Le règlement européen DORA

Le règlement sur la résilience opérationnelle numérique du secteur financier (Digital Operational Resilience Act) a été adopté fin 2022 pour une mise en application en 2025. Son objectif est d’harmoniser les règles de cybersécurité au niveau européen pour les institutions financières au sens large (dont les établissements de crédit et de paiement, les entreprises d’investissement, les entreprises d’assurance, les agences de notation, les sociétés de gestion, les institutions de retraite professionnelles…) et les prestataires tiers de services TIC. Des clauses de réexamen sont prévues par le règlement pour ajouter éventuellement les opérateurs de systèmes de paiement, les cabinets d’audit et les commissaires aux comptes aux entreprises concernées.

 

Les 4 piliers de DORA

Le règlement prévoit 4 piliers :

  • Gestion du risqué informatique.
  • Réponse aux incidents.
  •  Tests.
  • Risque de tiers.

Le règlement reprend les principes du référentiel CSF du NIST avec par exemple:

  • L’identification des fonctions métiers et des actifs IT au travers une cartographie documentée et revue au moins une fois par an.
  • La gestion des changements et la stratégie en matière de mise à jour des correctifs de sécurité.
  • La détection des évènements suspects au travers du SOC.
  • Le processus de réponse aux incidents et les exercices de cybercrises.
  • La continuité des activités critiques et la résilience des services informatiques. En France par exemple, le GPR (Groupe de Place de Robustesse) contribue à renforcer la stabilité financière de la Place de Paris face à une crise opérationnelle majeure, par exemple une cyberattaque.

Quelques caractéristiques de DORA

DORA comprend notamment les exigences suivantes applicables à l’ensemble des entités financières (sauf les microentreprises pour certains cas) :

  • Déclaration obligatoire des incidents et signalement volontaire des cybermenaces importantes. Les délais et les formulaires sont traités dans les textes de niveau 2, notamment le RTS relatif au reporting des incidents majeurs (prévu pour 2024).
  • Possibilité d’un échange volontaire des informations de type CTI.
  • Renforcement des obligations de tests, par exemple les tests d’intrusion fondés sur la menace de type Red Team ou TLPT Threat-Led Penetration Testing. Le cadre européen TIBER-EU est développé par la banque centrale européenne et les banques centrales des états membres. Par exemple la Banque Nationale de Belgique maintient le référentiel TIBER-BE pour les entités régulées de son périmètre.
  • Les prestataires jugés critiques sont définis dans les textes de niveau 2 (RTS sur la sous-traitance des fonctions critiques ou importantes prévu pour 2024). Les prestataires critiques sont désignés par les autorités européennes de surveillance.
Les guides de niveau 2 (RTS – regulatory technical standard, ITS – implementing technical standard et GL - guidelines) précisent des points du règlement. Ces textes sont élaborés par les trois agences européennes concernés : agence bancaire européenne, autorité européenne des marchés financiers et autorité européenne des assurances et des pensions professionnelles.

 

DORA