30 avril 2024

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#550 les 12 travaux de DORA : guide pratique pour une mise en conformité opérationnelle et réaliste

#550 les 12 travaux de DORA : guide pratique pour une mise en conformité opérationnelle et réaliste

12 travaux de DORA guide pratique pour une mise en conformité opérationnelle et réaliste Fonctions Critiques ou Importantes © Ledieu-Avocats 30-04-2024.069

Le Règlement « DORA » n°2022/2554 du 14 décembre 2022 entre en application effective le 17 janvier 2025, soit dans moins de 9 mois.

De nombreuses entités régulées comme la plupart de leurs prestataires IT ne savent toujours pas comment aborder ce chantier (franchement herculéen). 

Devant l’absence totale de communication officielle des autorité de contrôle qui seront chargées d’en vérifier l’application, il nous est apparu utile de proposer aux professionnel(le)s des « entités financières » (et de leurs prestataires IT) un guide pratique de mise en conformité et de démystifier certains aspects de cette législation difficile à lire.

Vous pourrez accéder à partir des 12 liens ci-dessous aux 12 travaux d’Hercule que DORA va imposer aux entités financières, afin de les « inciter » (euphémisme) à mettre en oeuvre une véritable politique de cyber sécurité.

Les 12 travaux de mise en conformité vous sont proposés dans un ordre qui nous a semblé logique mais vous pouvez consulter nos présentations DORA en fonctions de vos préoccupations professionnelles :

Chapitre préambule : pourquoi DORA ? Pourquoi un guide pratique de déploiement ? 

Chapitre 1/12 « Dompter le taureau de Minos » : priorisez vos actions pour gérer votre risque de non-conformité au 17 janvier 2025

Chapitre 2/12 « Tuer l’hydre de Lerne » : lister vos écarts entre l’existant et votre dispositif cible de cyber-sécurité

Chapitre 3/12 « Obtenir la ceinture de la reine de Amazones » : construisez vos 3 lignes de défense

Chapitre 4/12 « Cueillir les pommes d’or du jardin des Hespérides » : sensibilisez votre direction et vos équipes aux risques cyber

Chapitre 5/12 « Capturer le sanglier d’Erymanthe » : analysez vos risques et cartographie vos actifs matériels et logiciels

Chapitre 6/12 « Tuer le lion de Némée » : gérez les accès à votre système d’information et à vos informations

Chapitre 7/12 « Vaincre le géant Géryon » : assurez la continuité de votre activité par la redondance de vos fonctions critiques ou importantes

Chapitre 8/12  « Descendre aux Enfers » : détectez vos vulnérabilités et testez votre résilience opérationnelle

Chapitre 9/12 « Capturer les juments de Diomède » : notifiez vos incidents majeurs de sécurité et communiquez en temps de crise

Chapitre 10/12 « Capturer la biche de Cérynie » : rédigez vos avenants et tenez votre registre des accords contractuels

Chapitre 11/12 « Tuer les oiseaux du lac Stymphale » : gérez les (nombreux) oublis de DORA

Chapitre 12/12 CONCLUSION : ne vous contentez pas de « Nettoyer les écuries d’Augias » et planifiez le cycle de revue (obligatoire) de votre dispositif DORA !

les 12 travaux de DORA : guide pratique pour une mise en conformité opérationnelle et réaliste Fonctions Critiques ou Importantes © Ledieu-Avocats 2024


Préambule : pourquoi DORA ? Une réponse technique et juridique à la crise de 2008

Digital Operational Resilience ou résilience opérationnelle numérique : c’est la raison d’être du règlement DORA [1].

Ce règlement s’inscrit dans la volonté de l’Union Européenne de rendre le système financier européen « plus résilient, notamment d’un point de vue opérationnel, afin de garantir … son bon fonctionnement, ainsi que son rétablissement rapide après des atteintes à la sécurité des TIC [2] et des incidents liés aux TIC » [3].

En d’autres termes, les entités régulées par le règlement DORA doivent s’organiser pour être en mesure de poursuivre leurs activités si elles subissent des cyber-attaques ou des pannes provoquant une interruption de fonctionnement de leurs systèmes d’information.

Les ravages des virus  WannaCry puis NotPetya en 2017 ont démontré la « vulnérabilité systémique » du secteur financier en matérialisant les craintes de l’UE envers les « cyber-incidents [qui] pourraient rapidement se propager de l’une des quelques 22.000 entités financières de l’UE à l’ensemble du système financier » [4].

C’est contre ces menaces mondiales que l’Union Européenne souhaite protéger son système financier.

La menace indirecte pesant sur les entités financières se comprend par le phénomène des attaques de la supply-chain IT (voir « Gérez le risque contractuel avec vos prestataires sous-traitants »), longuement traité dans DORA par un sévère alourdissement de l’encadrement des relations techniques et contractuelles des entités financières avec leurs « 15.000 » [5] prestataires TIC.

A ce titre, les « prestataires TIC » sont soumis à DORA comme les entités financières auxquelles ils fournissent leurs services, surtout lorsque le service sous-traité concerne une fonction critique ou importante de l’entité financière régulée (voir « Priorisez vos actions de mise en conformité sur les fonctions critiques ou importantes »).

[1] Règlement UE « Digital Operational Resilience Act » n°2022/2554 du 14 décembre 2022. Nous utiliserons l’acronyme anglais DORA dont l’usage est largement répandu dans le monde professionnel

[2] TIC pour « Technologie de l’Information et de la Communication« 

[3] DORA Considérant n°6

[4] DORA Considérant n°3

[5] chiffre publié par les AES (EBA + EIOPA + ESMA) le 27 septembre 2023

cyber attaques ayant visé des entités financières les 12 travaux de DORA guide pratique pour une mise en conformité opérationnelle et réaliste Fonctions Critiques ou Importantes © Ledieu-Avocats


Le changement de stratégie cyber-sécurité de l'Union Européenne

Le nombre dérisoire de condamnations judiciaires de « hackers » démontre à lui seul que la réponse judiciaire des États de l’UE est manifestement inopérante pour endiguer le phénomène des cyber-attaques. Partant de ce constat, l’UE a opéré un changement de paradigme complet dans sa politique de régulation.

Puisqu’il n’est pas possible de réprimer de façon effective les cyber-attaquants, la pression est mise sur les opérateurs économiques auxquels sont imposées des règles de cyber-sécurité techniques, juridiques et organisationnelles.

Et si une entité financière n’est pas à l’état de l’art en termes de sécurité de ses réseaux et de ses systèmes d’information, elle pourra faire l’objet de sanctions administratives et de mesures correctives.

L’UE l’a bien compris : imposer des règles de résilience opérationnelle dont les effets seraient fiables à 100 % relève de l’utopie.

 Le règlement DORA comme la directive NISv2 [1] reposent donc chacun sur le principe de gestion continue et proactive du risque cyber, par cycles le plus souvent annuels, en lieu et place de la traditionnelle sécurité informatique défensive et passive. C’est le premier changement de paradigme opéré par DORA.

[1] Directive UE « sécurité des réseaux et des système d’information » (Network and Information system security ou « NIS » pour l’acronyme anglais) dite « NISv2 » n°2022/2555 du 14 décembre 2022. La Directive « NISv2 » constitue la règlementation générale qui impose des règles de sécurité aux réseaux et systèmes d’information des « entités régulées », dont DORA constitue une exception sectorielle pour les entités financières dont la liste est détaillée à l’article 2.1 de DORA.


Le concept de "résilience opérationnelle"

L’UE franchit une seconde étape avec le concept de « résilience opérationnelle » : en cas de « dysfonctionnement des TIC » [1] (« erreur humaine » [2], panne ou attaque cyber), priorité doit être donnée « à la continuité des fonctions critiques ou importantes » de l’entité financière et « à la reprise des activités »  [3].

Plutôt que de décrire de manière traditionnelle (organisation / fonctionnel / technique et juridique) l’ensemble du dispositif de résilience opérationnelle imposé par DORA, nous proposons aux entités financières et à leurs prestataires TIC un mode d’emploi pragmatique de mise en conformité

C’est l’objet de cette série de présentations, voulue comme un guide de déploiement opérationnel des obligations légales qui entreront en application le 17 janvier 2025.

Conservant à l’esprit que DORA est un cadre règlementaire sectoriel spécifique pour le monde de la finance, nous nous référerons ponctuellement à la Directive NISv2 lorsque ses dispositions permettent d’éclairer le sens de celles prévues dans le règlement DORA.

[1] DORA article 6.8.b)

[2] DORA article 9.3.d)

[3] DORA article 11.2


DORA : une réglementation prudentielle

DORA est la pièce centrale de la réglementation prudentielle dont l’objectif est d’uniformiser la prise en compte et la gestion du risque cyber dans l’ensemble des pays de l’UE et pour l’ensemble des acteurs économiques du « secteur financier » .

En plus de ce règlement, l’UE a publié le même jour la Directive n°2022/2556 [1] qui amende huit précédentes directives [2] relatives à la solvabilité des institutions financières (Solvabilité II, CDR4 etc.).

[1] Directive UE n°2022/2556 du 14 décembre 2022 en ce qui concerne la résilience opérationnelle numérique du secteur financier

[2] directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 que je vous laisse chercher si vous êtes un(e) spécialiste de la règlementation banque / assurance…

les 12 travaux de DORA ? un guide pratique pour une mise en conformité opérationnelle et réaliste Fonctions Critiques ou Importantes © Ledieu-Avocats

Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!

« Hercule » série complète (et proprement remarquable) en 3 tomes par Jean-David Morvan + Vivien « Looky » Chauvet + Olivier Thill © éditions Soleil 2012-2017

« Milady 3000 » one shot © [le Grand] Magnus 1985 © éditions Ansaldi Bruxelles

Peut-être pourrions-nous vous aider dans votre process de mise en conformité ? Cliquez sur l'image pour découvrir nos services DORA

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

NOS ARTICLES SUR LE MÊME SUJET

Les derniers articles du blog​