Le règlement européen DORA
Le règlement sur la résilience opérationnelle numérique du secteur financier (Digital Operational Resilience Act) a été adopté fin 2022 pour une mise en application en 2025. Son objectif est d’harmoniser les règles de cybersécurité au niveau européen pour les institutions financières au sens large (dont les établissements de crédit et de paiement, les entreprises d’investissement, les entreprises d’assurance, les agences de notation, les sociétés de gestion, les institutions de retraite professionnelles…) et les prestataires tiers de services TIC. Des clauses de réexamen sont prévues par le règlement pour ajouter éventuellement les opérateurs de systèmes de paiement, les cabinets d’audit et les commissaires aux comptes aux entreprises concernées.
Les 4 piliers de DORA
Le règlement prévoit 4 piliers :
- Gestion du risqué informatique.
- Réponse aux incidents.
- Tests.
- Risque de tiers.
Le règlement reprend les principes du référentiel CSF du NIST avec par exemple:
- L’identification des fonctions métiers et des actifs IT au travers une cartographie documentée et revue au moins une fois par an, intégrant par exemple la nomenclature SBOM pour les composants logiciels.
- La gestion des changements et la stratégie en matière de mise à jour des correctifs de sécurité.
- La détection des évènements suspects au travers du SOC.
- Le processus de réponse aux incidents et les exercices de cybercrises.
- La continuité des activités critiques et la résilience des services informatiques. En France par exemple, le GPR (Groupe de Place de Robustesse) contribue à renforcer la stabilité financière de la Place de Paris face à une crise opérationnelle majeure, par exemple une cyberattaque.
Quelques caractéristiques de DORA
DORA comprend notamment les exigences suivantes applicables à l’ensemble des entités financières (sauf les microentreprises pour certains cas) :
- Déclaration obligatoire des incidents et signalement volontaire des cybermenaces importantes. Les délais et les formulaires sont traités dans les textes de niveau 2, notamment le RTS relatif au reporting des incidents majeurs (prévu pour 2024).
- Possibilité d’un échange volontaire des informations de type CTI.
- Renforcement des obligations de tests, par exemple les tests d’intrusion fondés sur la menace de type Red Team ou TLPT Threat-Led Penetration Testing. Le cadre européen TIBER-EU est développé par la banque centrale européenne et les banques centrales des états membres. Par exemple la Banque Nationale de Belgique maintient le référentiel TIBER-BE pour les entités régulées de son périmètre.
- Les prestataires jugés critiques sont définis dans les textes de niveau 2 (nomtamment les RTS sur la sous-traitance des fonctions critiques ou importantes). Les prestataires critiques sont désignés par les autorités européennes de surveillance.