L’encadrement de la résilience numérique dans le secteur financier
DORA, (“Digital Operational Resilient Act”), est le nouveau règlement encadrant la résilience opérationnelle numérique du secteur financier. Il s’inscrit dans la continuité des Accords de Bâle qui avaient pour but de renforcer la réglementation, le contrôle et la gestion des risques du secteur après la crise financière de 2007. Après s’être concentrée sur la gestion des risques, l’Union Européenne dote aujourd’hui le système financier d’une réglementation uniforme et renforcée afin de tendre vers la résilience numérique.
La question qui se posent désormais aux acteurs du secteur financier : “Comment atteindre cette fameuse résilience numérique ?”
On a tâché de synthétiser les grands principes de DORA pour vous aiguiller et vous donner quelques axes prioritaires. Suive-nous !
Les 5 piliers de la résilience numérique opérationnelle selon DORA
Une crise d’origine cyber peut impacter lourdement les activités d’une entreprise. Les cas de ransomware récents le montrent : du jour au lendemain, une entreprise peut se retrouver complètement paralysée : inaccessibilité des données, postes de travail inopérants, arrêt des services, etc…
La préparation est donc cruciale pour déterminer la criticité de ses activités, prioriser ses activités essentielles et vitales, être en mesure de les poursuivre de manière dégradées en situation de crise et en assurer la reprise progressive. C’est pourquoi le règlement DORA aborde les risques opérationnels par l’indispensable continuité d’activité. Les entités financières vont devoir garantir la fourniture et la qualité des services essentiels. Cela passe à la fois par l’évaluation mais aussi par le développement de l’intégrité technologique opérationnelle des entités financières et des prestataires tiers. Le règlement repose ainsi sur 5 piliers visant à atteindre la résilience numérique :
- Les risques TIC (Technologie de l’information et de la communication)
- Les rapports d’incidents
- Les tests de résilience (exercice de crise, simulation…)
- Les risques liés au tiers
- Le partage d’informations
Pour atteindre cet objectif, le règlement impose – parmi d’autres obligations – de prévoir un plan de gestion de crise. Ce dernier devra être continuellement testé puis mis à jour, pour atteindre la résilience opérationnelle. Le plan de gestion de crise permet notamment d’anticiper les scénarios de crise possibles et les manières d’y faire face.
La phase de construction du plan de gestion de crise est l’opportunité d’une réflexion collective, en amont de la crise, sur les responsabilités et rôles de chacun. La priorité de l’équipe Alcyconie, lorsqu’elle construit un dispositif de gestion de crise, est de veiller à l’appropriation de celui-ci par les équipes : il doit devenir un réflexe, connu de tous et maîtrisé par chacun.
La notion d’entité financière : qui est concerné par DORA ?
L’article 2 du règlement nous livre une liste importante d’organismes entrant dans son champ d’application, tout en prenant soin dans sa dernière version d’exclure certaines entités. L’ensemble des entités concernées est synthétisé sous le nom générique “d’entités financières”. Les tiers prestataires de service informatique des entités financières seront également soumis à DORA.
Les obligations de gestion des risques
DORA comporte différentes obligations et recommandations portant sur la résilience numérique du secteur financier. Nous nous concentrerons notamment sur les dispositions concernant la gestion de crise, cœur de métier d’Alcyconie.
Gouvernance – Se former à la résilience opérationnelle numérique
Avec DORA, les organes de direction auront l’obligation de s’emparer de la gestion des risques informatiques. En effet, la gestion des crises cyber et numériques n’est plus seulement l’apanage du RSSI. Elle s’inscrit progressivement dans une gestion managériale haut niveau de la crise, par des populations « non expertes ». La direction devra donc assumer la responsabilité de l’adoption d’un cadre de gestion des risques et plus largement d’un cadre de gouvernance et de contrôle interne. Pour justement assurer l’efficacité de ce cadre, DORA prévoit une obligation de formation.
Cadre de gestion des risques informatiques
Le cadre de gestion des risques doit être documenté et réexaminé une fois par an. Pour le compléter, les entités financières sont soumises à une obligation d’identification matérielle et immatérielle d’éléments qui feront par la suite partie de ce cadre. L’identification porte notamment sur la cartographie des fonctions opérationnelles, des actifs d’informations mais aussi du SI. Cela permet aux entités de connaître les éléments à protéger mais également d’identifier et d’évaluer les scénarios de risques dans le cadre du plan de gestion de crise.
En complément, les entités doivent aussi se doter d’un véritable protocole de sécurité qui, pour rester efficient et préventif, doit être mis à jour et contrôlé lors de chaque changement effectué sur le SI.
Outils de réponse
Une fois que le cadre de gestion des risques a été mis en place, le risque reste toujours présent. Le règlement prévoit donc l’obligation de se doter d’une politique de continuité des activités informatiques, faisant elle-même partie de la politique de continuité des activités opérationnelles. La priorité est à la reprise informatique, tout en estimant les dommages et les pertes grâce à des mécanismes déjà prévus.
En effet, en cas de crise interrompant l’activité de la structure, il conviendra de prévoir le redémarrage progressif, organisé et concerté des opérations. Cette stratégie de reprise doit être pensée en amont, à froid et ne pas être improvisée. Pour accompagner cette reprise d’activité, DORA exige également de définir au préalable des mesures de communication de gestion de crise afin de favoriser la circulation de l’information en situation dégradée de crise.
Pour assurer la mise en place de ces mesures, les entités devront se doter d’une fonction de gestion de crise et devront tester leurs procédures une fois par an. Si vous souhaitez en savoir plus sur les Exercices et formations à la gestion de crise chez Alcyconie.
Se former à la résilience opérationnelle numérique
La résilience numérique doit aussi passer par l‘apprentissage et par la capitalisation de l’expérience de l’entité. Il est donc prévu que les entités réalisent des examens post-incidents pour déterminer les causes des incidents puis les améliorations à mettre en place. Au-delà, les employés et les membres de la direction vont devoir suivre une formation et une sensibilisation à la résilience opérationnelle et à la sécurité informatique.
La communication dans le cadre de la gestion des risques
Dans un article assez court et peu précis, le règlement évoque la communication dans le contexte du cadre de la gestion des risques. Il y est prévu une communication responsable des incidents et des vulnérabilités, à la fois aux clients mais aussi au grand public.
Plusieurs questions se posent ici pour les communicants. Lorsque les équipes IT sont mobilisées à la résolution du problème, comment obtenir les informations nécessaires pour vulgariser un sujet à forte technicité auprès du grand public, tout en sachant échanger avec les médias spécialisés et experts ? Comment communiquer avec transparence et rassurer ses parties prenantes sans transmettre de précieux éléments aux hackers ? Faire accompagner vos équipes de communication sur la compréhension de ces sujets techniques leur permettra d’avoir une vision opérationnelle et pragmatique de leur rôle, et les aidera à trouver leur place et la posture la plus efficace.
(Retrouvez notre contribution à l’une des analyses de Marc-Antoine Ledieu, qui nous a fait l’honneur de nous solliciter sur le sujet ici).
Les obligations de gestion des incidents
Pour gérer les incidents informatiques, le règlement impose la mise en place d’un processus de gestion des incidents informatiques intégrant un processus de gestion du risque. L’idée est de savoir vers où aller et quel chemin suivre pendant la crise. Le règlement précise le contenu de ce processus :
- Procédure de qualification des incidents d’après des critères définis par le règlement
- Rôle et responsabilité à activer suivant les scénarios
- Plan de communication interne et externe
- Procédure de remontée d’incident
- Procédure de notification à la direction
- Procédure de réponse informatique
Les entités financières ont désormais l’obligation de notifier aux autorités les incidents majeurs liés à l’informatique en utilisant un modèle précis.
En cas de crise susceptible d’avoir un impact sur leurs intérêts et le service, les entités financières seront dans l’obligation de communiquer sur la situation aux utilisateurs et aux clients (en cas d’impact sur leurs intérêts et le service).
Que faut-il retenir de DORA ?
En somme, DORA rend obligatoire l’application des standards en matière de gestion de crise et de continuité d’activité en prévision des risques cyber. L’objectif de DORA est ainsi d’éviter qu’une crise d’origine cyber n’impacte un ou plusieurs acteurs financiers au point de déstabiliser les marchés et l’économie de l’Union européenne.
Pour en savoir plus sur la gestion de crise d’origine cyber, découvrez notre article « Se préparer à gérer une crise cyber et communiquer ».
Article co-écrit par Rayan Le Calloch et Jeanne Fantou.