La finance numérique face à l’impératif de DORA

Selon Gartner, d’ici 2025, 45 % des entreprises du monde entier auront subi des attaques contre leurs chaînes d’approvisionnement en logiciels, soit trois fois plus qu’en 2021.Les responsables de la sécurité, de la gestion des risques et de la conformité de la finance numérique doivent s’associer à d’autres services pour prioriser les risques liés à la supply chain numérique et faire pression sur leurs fournisseurs pour qu’ils démontrent la pertinence de leurs pratiques de sécurité.L’importance de la cybersécurité, pour les établissements financiers, réside dans la protection des données sensibles, la confiance des clients et la stabilité du système financier mondial.La confiance des clients passera par la mise en application des législations numériques, normes, référentiels et standards les plus contraignants pour permettre de résister à la cybercriminalité active.A travers ce décryptage de la réglementation DORA (Digital Operational Resilience Act), nous explorerons les obligations qui pèsent sur la résilience des systèmes d’information des acteurs de la finance numérique concernés (21 types d’entités bien précises), ainsi que les mesures de conformité à prendre  pour se prémunir des conséquences redoutées des attaques contre leurs chaînes d’approvisionnement en services numériques.Mais avant de se lancer dans cette analyse, il convient de marquer un arrêt sur un autre texte de l’Union Européenne, la directive Network and Information Security (NIS) 2 qui elle aussi, renforce les exigences en matière de cybersécurité de la chaîne d’approvisionnement, plus généralement pour les opérateurs de services essentiels ou importants, et aux fournisseurs de services numériques, dont certains opérateurs de finance numérique.

Entre DORA et NIS 2 : quelle loi doit appliquer un établissement financier ? Clarification

Si vous êtes Dirigeant.e, Responsable de la Sécurité des Systèmes d’Information (RSSI) ou Délégué à la Protection des Données (DPO) d’un établissement financier, vous devez sûrement vous demander quelle législation cyber appliquer entre DORA et NIS 2, comme se le demandent déjà 54% des clients du cabinet Alcees.

 

De ce fait, NIS 2 qui a été publiée le même jour que DORA (27 décembre 2022), doit être transposée dans le droit national de chaque pays de l’UE 21 mois à compter de sa publication soit en octobre 2024.  Le règlement DORA quant à lui sera applicable en l’état dans tous les pays de l’UE dès son entrée en vigueur, prévue pour le 17 janvier 2025.

"Le présent règlement constitue une lex specialis en ce qui concerne la directive (UE) 2022/2555. Dans le même temps, il est indispensable de maintenir un lien étroit entre le secteur financier et le cadre horizontal de l’Union en matière de cybersécurité tel qu’il est actuellement défini dans la directive (UE) 2022/2555 […]."
Considérant 16
Règlement DORA

En clair, la question de la primauté d’application entre DORA et NIS 2 a été tranchée. Pour tout opérateur de finance numérique le règlement DORA est dit “lex specialis” de NIS 2. C’est un principe de droit qui veut qu’une loi spécifique prime sur une loi généraliste.

Pour conclure, la mise en application de DORA prime donc sur la mise en application de NIS 2 pour tout établissement financier concerné.

En pratique, il est probable que les établissements financiers doivent se conformer à plusieurs législations, car celles-ci peuvent se chevaucher et couvrir différents aspects de leurs opérations. Il est donc important pour les établissements financiers de bien comprendre les exigences de chaque législation et de prendre les mesures nécessaires pour se conformer à chacune d’elles. En cas de doute, il est recommandé de consulter des experts juridiques ou des consultants spécialisés dans la conformité réglementaire financière.

Le cabinet Alcees vous accompagne de A à Z dans la mise en conformité de votre organisation. Renseignez-vous sur notre prochaine formation DORA en nous contactant.

 

DORA : la course à la resilience des systèmes d’information financiers est lancée

L’adoption de DORA s’est déroulée en plusieurs étapes :

Infographie 1 : de la proposition de Règlement à la Conclusion d'un accord provisioire
  • Le 10 novembre 2022 : Adoption par le Parlement Européen
  • Le 28 novembre 2022 : Adoption par le Conseil de l’UE
  • Le 27 décembre 2022 : Publication du règlement DORA au Journal officiel de l’UE,
  • 16 Janvier 2023 : Entrée en vigueur du règlement DORA
  • 17 janvier 2025 :  Date de mise en application de DORA directement dans tous les États membres de l’UE.
Infographie 2 : de l'adoption par le Parlement Européen à la Mise en application au 17 Janvier 2025 (date au plus tard)

DORA vise à étendre et unifier les normes et exigences européennes et nationales existantes afin de créer un cadre détaillé, harmonisé et complet pour la résilience opérationnelle numérique des entités financières de l’UE.

 

En pratique, DORA impose l’intégration dans l’établissement financier, des dispositifs prévention, de protection et de réponse aux risques cyber. Ces dispositifs incluent les obligations suivantes :  

1. Des exigences de cybersécurité renforcées

Les professionnels de la finance devront mettre en œuvre des mesures de gouvernance cybersécurité plus robustes pour protéger les données et les opérations financières des clients.

2. Une gouvernance améliorée des technologies de l'information

Les entreprises financières devront mettre en place des processus de gouvernance plus rigoureux pour superviser et contrôler les technologies de l’information, ce qui pourrait avoir un impact sur les responsabilités et les pratiques des organes de direction dans la gestion des risques liés aux TIC.

3. Une mise en conformité réglementaire

Les entreprises du secteur financier devront se conformer à DORA pour respecter les exigences réglementaires. Cela nécessitera souvent des ajustements significatifs dans les systèmes informatiques et les processus opérationnels pour se conformer aux nouvelles normes. En pratique, la mise en place d’un cadre de gestion des risques liés aux TIC (cartographie des risques majeurs, mécanismes de détection des non-conformités, des plans de réponses aux incidents…) et une revue annuelle (contrôles et/ou audits internes) de ce dispositif sera à prévoir.

4. Une transparence accrue

  1. DORA exige que les entités financières signalent, rapidement et de manière exhaustive, les incidents majeurs liés aux technologies de l’information et de la communication (TIC) aux autorités de surveillance et aux acteurs du marché afin que le système financier de l’Union Européenne (UE) puisse réagir rapidement et de manière appropriée aux perturbations et maintenir la résilience du système. Citons quelques livrables à produire : processus de gestion des incidents, notification des incidents (notification initiale, rapport intermédiaire, rapport final).

5. L’adoption de nouvelles technologies

La mise en œuvre de DORA peut inciter les entreprises à adopter de nouvelles technologies. Ceci les obligera à renforcer l’encadrement de leur chaîne d’approvisionnement : de l’entrée en relation avec les prestataires de services, à la cessation des liens contractuels formalisés.

6. La formation et l’adaptation des compétences

Les professionnels de la finance doivent se former aux nouvelles réglementations et aux technologies associées à DORA. Cela peut nécessiter des programmes de formation et de développement pour acquérir les compétences nécessaires à la conformité et à l’utilisation efficace des nouvelles technologies.

7. La coopération

c’est-à-dire le partage d’informations entreles entités concernées, afin d’échanger des renseignements liés aux cybermenaces, tels que les indicateurs, tactiques, techniques et procédures, alertes de cybersécurité et outils de configuration.  A noter que cette possibilité est aussi prévue par la directive NIS 2 (article 29).

Définies dans l’article 2 du Règlement, le champ d’application de DORA concerne un grand nombre d’entités  réparties en  2 catégories :

Catégorie 1 : Les entités financières exerçant sur le territoire européen (soit 21 types d’entités) incluant :

  • Des établissements de crédit, de paiement, de monnaie électronique,
  • Des compagnies d’assurance et de réassurance,
  • Des sociétés de gestion d’actifs,
  • Des entreprises d’investissement,
  • Des dépositaires centraux de titres,
  • Des intermédiaires d’assurance,
  • Des agences de notation de crédit,
  • Des institutions de retraite professionnelle,
  • Des gestionnaires de fonds d’investissement alternatifs,
  • Des référentiels centraux ;

L’enjeu premier pour ce type d’établissement sera de s’assurer qu’il rentre dans le périmètre DORA et d’identifier ses éventuels écarts par rapport aux exigences du Règlement, dans une logique de proportionnalité.

Catégorie 2 : Les prestataires tiers fournissant des services TIC (technologies d’information et de communication) aux entités financières soit :

  • Des plateformes Cloud,
  • Des prestataires de services de financement participatif,
  • Des prestataires de services d’information sur les comptes,
  • Des prestataires de services sur cryptoactifs,
  • Des prestataires de services de communication des données.

L’enjeu premier pour ces derniers sera d’évaluer dans quelle mesure ils seront considérés ou pas du tout comme « tiers DORA » au regard soit des services contractuels proposés, soit d’une désignation comme « tiers critiques » par les autorités européennes et devant donner lieu à une surveillance directe.

Sont exclues du champ d’application de DORA les entités ci-après :

 

  • Les gestionnaires de fonds d’investissement alternatifs, Les entreprises d’assurance et de réassurance, les institutions de retraite professionnelle qui gèrent des régimes de retraite qui, ensemble, ne comptent pas plus de quinze affiliés au total ;
  • Les personnes physiques ou morales exemptées en vertu des articles 2 et 3 de la directive 2014/65/UE;
  • Les intermédiaires d’assurance, intermédiaires de réassurance et intermédiaires d’assurance à titre accessoire qui sont des microentreprises ou des petites ou moyennes entreprises; les offices des chèques.

Des exigences de cybersécurité à 360°

L’article 1 du règlement DORA fixe des exigences précises de cybersécurité applicables aux établissements financiers concernés.

 

Ces exigences incluent :

 

  • Les exigences applicables aux entités financières en ce qui concerne :

 

  1. La gestion des risques liés aux technologies de l’information et de la communication (TIC) ;
  2. La notification aux autorités compétentes des incidents majeurs liés aux TIC et la notification, à titre volontaire, des cybermenaces importantes aux autorités compétentes ;
  3. La notification aux autorités compétentes des incidents opérationnels ou de sécurité majeurs liés au paiement ;
  4. Les tests de résilience opérationnelle numérique ;
  5. Le partage d’informations et de renseignements en rapport avec les cybermenaces et les cyber vulnérabilités ;
  6. Les mesures destinées à garantir une gestion saine du risque lié aux prestataires tiers de services TIC.

 

  • Les exigences relatives à la gestion des risques des prestataires tiersde services TIC aux accords contractuels conclus entre des prestataires tiers de services TIC et des entités financières

Des pénalités financières et des astreintes journalières

Les prestataires critiques de services TIC sont soumis à des sanctions dans la mesure où ils ne mettent pas en œuvre les recommandations du superviseur principal.

En effet, l’autorité compétente (le superviseur principal) pourra procéder à des contrôles sur pièces ou sur place et pourra également prononcer des sanctions en cas de non-conformité, notamment des pénalités financières et des astreintes journalières s’élevant à 1 % au maximum du chiffre d’affaires mondial du prestataire de services TIC concerné, et ce pendant une période totale de 6 mois maximum. (article 35).

 

Lorsqu’elle détermine le montant de l’astreinte, l’autorité compétente tient compte des critères suivants :

 

  1. a) la gravité et la durée du non-respect;
  2. b) si le non-respect est délibéré ou résulte d’une négligence;
  3. c) le niveau de coopération du prestataire tiers de services TIC avec l’autorité compétente.

L’autorité compétente rend publique toute astreinte infligée, sauf dans les cas où cette publication perturberait gravement les marchés financiers ou causerait un préjudice disproportionné aux parties en cause.

 

Par ailleurs, l’appréciation de la sanction est laissée aux États membres qui confèrent aux autorités compétentes le pouvoir d’appliquer les sanctions administratives ou les mesures correctives suivantes en cas de violation du présent règlement. Elles peuvent :

  1. Émettre une injonction ordonnant à la personne physique ou morale de mettre un terme au comportement qui constitue une violation du présent règlement et lui interdisant de le réitérer;
  2. Exiger la cessation temporaire ou définitive de toute pratique ou conduite que l’autorité compétente juge contraire aux dispositions du présent règlement et en prévenir la répétition;
  3. Adopter tout type de mesure, y compris de nature pécuniaire, propre à garantir que les entités financières continueront à respecter leurs obligations légales;
  4. Exiger, dans la mesure où le droit national le permet, les enregistrements d’échanges de données existants détenus par un opérateur de télécommunications, lorsqu’il est raisonnablement permis de suspecter une violation du présent règlement et que ces enregistrements peuvent être importants pour une enquête portant sur une violation du présent règlement; et
  5. Émettre des communications au public, y compris des déclarations publiques, indiquant l’identité de la personne physique ou morale et la nature de la violation (article 50.4 ).

La décision d’imposer une sanction administrative ou une mesure correctrice doit être motivée et faire l’objet d’un recours.

Aussi les États membres peuvent décider de ne pas prévoir de régime de sanctions administratives ou de mesures correctives pour les violations qui font l’objet de sanctions pénales dans le cadre de leur droit national.

Conclusion

En conclusion, l’entrée en application  imminente du Digital Operational Resilience Act (DORA) représente un tournant majeur pour les métiers de la finance en Europe. En visant à renforcer la résilience opérationnelle des prestataires de services numériques dans le secteur financier, DORA souligne l’importance croissante de la cybersécurité dans un environnement financier de plus en plus numérique.

 

Les impacts de DORA sur les métiers de la finance seront vastes et variés, touchant à la fois les aspects réglementaires, organisationnels et opérationnels. Les institutions financières devront investir dans des infrastructures technologiques robustes, mettre en place des processus de gouvernance solides et renforcer leurs capacités de gestion des risques pour se conformer aux exigences de DORA.

De plus, la collaboration entre les autorités de régulation, les entreprises financières et les fournisseurs de services numériques sera essentielle pour garantir une mise en œuvre efficace de DORA et maintenir la stabilité et la sécurité du secteur financier européen.

 

En fin de compte, bien que DORA représente un défi de taille pour les métiers de la finance, il offre également une opportunité unique de renforcer la résilience opérationnelle et de promouvoir l’innovation dans un secteur en constante évolution.

 

En adoptant une approche proactive par l’établissement d’un plan d’actions permettant d’intégrer toutes les exigences DORA dans les délais impartis, les acteurs de la finance peuvent transformer les défis posés par DORA en opportunités de croissance durable et de leadership dans le domaine de la sécurité numérique.

Que pouvons-nous faire pour vous ?

Le cabinet Alcees vous accompagne de A à Z :

 

  • Détecter des non-conformités majeures à DORA (Due Diligence)
  • Améliorer les procédures de gestion des incidents de sécurité et vos plans de réponse aux incidents;
  • Implémenter un cadre de gouvernance et de contrôle interne qui garantit une gestion efficace et prudente du risque lié aux TIC, conformément aux exigences de DORA ;
  • Animer des formations/sensibilisations spécialisées pour vos comités de direction et managers aux impacts de DORA pour vos activités spécifiques, et diffuser la culture risques cyber.

Besoin d’aide ? Remplissez le formulaire de demande d’information ici !

Auteures

Picture of Carole Njoya

Carole Njoya

cnjoya@alcees.com

Picture of Odilone Kouadio

Odilone Kouadio

o.kouadio@alcees.com