DORA épisode 02/12 : qui est concerné ? Les entités financières et TOUS leurs prestataires IT !!!
Nous avons vu le pourquoi du projet de Règlement DORA et les principes de la « résilience opérationnelle » lors de l’épisode 1/12 de notre saga consacrée au projet de Règlement UE DORA.
Le « secteur financier » va devoir sérieusement sécuriser ses systèmes d’information, nous rentrerons bientôt dans les détails techniques et juridiques.
Mais d’abord, qui sont les « 22.000 entités financières » de l’UE qui devront supporter – à leurs frais, faut-il le préciser ? – l’ensemble de ces obligations de sécurité numérique ?
Comment ? TOUS leurs prestataires IT sont impactés ?
C’est l’objet de notre épisode 2/12 consacré au projet de Règlement UE « DORA » dont la version initiale a été publiée le 24 septembre 2020, et la V2 le 23 juin 2022…
Ce projet ne devrait plus trop tarder à devenir réalité puisque ce projet a fait l’objet d’un « accord technique » en Commissions au niveau de l’UE…
Initialement, le projet DORA prévoyait une entrée en vigueur « 12 mois » après son adoption formelle. Apparemment, ce délai vient de passer en juin 2022 à « 24 mois » … Alors, si vous avez envie d’anticiper un truc ou deux, les explications qui suivent devraient vous intéresser.
DORA : une liste de 20 entités financières !
L’article 2 du projet DORA dresse un véritable inventaire à la Prévert de vingt types d’entreprises concernées, parmi lesquelles les « établissements de crédit » et « de paiement » , les « prestataires de services sur crypto-actifs » , les « entreprises d’assurance et de réassurance » , les « intermédiaires d’assurance et de réassurance » , les « institutions de retraite professionnelle » , etc.
Pas de solution magique pour déterminer si votre entreprise est concernée, il faudra aller lire le détail prévu dans DORA que vous trouverez dans la slide ci-dessous.
Ces entreprises forment ensemble la catégorie des « entités financières » , termes que nous reprendrons dans les développements qui suivent.
Les experts comptables et les auditeurs peuvent remercier l’UE. Dans la V2 de DORA publiée en anglais le 23 juin 2022 , ils semblent ne plus faire partie de la liste des entités financières.
DORA : TOUTES les entreprises du secteur financier SAUF les "micro-entreprises"
Les obligations de résilience tiendront compte de la taille des entreprises visées.
On pourrait se réjouir que les « micro-entreprises » du secteur financier soient expressément exclues de ce régime légal.
« micro-entreprises » au sens du droit des 27 États de l’UE (recommandation 2003/361/CE de la Commission) bien entendu : « moins de 10 personnes et chiffre d’affaires annuel inférieur à 2 millions d’euros » .
Cette réjouissance sera toute relative dans la mesure où chaque entité financière impactée sera tenue d’imposer à tous ses prestataires IT, micro-entreprises ou non, des obligations DORA similaires aux siennes…
DORA s'applique à TOUS les "tiers prestataires de services informatiques" ? OUI !!!
La 21ème catégorie d’entreprises concernées retiendra toute notre attention : il s’agit des « tiers prestataires de services informatiques » [1] qui fournissent des services online (en mode cloud [2]) ou des logiciels on premises [3] aux entités financières.
DORA le précise : sont concernés tous les prestataires de « fourniture » , de « saisie » , de « stockage » , et de « traitement de données » [4] du secteur financier. Difficile de faire plus large.
L’idée se comprend parfaitement : imposer des obligations de sécurisation aux logiciels, aux services on line et aux infrastructures numériques des entités financières ne servirait à rien si leurs prestataires et leurs sous-traitants ne sont pas soumis aux mêmes obligations. C’est un point central de compréhension du projet DORA.
Si vous fournissez des services au secteur financier, il vous faudra donc adopter l’ensemble des règles techniques et organisationnelles de sécurité destinées à permettre la résilience opérationnelle de vos clients du secteur (sauf à vouloir les perdre à relativement court terme).
******************************************************************************************************
Notes
[1] expression que nous simplifierons ici par l’usage du terme « prestataire » . Seuls les « opérateurs de communications électroniques » au sens de la Directive 2018/1972 du 11 décembre 2018 sont expressément exclus dans DORA de la notion de « prestataire » . Il s’agit concrètement des opérateurs télécom – fixe ou mobile – et des Fournisseur d’Accès Internet (FAI).
[2] Saas pour Software as a Service, Iaas, PaaS… voir notre vidéo+BD « SaaS Cloud les aspects techniques » .
[3] « on premises » : logiciel avec installation « sur site » , dans le système d’information du client bénéficiaire de la licence d’usage.
[4] Il aurait été plus simple pour les rédacteurs de DORA de reprendre la notion – très large – de « traitement » fixée à l’article 4 du RGPD : « la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction » de données. Mais les rédacteurs de DORA ont préféré ré-inventer la roue…
******************************************************************************************************
DORA : le régime spécifique applicables aux "tiers prestataires critiques"
Nous ne nous étendrons pas sur le régime (particulièrement contraignant) applicable aux « tiers prestataires critiques » qui seront soumis à un « suivi adéquat à l’échelle paneuropéenne » et – grande première – direct de la Commission de Bruxelles du fait du risque particulier de « concentration » [1] que certains opérateurs du Royaume-Uni [2] ou des États-Unis d’Amérique font déjà courir au secteur (par exemple, AWS, Google, Microsoft avec son service Azure).
Retenez que ces « prestataires critiques » et désignés comme tels par l’UE seront soumis au paiement (obligatoire) d’une redevance spécifique fixée par les fonctionnaires de la Commission de Bruxelles, non par l’Exécutif européen.
******************************************************************************************************
Notes
[1] « une exposition à des tiers prestataires critiques de services informatiques individuels ou multiples et liés, créant un degré de dépendance à l’égard de ces prestataires, de sorte que l’indisponibilité, la défaillance ou tout autre type d’insuffisance de ces derniers peut potentiellement mettre en péril la capacité d’une entité financière, et en fin de compte du système financier de l’UE dans son ensemble, à assurer des fonctions critiques, ou à faire face à d’autres types d’effets préjudiciables, y compris des pertes importantes » .
[2] Le Royaume demeure la première place financière de l’Europe géographique, mais ne fait plus partie de l’UE depuis le Brexit de 2016… Si le secteur financier et les prestataires IT britanniques veulent pouvoir continuer à opérer dans l’UE, il va leur falloir – eux aussi – démontrer leur compliance avec l’ensemble des règles imposées par DORA… De l’art et de la manière pour l’UE de se venger de la domination britannique sur l’industrie européenne de la finance ?
******************************************************************************************************
A suivre DORA épisode 3/12 : pour lutter contre quelles menaces ?
Une analyse technique et juridique de DORA ?
Avec Jean-Philippe GAULIER, Directeur général de CYBERZEN, nous avons travaillé à quatre mains pour vous livrer notre analyse et des explications qui devraient éclairer à la fois les opérationnel(le)s et les juristes qui gèrent les problématiques de sécurité des systèmes d’information.
DORA illustré en BD avec un Hercule très futuriste
Qui d’autre que le mythique Hercule pouvait vous accompagner dans les explication sur ces 12 travaux de sécurisation des systèmes d’information imposés aux entreprises du secteur financier ?
Les illustrations sont toutes issues de l’incroyable série « Hercule » en 3 tomes par Jean-David Morvan au scénario, Vivien « Looky » Chauvet au dessin et Olivier Thill à la couleur.
Allez... plus que 10 épisodes...
Merci aux éditions Delcourt / Soleil !)
Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!
« Les 5 Terres » première série complète en 6 tomes par « Lewelyn » (David Chauvel, Andoryss et Patrick Wong) et Jérome Lereculey © éditions Delcourt 2019-2022
« Arctica » 12 tomes par Daniel Pecqueur et Boyan Kovačević © éditions Delcourt 2007-2022
« Au-delà des merveilles » série complète en 3 tomes par Yohann « Wyllow » Puaud © éditions Clair de Lune 2004-2022
« Badlands » série complète en 3 tomes par Eric Corbeyran et Piotr Kowalski © éditions Soleil 2014-2018
« Carmen mc Callum » 18 tomes (tome 1 par Fred Duval + Olivier Vatine + Fred Blanchard + Stéphane « Gess » et tomes 2 et 3 par Fred Duval et Stéphane « Gess ») © éditions Delcourt 1995-2020
« Le Crépuscule des Dieux » série complète en 9 tomes par Nicolas Jarry et Jean-François « Djief » © éditions Soleil 2007-2016
« lE dERNIER tROYEN » série complète en 6 tomes + 1 intégrale par Valérie Mangin et Thierry Démarez © éditions Soleil 2004-2012
« Excalibur-Chroniques » (époustouflante) série complète en 5 tomes + 1 intégrale par Jean-Luc Istin et Alain Brion © éditions Soleil 2012-2019
« Hercule » série complète en 3 tomes par Jean-David Morvan + Vivien « Looky » Chauvet + Olivier Thill © éditions Soleil 2012-2017
« Horologiom » série complète en 7 tomes + intégrale en 2 tomes par Stéphane Lebeault © éditions Delcourt 1994-2021
« Neandertal » série complète en 3 tomes par Emmanuel Roudier © éditions Delcourt 2007-2011
« La nef des Fous » 11 tomes + intégrale en 2 tomes + hors série par Bernard « Turf » © éditions Delcourt 1993-2021
« Odin » série complète en 2 tomes par Nicolas Jarry et Erwan Seure-Le Bihan © éditions Soleil 2010-2012
« L’Oeil de la Nuit » série complète en 3 tomes par Serge Lehman et Stéphane « Gess » © éditions Delcourt 2015-2016
« Olympus Mons » première série complète en 7 tomes par Christophe Bec et Stefano Raffaele © éditions Soleil 2017-2022
« Les portes de Shamballah » série complète en 4 tomes par Mazuer + Romano + Taranzano © éditions Clair de Lune 2007-2016
« Souvenirs de la Grande Armée » série complète en 4 tomes + 1 intégrale par Michel Dufranne et Vladimir « Alexander » © éditions Delcourt 2007-2018
« Sur les terres d’Horus » série complète en 8 tomes par Isabelle Dethan © éditions Delcourt 2001-2015
« Universal War One » série complète en 6 tomes (absolument remarquables) par Denis Bajram © éditions Soleil 1998-2006
« Yiu Premières missions » série complète en 7 tomes + intégrale en 2 tomes par Thierry « Téhy » + Jeanne « JM Vee » + Vincent « Vax » © éditions Soleil 2003-2010
![Ordre des Avocats de Paris PSSI et analyse des risques ISO 27001 [11 avril 2024]](https://technique-et-droit-du-numerique.fr/wp-content/uploads/2025/04/547-Ordre-des-Avocats-de-Paris-PSSI-et-analyse-des-risques-ISO-27001-11-avril-2024-©-Ledieu-Avocats-2024.001.jpeg)