09 novembre 2021

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#357 projet DORA#1/2 la sécurité informatique imposée au secteur financier

#357 projet DORA#1/2 la sécurité informatique imposée au secteur financier

#357 DORA#1 la sécurité informatique imposée au secteur financier

DORA ou la sécurité informatique (bientôt)  imposée au secteur financier ?

Vous pensiez sérieusement que j’allais vous parler de Dora l’Exploratrice ? 

DORA est l’acronyme d’un projet de Règlement UE du 24 septembre 2020 qui veut dire « Digital OpeRAtional resilience of the financial sector« . En Molière dans le texte, cela donne « Résilience OpéRAtionnelle Numérique » avec comme acronyme RORAN ou RON ou RONUM (dans les trois cas, c’est pas terrible… je sens que je vais garder DORA…).

De quoi parlons-nous ici ?  De la sécurité des systèmes d’information des professionnels de la banque, de la finance et des assurances (entre autres). De la « sécurité informatique » (je cite le projet DORA) des professionnels du « secteur financier » des 27 pays de l’UE.

En général, quand on parle d’argent ou de sécurité des systèmes d’information, personne n’a envie de rire, ni même de sourire, n’est-ce pas ?

Et bien, l’Union Européenne depuis le 24 septembre 2020 a coupé l’envie de sourire à plus d’un professionnel en charge de la sécurité des systèmes d’information de cette industrie stratégique, durement éprouvée par la crise de 2008. Ce n’est pas moi qui l’écrit, c’est l’UE dans les motifs de son projet.

La menace ? D’un coté, évidemment, les cyber attaques, de l’autre, la très grande dépendance des gros opérateurs du secteur à l’égard d’un petit nombre de prestataires dits « d’importance critique » (je cite encore le projet DORA dans sa version v1.00 du 24 septembre 2020).

Attention, DORA est un projet de Règlement UE, ce n’est pas une future Directive. Ca veut dire qu’une fois adoptée, cette « loi européenne » sera d’application directe dans les 27 pays membres de l’UE. 

Petite introduction en image dans le slider juste en dessous.

Comme toujours sur ce blog, le texte ci-dessous est un résumé du contenu des slides, toutes illustrées en BD (what else ?).

RAPPEL les 7 actes législatifs imposant en France des règles de sécurité (obligatoires) pour certains systèmes d'information

Ce rappel me semble utile dans la mesure où ces législations sur la sécurité des systèmes d’information sont toutes assez récentes, pas très connues et franchement assez difficiles à décrypter si l’on ne maîtrise pas un minimum les techniques concernées.

Prenons l’exemple des LPM de 2005, de 2013 ou de 2018 : peu de juristes savent que ces législations d’origine militaire impactent directement quantité d’entreprises civiles/privées.

LPM ? Loi de Programmation Militaire

Bref, pas de long discours sur ce point, si vous souhaitez revoir la chronologie des évènements législatifs, allez visualiser les 7 actes de cet opéra (pas comique du tout) dans le slider ci-dessous.

DORA la sécurité informatique imposée au secteur financier ? Rappel sur les Opérateurs de service Essentiel et sur les obligations de sécurité imposées par la Directive NIS#1

Pour comprendre le projet DORA, repartons de la Directive NIS#1 et reprenons les règles de base de sécurité informatique * imposées actuellement aux « Opérateurs de Service Essentiel« , qui fournissent des « services essentiels au fonctionnement de la société ou de l’économie » et « dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information« .

[ * on dirait plutôt aujourd’hui « de la sécurité des systèmes d’information », mais bon…]

Cette Directive a été transposée en droit français par la loi dite « SRSI » (pour Sécurité des Réseaux et des Systèmes d’Information) n°2018-133 du 26 février 2018.

Pour les différents Règlement d’exécution, décrets et arrêtés qui complètent ce pavé légal, je vous invite à vous référer à ma slide qui les recense :

Directive NIS DORA sécurité informatique secteur financier - cybersécurité OSE projet Règlement UE © Ledieu-Avocats

Le principe de fonctionnement de cette règlementation est le suivant :

  • l’autorité nationale (en France, le Premier ministre) désigne les OSE (Opérateurs de Service Essentiel) par arrêté.

 

  • L’ANSSI valide (« homologue ») la sécurité du Système d’Information Essentiel (le « S.I.E.« ).

 

  • l’OSE met en oeuvre – à ses frais – l’ensemble des 23 règles de sécurité imposée par le Premier ministre (l’ANSSI en pratique).

 

  • L’ANSSI peut imposer des « contrôles » (terme désignant agréablement des audits techniques et organisationnels de sécurité), une fois par an, pour vérifier la conformité du SI Essentiel aux règles déclarées lors de l’homologation.

 

  • l’OSE a l’obligation de notifier à l’ANSSI les « incidents de sécurité à impact significatif« .

 

Vous trouverez ce rappel complet dans le slider ci-dessous. Et si vous souhaitez creuser la nature des obligations qui s’imposent aux entreprises désignées en qualité d’OSE, cliquez sur ce lien pour accéder à ma présentation en BD sur le sujet, co-signée par un Chef de division de l’ANSSI

DORA la sécurité informatique imposée au secteur financier ? Pourquoi DORA ?

A partir de ce point, je nous lance dans la lecture (délicieuse) du projet de Règlement de l’UE.

Avant même d’attaquer l’analyse des « considérant » de DORA, commençons par parcourir  les « motivation et objectifs de la proposition » qui sont assez sobres et très éclairants pour la compréhension de la suite de ce texte fleuve (ma version de travail en format word fait près de 110 pages en police 11).

DORA la sécurité informatique expliquée au "secteur financier" cybersécurité OSE projet Règlement UE © Ledieu-Avocats

Je ne vais pas vous noyer sous les détails (pour cela, il suffit d’attaquer la lecture du projet DORA en ligne…).

2 motivations principales sont exprimées par l’UE :

  • permettre au « secteur financier » de (mieux) résister au fléau mondial des cyber attaques.

 

  • mettre un terme (?!?!) à la dépendance du secteur vis-à-vis de certains prestataires de services informatiques « critiques ».

 

Le détail de ce « pourquoi » par citations choisies se trouve dans les slides ci-dessous.

DORA la sécurité informatique imposée au secteur financier : qui est concerné par DORA ?

Là encore, pas besoin de gloser beaucoup. 

En 1 slide, voici les entreprises qui sont directement concernées par les obligations du projet DORA

Lisez : vous allez voir que l’UE ratisse large

Sont bien évidemment indirectement concernés les « prestataires tiers de services informatiques » de ces mêmes entreprises…

DORA QUI est concerné ? sécurité informatique expliquée secteur financier - cybersécurité OSE projet Règlement UE © Ledieu-Avocats

 

Si vous travaillez dans l’un des domaines d’activité cités dans cette slide, je pense avoir maintenant capté votre attention…

Alors, regardons en synthèse ce que l’UE va imposer ? 

En synthèse, c’est simple. L’entreprise DOIT :

– faire une analyse des risques par scénarii d’attaques probables;

– mettre en place des mesures techniques pour s’assurer du Maintien constant en Conditions de Sécurité (concept du MCS) du système d’information;

– organiser la relation contractuelle avec les prestataires de « services informatiques » (c’est – ici encore – la terminologie utilisée dans le projet DORA).

De son coté, l’UE gère directement la supervision des prestataires [de services informatiques] « critiques » pour le « secteur financier ». Avec redevances obligatoires à la charge de ces prestataires (oui, oui, c’est clairement  écrit dans DORA !).

Voila pour la synthèse que vous trouverez dans les slides ci-dessous.

Je me doute bien que vous ne vous contenterez pas de cette synthèse…

Il n’est pourtant pas possible de résumer ce projet de règlementation – extrêmement détaillé – en si peu de mots et de slides.

Dans les prochaines semaines, nous analyserons le projet DORA, chapitre par chapitre, avec des professionnels de l’analyse de risque pour Si, du maintien en conditions de sécurité et de la gouvernance.

Et croyez-moi, vu ce que prépare l’UE, il y a de quoi dire !

Le générique des BD ayant servi d'illustration à cette présentation : comment ne pas remercier les éditions Delcourt / Soleil ? (je vous le demande !)

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ