Laurent Chaillou
CONSULTANT SENIOR ASSURANCE HARDIS GROUP
Cybersécurité, protection des données personnelles, anonymisation des connexions… depuis quelques temps ces sujets qui concernent aussi bien les individus que les entreprises de tous secteurs font régulièrement l’actualité.
Selon le dernier rapport de la Geneva Association, les rançongiciels représentaient 75 % de toutes les réclamations de cyber assurance en 2020, les rançongiciels seraient la catégorie d’événements de perte la plus coûteuse pour les assureurs en 2021.
En septembre 2020, suivant les orientations de la BCE et s’appuyant sur les principes de la Directive UE «NIS» (Network and Information Security), le projet de règlement européen DORA (Digital Operational Resilience Act) est proposé. Il concerne le secteur de la finance et des assurances et a vocation à renforcer la résilience opérationnelle informatique des acteurs financiers en mettant en place, notamment, un nouveau cadre obligatoire de gouvernance et de contrôle interne.
Le 10 mai 2022, lors de la présidence française, le projet de texte a fait l’objet d’un «accord technique», préambule à son adoption finale par le Parlement de l’UE et les États membres. S’agissant d’un Règlement (à l’instar du RGPD), il s’appliquera à tous les états membres dès sa validation.
Ce nouveau cadre légal commun aux 27 pays de l’UE réglemente :
- La gestion des risques (identification et mise en place de politiques écrites de sécurité) ;
- Le déploiement obligatoire d’outils logiciels de surveillance des systèmes d’information,
- La mise en œuvre de tests de résilience opérationnelle informatique ;
- La gestion des risques liés aux tiers et particulièrement la supervision des prestataires critiques, avec rédaction de clauses contractuelles obligatoires;
- L’uniformisation, la généralisation et l’obligation de détecter les vulnérabilités et de rapporter les incidents de sécurité.
Pour y voir plus clair, nous vous proposons le point de vue d’experts sur les impacts de ce nouveau règlement.
Douchka Pharose
CONSULTANTE AUDITRICE INDÉPENDANTE
Douchka accompagne principalement des établissements financiers dans leur mise en conformité selon les réglementations en vigueur et dans l’optimisation de leurs processus internes. Elle propose également des formations dans le domaine de la conformité bancaire.
Les établissements financiers considèrent souvent l’arrivée d’une nouvelle réglementation comme une contrainte. Néanmoins la réglementation DORA sera bénéfique sous de nombreux aspects. Tout d’abord cette réglementation est nécessaire pour au moins deux raisons.
Jusqu’ici l’absence de règles détaillées et précises sur la résilience opérationnelle numérique a favorisé de nombreuses initiatives réglementaires et pratiques de surveillance au niveau national. Cette situation générait un manque de coordination, des incohérences, des exigences redondantes et des risques non traités.
De plus, les risques numériques ne cessent d’augmenter. Cela est cohérent avec l’accélération du numérique par les consommateurs européens depuis la COVID19. L’intensification du télétravail a aussi fait émerger de nouveaux risques. Durant la période de confinement, entre février et avril 2020, on a pu constater un triplement des cyber-attaques contre les institutions financières dans le monde.
Cette réglementation a également un aspect très novateur dans le monde bancaire. Pour la première fois, un règlement unique sera applicable aussi bien aux établissements de crédit qu’aux tiers prestataires de services informatiques. Les « fournisseurs TIC » critiques seront contrôlés par une autorité de supervision. L’autorité pourra procéder à des contrôles sur pièces ou sur place et aura également le pouvoir de prononcer des sanctions en cas de non-conformité, notamment des pénalités financières et des astreintes journalières. Le régulateur pourra également demander à un établissement de mettre fin à un accord contractuel avec un prestataire évalué insuffisant.
Jusqu’ici les banques se retrouvaient parfois face à un mur dans la négociation avec leurs fournisseurs lors de la mise en conformité contractuelle selon les réglementations en vigueur (par ex. : Les Orientations de l’EBA sur l’externalisation 2019). Je suis convaincue que DORA sera un outil de négociation très utile aux banques qui favorisera une volonté commune de mise en conformité et de sécurisation.
“DORA sera un outil de négociation très utile aux banques qui favorisera une volonté commune de mise en conformité et de sécurisation.”
Marc-Antoine Ledieu
AVOCAT À LA COUR ET RSSI
Il est spécialiste du droit des contrats et de la sécurité des systèmes d’information et anime le blog technique et droit du numérique.fr. Il enseigne dans le Master 2 PRO « droit du numérique » à Paris II Panthéon-Assas.
Jean-Philippe Gaulier
RSSI ET DG CYBERZEN
Cyberzen est un ancien RSSI de groupes internationaux dans lesquels il s’est illustré pour la gestion des fournisseurs IT, sujet pour lequel il a été primé aux « Assises de la Sécurité » par ses pairs en 2017, la protection des données personnelles, la protection en profondeur et la gouvernance de la cybersécurité au sein des organisations. Il est le président de l’OSSIR depuis 2015 et contributeur régulier du premier podcast français NoLimitSecu.
Qui est concerné ?
Les établissements de crédit et de paiement, les prestataires de services sur crypto-actifs, les entreprises d’assurance et leurs intermédiaires, les institutions de retraite professionnelle (20 catégories d’entreprises sont précisées), mais aussi leurs « prestataires de services informatiques », qu’il s’agisse de services « SaaS / cloud » ou de la fourniture de logiciels « on premise » (installés directement dans le système d’information de l’entreprise utilisatrice).DORA ne s’appliquera pas aux micro-entreprises du secteur (moins de 10 personnes et CA inférieur à 2 millions d’euros). Ce plafond en revanche ne concerne pas les prestataires IT.
“Le projet DORA couvre également l’intégrité, la sûreté et la résilience des infrastructures et installations physiques, et les futures obligations relatives à la communication et à la gestion de crise font l’objet, à l’identique du reste de ce texte, d’obligations très détaillées.”
Comment est définie la menace dans DORA ?
La menace provient de la « vulnérabilité systémique » du secteur et des « cyber-incidents » qui risquent de se propager de l’une des quelques 22 000 entités financières de l’UE à l’ensemble du système financier. La menace des rançongiciels a donc eu ce bénéfice de faire comprendre qu’une cyber-attaque ne s’arrête pas aux frontières géographiques d’un état.
La menace est donc le fait d’un problème matériel ou numérique externe, provenant directement d’un tiers malveillant ou indirectement d’une attaque dite de supply chain.
Le projet DORA couvre également l’intégrité, la sûreté et la résilience des infrastructures et installations physiques, et les futures obligations relatives à la communication et à la gestion de crise font l’objet, à l’identique du reste de ce texte, d’obligations très détaillées.
Qu’est-ce que la résilience numérique opérationnelle ?
Cela concerne (i) la disponibilité et (ii) la qualité des services rendus par les entités financières. Il s’agit pour l’UE de lutter contre les conséquences de tout type d’incidents affectant la production informatique des entreprises du secteur.
L’article 1er du projet DORA est d’ailleurs assez clair sur ce point : il s’agit d’assurer la sécurité des réseaux et des systèmes d’information sous-tendant les processus opérationnels des entités financières, c’est-à-dire la continuité de leurs activités opérationnelles.
Il faudra également pour les entreprises du secteur s’assurer de limiter les dégâts et de redémarrer la production afin de résoudre immédiatement et rapidement tout incident, DOSSIER RÉGLEMENTAIRELIGHT UPnotamment en cas de cyber-attaque. Dans ce cas, la priorité doit être donnée à la reprise des activités et aux mesures de rétablissement.
DORA prend néanmoins soin de préciser que le redémarrage de l’activité de l’entité impactée ne devra « en aucun cas compromettre l’intégrité et la sécurité des réseaux et des systèmes d’information ni la confidentialité des données ».
Comment cela se traduit-il concrètement ?
DORA se décompose en un inventaire d’obligations techniques à mettre en œuvre portant notamment sur les politiques, procédures et contrôles de l’identification des utilisateurs et du contrôle d’accès aux systèmes d’information. Il est également question de protection des secrets cryptographiques avec la mise en place de mécanismes d’authentification forte, et des systèmes de contrôle dédiés pour empêcher l’accès aux clés de chiffrement sur la base des résultats des processus approuvés de classification des données.
Les systèmes et applications informatiques essentiels seront soumis au moins une fois par an à l’évaluation de l’état de préparation de leur sécurité numérique. Pour cela, il faudra recenser leurs faiblesses, défaillances ou lacunes pour pouvoir mettre rapidement en œuvre des mesures correctives. A ces fins, il faudra établir, maintenir et réexaminer des programmes complets de tests numériques, à effectuer par des parties indépendantes, internes ou externes qui devront très probablement être labellisées.
DORA imposera enfin d’assurer un suivi et un contrôle permanents des incidents de sécurité. Pour cela, les entreprises du secteur financier devront mettre en place des mécanismes permettant de détecter rapidement les activités anormales, y compris les problèmes de performance.
Quel est l’impact sur les relations avec les prestataires ?
DORA prévoit toute une série de dispositions relatives au suivi rigoureux du risque lié aux prestataires de services informatiques, lors de la conclusion du contrat de fourniture ou de service, de son exécution, de sa résiliation et de la phase post-contractuelle.En synthèse, il faudra prévoir dans les contrats une description complète des services, l’indication des lieux où les données doivent être traitées, une description complète des niveaux de services accompagnée d’objectifs de performance quantitatifs et qualitatifs, des dispositions sur l’accessibilité, la disponibilité, l’intégrité, la sécurité et la protection des données à caractère personnel, des garanties d’accès, de récupération et de restitution en cas de défaillance des prestataires, les délais de préavis et les obligations d’information (à la charge des prestataires), les droits d’accès, d’inspection et d’audit par les entités financières, des droits de résiliation clairs voire des stratégies de sortie spécifiques.
Conclusion
La future organisation de la résilience opérationnelle devra prendre en compte la réalité tant du fonctionnement des systèmes d’information des entreprises du secteur financier que des services rendus à leurs clients, en BtoB comme en BtoC.
Si les grandes banques et assurances sont probablement bien armées pour anticiper l’arrivée de ce nouveau règlement (2024 à confirmer), il n’en est certainement pas de même pour les plus petites structures et les nombreux sous-traitants qui traitent et partagent les données du secteur. Cette obligation de résilience leur imposera un travail de mise en conformité en profondeur pour mettre en œuvre, de manière concrète, pragmatique et évolutive, un grand nombre de mesures techniques destinées à garantir une gestion solide de leurs risques numériques.
