l’UE ;
- Harmoniser les règles de gestion des risques liés aux TIC dans l’ensemble du secteur des services financiers, sur la base des lignes directrices existantes ;
- Harmoniser la classification et la déclaration des incidents liés aux TIC et créer un centre européen unique pour centraliser les déclarations d’incidents majeurs des institutions financières liés aux TIC.
La proposition de DORA intervient alors que les régulateurs du monde entier examinent de plus près comment ils peuvent renforcer la résilience opérationnelle du secteur financier et des entités individuelles qui le compose. Nous avons analysé les initiatives les plus significatives prises par d’autres régulateurs dans le monde dans notre rapport récemment publié « Resilience without borders ».
Nous nous attendons à ce que la DORA soit négociée par les institutions européennes au cours des 12 à 18 prochains mois, et que d’autres textes de droit dérivés soient élaborés par la suite. Toutefois, sur la base du projet de texte actuel, nous pensons que les entités devraient envisager les actions suivantes :
- Les tiers « fournisseurs TIC » devront identifier s’ils sont considérés comme « critiques ». Ceux qui le sont devront peut-être créer de nouvelles équipes de réglementation et analyser comment elles peuvent se conformer au mieux au cadre de surveillance en cours d’élaboration ;
- Les acteurs majeurs du secteur se doivent de suivre de près les AES et les précisions qu’elles apporteront concernant les critères qui obligeront les entités à effectuer des tests d’intrusion (TLPT). Les nouveaux assujettis devront élaborer une stratégie pour utiliser au mieux les résultats de ces tests avancés.
- Si bon nombre d’acteurs majeurs appliquent déjà la plupart des exigences de la DORA en matière de gestion des risques liés aux TIC, elles devront s’assurer que leur plan de continuité d’activité (PCA) répond de manière appropriée aux règles élargies dans ces domaines ;
- Toutes les entités devront développer ou modifier leurs processus de notification des incidents conformément aux nouvelles règles et pourraient envisager de les aligner sur leurs processus de reporting interne afin d’optimiser l’allocation des ressources.
Les tiers « fournisseurs TIC critiques » (CTPP) sont intégrés dans le périmètre réglementaire et donc sous la surveillance renforcée des AES
Depuis un certain temps, les régulateurs réfléchissent à la manière de gérer l’exposition de plus en plus importante des services financiers par rapport à leurs prestataires de services. La législation proposée permettrait de désigner comme « critique » un tiers fournisseur de TIC sur la base de critères tels que le nombre et le caractère systémique des entités financières qui en dépendent et son degré de substituabilité. Une fois désigné comme « critique », le contrôle du tiers sera effectué par l’une des AES, qui pourra réaliser des audits sur site et hors site, émettre des recommandations et, surtout, imposer des amendes pouvant aller jusqu’à 1 % du chiffre d’affaires mondial quotidien en cas de non-respect de la réglementation ou demander aux entités du secteur des services financiers de mettre fin à leur accord avec le tiers en question.
La plupart des entités du services financiers devraient accueillir favorablement l’introduction d’un cadre de surveillance leur fournissant une plus grande sécurité juridique quant à ce qui est autorisé, et un niveau d’assurance sur la sécurité de leurs actifs situés dans le Cloud. Globalement, cela devrait renforcer la confiance des entités du secteur des services financiers et les pousser à transférer certaines de leurs activités dans un Cloud, grâce à l’élaboration par la Commission Européenne de clauses contractuelles standard.
Toutefois, les entités assujetties devront potentiellement faire face à certaines règles de localisation complexes et ne seront normalement pas autorisées à utiliser les services d’un prestataire de services TIC qui n’est pas « établi » au sein de l’UE et qui serait considéré comme « critique ».
Le futur cadre de surveillance des tiers « fournisseurs TIC critiques » (CTPP) ne supprime ou ne réduit en aucun cas les responsabilités réglementaires des entités du secteur des services financiers à leur égard. La DORA contient (conformément aux lignes directrices existantes de l’ABE et de l’AEAPP) les exigences de gestion des risques pour les entités qui font appel à des tiers, notamment en ce qui concerne les clauses d’audit et les clauses contractuelles obligatoires.
Test de résilience opérationnelle informatique : une approche à l’échelle de l’UE pourrait aider les entités à rationaliser leurs coûts
Depuis plusieurs années, un cadre national a été élaborés concernant la réalisation de tests d’intrusion (TLPT) et qui sont, pour certains types d’infrastructures de marchés financiers (IMF), déjà obligatoires au niveau de l’UE.
La DORA développe ce sujet de deux manières. Premièrement, les critères de seuil identifiant les entités où ces tests deviendraient obligatoires, et leur application paneuropéenne qui augmentera probablement le nombre d’entités qui devront les réaliser de manières obligatoires et régulières. Les critères exacts de ces tests seront précisés prochainement par les AES. Les entités des pays qui n’ont pas encore mis en place des tests d’intrusion, ou qui n’étaient pas concernées de par leur juridiction, peuvent dès maintenant commencer à élaborer un cadre alignée à leur politique de gestion des risques liés aux TIC. Cela impliquera de travailler avec des tiers spécialisés en tests d’intrusion, d’en informer le conseil d’administration sur la manière dont ces tests sont réalisés (environnement de production, planification et exécution des tests, etc.), et d’utiliser ces tests et leurs résultats dans le cadre d’une approche plus large de gestion des risques. Il est important de noter que les tests pourraient nécessiter la participation des tiers « fournisseurs TIC critiques », ce qui pourrait rendre l’exercice d’autant plus complexe.
Deuxièmement, la DORA s’appuie sur le cadre TIBER-UE développé par la BCE, qui a introduit une certaine reconnaissance transfrontalière des tests d’intrusion, réduisant ainsi la nécessité pour les entités concernées de réaliser deux fois le même exercice. La DORA s’appuie sur ce cadre et demande aux AES d’élaborer des normes et des procédures pour la reconnaissance mutuelle des tests dans les États membres de l’UE. Cela pourrait signifier que, tant que les tests d’intrusion sont effectués selon un ensemble de critères communs (qui seront probablement très proches des exigences contenues dans TIBER-EU), ils pourraient être plus facilement reconnus par d’autres superviseurs de l’UE dans les juridictions où l’entité est active. Pour celles qui réalisent déjà des tests d’intrusion (TLPT) et qui ont des activités dans plus d’une juridiction de l’UE, elles pourront à l’avenir rationaliser leurs coûts de mise en conformité (centralisation des équipes, optimisation des processus, gestion moins complexe, etc.), et pourraient à terme ne plus avoir besoin de recourir à des accords bilatéraux pour la reconnaissance des tests en question.
Rapports d’incidents liés aux TIC : simplification et reportings de meilleure qualité ?
Les entités ont souligné l’accroissement récent des exigences de signalement des incidents TIC. Elles ont fait valoir que la multitude d’exigences, de délais, de seuils et d’amendes associées en cas de non-respect peut entraver la gestion efficace de ces incidents. L’un des objectifs de la DORA est de rassurer les acteurs sur certaines de ces préoccupations en harmonisant les modèles de remonter d’information ainsi que les conditions déclenchant une obligation de déclaration, que les entités assujetties devront appliquer et communiquer à leur(s) autorité(s) nationale(s) compétente(s) (ANC). Toutefois, le règlement ne s’aligne pas et/ou ne remplace pas, certaines autres exigences de déclaration d’incidents, telles que pour GDPR.
A moyen terme, l’obligation de déclaration pourrait passer des ANC à un centre européen afin de rationaliser la collecte d’informations et d’assurer une plus grande convergence en matière de surveillance. Mais avant cela, les entités devront s’adapter aux nouvelles règles de l’UE en matière de reportings, notamment en fournissant des rapports d’analyse des causes profondes au plus tard un mois après qu’un incident majeur lié aux TIC se soit produit. L’ensemble de ces mesures permettra aux autorités de régulation de l’UE de mieux cerner les typologies de vulnérabilités les plus fréquentes, et, si nécessaire, les accompagnera éventuellement à prendre des mesures supplémentaires en utilisant leurs pouvoirs élargis en matière de gestion des TIC.
Règles de gestion des risques liés aux TIC : des bases sur lesquelles les autorités de surveillance de l’UE peuvent s’appuyer
La simplification et l’amélioration des règles qui s’appliquent à la gestion des risques liés aux TIC soulignent l’importance de l’implication du conseil d’administration. En s’inspirant des lignes directrices existantes, telles que celles de l’Autorité bancaire européenne sur les risques liés aux TIC et à la sécurité, le conseil d’administration devra déterminer la tolérance au risque, l’impact des perturbations associées et examiner les plans de continuité d’activité et de reprise.
Les exigences en matière de gestion des risques liés aux TIC s’organisent autour de :
- L’identification des fonctions clés et les bases de données associées ;
- La protection de ces bases de données ;
- La détection d’activités atypiques ;
- L’Élaboration de stratégies et de plans d’intervention et de rétablissement, y compris la communication aux clients et autres parties prenantes.
Si les trois premiers points ont été assimilés par la plupart des entités, avec certes des degrés divers de maturité et de mise en œuvre, le dernier devrait focaliser les esprits. La Commission Européenne, reconnait l’importance de la continuité des services et la dépendance croissante du secteur financier à l’égard des nouvelles technologies pour les gérer. Elle exigera que les entités consacrent du temps et des ressources à la mise au point de moyens pour rétablir leurs fonctions essentielles lorsqu’elles sont confrontées à une perturbation grave. Les entités devront donc sérieusement réfléchir à la substituabilité, notamment en investissant dans des systèmes de sauvegarde et de restauration, et évaluer si – et comment – certaines fonctions critiques peuvent fonctionner par le biais de systèmes ou de méthodes de prestation alternatifs pendant que les systèmes primaires sont vérifiés et remis en service.
Prochaines étapes
La législation DORA proposée par la Commission Européenne est une première étape importante dans la création d’un cadre réglementaire pour la résilience opérationnelle informatique des services financiers. Cette proposition devra maintenant faire l’objet de négociation entre le Parlement et le Conseil Européen dans le cadre de ce qui pourrait être un long processus politique.
Sur la base des précédentes évolutions législatives de l’UE, nous pouvons nous attendre à ce qu’une version finale de la DORA soit adoptée dans les 12 à 18 mois à venir. Les AES élaboreront ensuite d’autres textes et normes techniques afin d’étoffer l’application spécifique de ces nouvelles règles.