"DORA" comme "Digital Operational Resilience Act" ?
Pas facile de faire la synthèse d’un Règlement UE aussi dense que DORA, le Règlement n°2022/2554 du 14 décembre 2022.
D’autant moins que le projet initial v1 du 24 septembre 2020 a un peu évolué dans sa version finale (enfin) publiée au JO de l’Union Européenne le 27 décembre 2022.
Alors vous trouverez ici une version en BD en 100 slides entièrement refondues, mises à jour et « spéciale juriste » de ce qu’il faut retenir de #DORA.
A l’invitation de Nicolas COURTIER et de Gilles ROUVIER de CYBERLEX, j’ai (déjà) le plaisir de présenter cette synthèse de DORA le 12 janvier 2023.
Notez que, le même jour, l’UE a publié la Directive NISv2 (Directive 2022/2555) ainsi que la Directive « sur la résilience des entités critiques » n°2022/2557. Nous reviendrons bien évidemment sur ces deux textes dans les semaines qui viennent…
Bref… Mieux qu’un plan, voici en 1 slide les 4 principes de DORA à retenir pour les entreprises impactées. Je n’invente rien, il s’agit là de la synthèse de l’article 1er.
Entre « résilience opérationnelle numérique » , « gestion du risque » et « test de résilience » , c’est sûr… le sujet n’est pas très parlant…
Le sujet est plus compréhensible lorsque l’on évoque l’objectif (obligatoire, hein ?) de sécurisation des réseaux et des systèmes d’information des entreprises du secteur financier.
Merci à tou(te)s les professionnel(le)s de la cyber-sécurité, de la gestion de crise ou de la gouvernance, qui ont pris de leur temps pour décoder avec moi cette législation très… technique :
Jean-Philippe GAULIER DG de CYBERZEN
Sylvain LECONTE, DG de COGICEO
Vladimir KOLLA DG de PATROWL
Stéphanie LEDOUX CEO de ALCYCONIE
Gérard GARNIER CEO de CINETIQUE
Rassurez-vous, Hercule est toujours là pour illustrer quelques explications sur cette réglementation qui entre en application (effective) le 17 janvier 2025.
quelques slides d'introduction
Nous profiterons de cette introduction pour reposer les définitions légales de « réseau [de communications électroniques] » et de « système d’information » .
Heureusement, la toute nouvelle Directive UE NIS « v2 » (n°2022/2555 du 14 décembre 2022) n’a pas modifié ces deux définitions essentielles (et tout à fait pertinentes) qui provenaient de la Directive NIS de 2016 aujourd’hui abrogée.
Puisqu’il s’agit d’une directive, allez lire ces définitions dans le texte français de transposition de NIS#1 (article 1er loi n°2018-133 du 26 février 2018).
DORA : pourquoi ? quels objectifs ?
Faisons d’abord le point sur le concept de « résilience » appliqué aux systèmes d’information du secteur financier.
Le terme est à la mode puisqu’il est utilisé dans le titre de la Directive n°2022/2557 « résilience des entités critiques » publiée le même jour que DORA.
Ne vous y trompez pas, il ne s’agit pas d’un simple glissement sémantique (passer de cyber-sécurité à cyber-résilience), mais bien d’un changement de paradigme dans le domaine de la sécurité des systèmes d’information.
Avant DORA, il fallait faire de la sécurité « défensive » , pour se protéger a posteriori.
Avec le concept de « résilience » , il s’agit pour les entreprises du secteur financier de s’organiser, dès le départ, pour travailler malgré les pannes et surtout, malgré les cyber-attaques.
Nous ne sommes pas encore arrivés au concept de « security by design » , mais on devine qu’il s’agira de l’ultime étape à franchir pour notre régulateur européen.
qui sont les professionnel(le)s impacté(e)s par DORA ?
Là, pas de commentaire si ce n’est allez lire l’inventaire à la Prévert des « entités » impactées pour savoir si vous êtes concerné(e)s.
Et vérifiez si, par chance, votre entreprise bénéficie d’une exception ou d’un régime dérogatoire.
N’oublions pas dans cette liste TOUS les prestataires IT des entités financières, les « prestataires tiers de services TIC » pour reprendre l’appellation officielle utilisée dans DORA (pas possible de faire plus simple ? non ? vraiment ?).
DORA pour répondre à quelles menaces ?
Les mots-clé à retenir : #cyber-attaque #panne #cyber-menace !
Ajoutons #vulnérabilité et #malware, quoi que les logiciels malveillants soient totalement absents de DORA. Curieux, non ?
DORA : le cadre de gestion du "risque TIC"
C’est sur ce point que la version finale de DORA a beaucoup changé.
Voyons donc en détail ce que l’UE entend par « cadre de gestion du risque TIC » .
Nous allons beaucoup évoquer les notions de « risque » , de « gestion des risques » et d’ « analyse de risque » .
Voyons ce que sont les « actifs de TIC » et les « actifs informationnels » . Si notre législateur se soucie tant aujourd’hui de « sécurité de l’information » , c’est bien pour forcer la protection des data, les « actifs informationnels » .
Impossible de ne pas évoquer le « principe de proportionnalité » de l’article 4 de DORA, qui rendra la mise en oeuvre pratique de ce texte particulièrement complexe, sauf pour les « entités financières » qui feront le choix d’adopter une politique de type ceinture + bretelles (qui aurait l’inconvénient de couter cher…).
DORA et la politique de sécurité de l'information
C’est assez technique déjà à ce stade, alors faisons simple.
Attention sur ce chapitre : évolution majeure, on ne parle plus de « Politique de Sécurité des Systèmes d’Information » , mais bien de « politique de sécurité de l’information » .
Avant, il s’agissait de protéger les « outils numériques » . Maintenant, l’attention législative se focalise sur « l’actif » à protéger : l’information, les « data » .
Passons sur les concepts de « disponibilité » , d’ « authenticité » , d’ « intégrité » et de « confidentialité » appliqués aux données numériques des entités financières. Vous verrez en 1 slide combien ces 4 termes sont systématiquement repris dans toutes les législations UE ou FR qui traitent de la sécurité des systèmes d’information.
Voyons surtout – ça intéressera les juristes – les différents types de documents/chartes/plans que les entités financières vont devoir adopter et implémenter.
DORA : les mesures techniques obligatoires à mettre en oeuvre
Ami(e)s juristes, ne sautez pas par la fenêtre en lisant le titre. Je vous le promets, nous n’allons faire qu’une synthèse rapide des aspects techniques.
Nous ajouterons juste quelques mots sur l’obligation de détection « des activités anormales » , juste l’essentiel pour que vous puissiez conseiller de manière éclairée vos « clients », internes ou non, sur ce qu’impose DORA.
DORA et les incidents de sécurité
Vous ne serez pas surpris(e)s d’entendre qu’il faudra déclarer les « incidents majeurs » aux autorités de contrôle…
Mais le gros des mesures à mettre en place concerne la détection, la qualification et la gestion de tous les incidents de sécurité, pas seulement ceux qualifiés de « majeurs ».
Survol de comment ça va marcher à partir du 17 janvier 2025.
les tests de résilience opérationnelle numérique imposés par DORA
Voici une révolution pour les entreprises du secteur financier : l’obligation d’organiser des tests.
Au moins tous les ans.
Et des tests à mener, l’UE en a trouvé de 12 sortes différentes… Petit survol rapide (promis !).
la gestion du risque lié aux prestataires
C’est ici que les juristes vont avoir le premier rôle, alors insistons sur ce chapitre de DORA, particulièrement fourni.
Des obligations, il va y en avoir :
(i) avant signature des contrats (la sélection des prestataires),
(ii) pendant l’exécution des contrats (la surveillance des prestataires) et
(iii) en vue de la résiliation des contrats voire après !
Si vous lisez tout ça, vous comprendrez pourquoi DORA va bien nécessiter 24 mois de mise en oeuvre.
que retenir des obligations de gouvernance et de formation imposées par DORA ?
Juste un point rapide sur les obligations les plus nouvelles ou les plus saillantes.
Tiens, on ne parle plus d’ « hygiène » numérique dans la version finale de DORA qui n’évoque plus que des actions de « sensibilisation » . C’est dommage.
DORA : quelles sanctions (pour être certain que "la mayonnaise prenne"...) ? Une entrée en application le 17 janvier 2025 ?
Je sens que je vais répondre à plein de questions de la part des juristes et des avocats de Cyberlex…
PS : évidemment, j’ai menti pour les 100 slides. Y’en a beaucoup plus… C’est à cause des auteurs de cet « Hercule » tout à fait génial. Merci à Messieurs Morvan, « Looky » et Thill pour ces trois tomes !
Le générique des BD ayant servi d'illustration à cette présentation et un merci appuyé aux éditions Delcourt Soleil !
Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!
« Les 5 Terres » première série complète en 6 tomes par « Lewelyn » (David Chauvel, Andoryss et Patrick Wong) et Jérome Lereculey © éditions Delcourt 2019-2022
« Arctica » 12 tomes par Daniel Pecqueur et Boyan Kovačević © éditions Delcourt 2007-2022
« Au-delà des merveilles » série complète en 3 tomes par Yohann « Wyllow » Puaud © éditions Clair de Lune 2004-2022
« Badlands » série complète en 3 tomes par Eric Corbeyran et Piotr Kowalski © éditions Soleil 2014-2018
« Carmen mc Callum » 18 tomes (tome 1 par Fred Duval + Olivier Vatine + Fred Blanchard + Stéphane « Gess » et tomes 2 et 3 par Fred Duval et Stéphane « Gess ») © éditions Delcourt 1995-2020
« Le Crépuscule des Dieux » série complète en 9 tomes par Nicolas Jarry et Jean-François « Djief » © éditions Soleil 2007-2016
« Le dernier Troyen » série complète en 6 tomes + 1 intégrale par Valérie Mangin et Thierry Démarez © éditions Soleil 2004-2012
« Excalibur-Chroniques » (époustouflante) série complète en 5 tomes + 1 intégrale par Jean-Luc Istin et Alain Brion © éditions Soleil 2012-2019
« Hercule » série complète en 3 tomes par Jean-David Morvan + Vivien « Looky » Chauvet + Olivier Thill © éditions Soleil 2012-2017
« Horologiom » série complète en 7 tomes + intégrale en 2 tomes par Stéphane Lebeault © éditions Delcourt 1994-2021
« Neandertal » série complète en 3 tomes par Emmanuel Roudier © éditions Delcourt 2007-2011
« La nef des Fous » 11 tomes + intégrale en 2 tomes + hors série par Bernard « Turf » © éditions Delcourt 1993-2021
« Odin » série complète en 2 tomes par Nicolas Jarry et Erwan Seure-Le Bihan © éditions Soleil 2010-2012
« L’Oeil de la Nuit » série complète en 3 tomes par Serge Lehman et Stéphane « Gess » © éditions Delcourt 2015-2016
« Olympus Mons » première série complète en 7 tomes par Christophe Bec et Stefano Raffaele © éditions Soleil 2017-2022
« Les portes de Shamballah » série complète en 4 tomes par Mazuer + Romano + Taranzano © éditions Clair de Lune 2007-2016
« Le serpent et la lance » 2 tomes par Hub © éditions Delcourt 2019 – 2021 (bienvenu dans l’Empire aztèque en 1454)
« Souvenirs de la Grande Armée » série complète en 4 tomes + 1 intégrale par Michel Dufranne et Vladimir « Alexander » © éditions Delcourt 2007-2018
« Sur les terres d’Horus » série complète en 8 tomes par Isabelle Dethan © éditions Delcourt 2001-2015
« Universal War One » série complète en 6 tomes (absolument remarquables) par Denis Bajram © éditions Soleil 1998-2006
« Yiu Premières missions » série complète en 7 tomes + intégrale en 2 tomes par Thierry « Téhy » + Jeanne « JM Vee » + Vincent « Vax » © éditions Soleil 2003-2010