Presentation Seminaire Dora Mazars
Presentation Seminaire Dora Mazars
Presentation Seminaire Dora Mazars
DORA
Pourquoi DORA ?
22 May 2023
Résilience opérationnelle
Pourquoi DORA ?
• La directive européenne Digital Operational Resilience Act-DORA établit des exigences uniformes relatives au risque cyber des entités financières de l’Union Européenne.
4
Résilience opérationnelle
Champs d’application
Banques et sociétés
Assurances Gestion d’actifs Observateurs Prestataires
financières
• Etablissements de crédit • Entreprises d’assurance et • Sociétés de gestion • Agences de notation de • Tiers prestataires de
• Etablissements de de réassurance • Dépositaires centraux de crédit services informatiques
paiement • Intermédiaires titres • Contrôleurs légaux des • Prestataires de services sur
• Etablissements de d’assurance, de • Contreparties centrales comptes et cabinets cryptoactifs
monnaie électronique réassurance et d’audit • Emetteurs de cryptoactifs et
• Entreprises • Plateformes de • Administrateurs d’indices de
d’assurance à titre de jetons
d’investissement accessoire négociation référence d’importance
• Institutions de • Référentiels • Prestataires de services de
critique
retraite centraux communication de
professionnelle • Gestionnaires de fonds données
d’investissement • Prestataires de services de
alternatifs financement participatif
• Référentiels des
titrisations
• L’application des règles en matière de résilience opérationnelle numérique est appliquée de façon proportionnée aux entreprises concernées en fonction de la taille, des
profils d’activité ou de l’exposition au risque numérique.
5
Résilience opérationnelle
Dans quels délais ?
25/02/2021 Début 2023 Mi 2023 Début 2024 30/06/2024
•
Incidents Incidents Risques de tiers
Arrêté modifiant celui du
3 novembre 2014 en
DORA
matière de gestion du • RTS sur • RTS sur les sous-
risque informatique pour Entrée en • RTS sur les critères de le reporting des incidents traitants/fonctions critiques ou
le secteur bancaire, les vigueur classification des majeurs liés à l’info (TIC) importantes
services de paiement et • ITS sur l’établissement • Mettre en place un GL sur la
incidents liés à
d’investissement l’information (TIC) d’un reporting des structure de la surveillance
majeurs incidents TIC • RTS sur la spécification des
• Guideline sur la informations sur la conduite
consolidation des coûts et de la surveillance
pertes causées par les
incidents majeurs
6
Les 5 piliers de DORA
22 May
20237
Résilience opérationnelle
Les cinq piliers du règlement DORA
• Gouvernance et • Processus de gestion des • Dispositif d’échange • Programme de tests de • Suivi rigoureux du risque
organisation appropriée incidents liés à d’informations entre les résilience sur les outils et SI lié aux prestataires de
l’informatique formalisé et entreprises financières sur les services informatiques
• Cadre de gestion des effectif cybermenaces et • Tests de résilience
risques informatiques dysfonctionnements avancés (tests de • Supervision des prestataires
adapté et resilient • Classification des pénétration par la informatiques critiques par
incidents menace) les AES
• Mesures techniques de
résilience harmonisées • Notification aux autorités • Diligences approfondies sur
des incidents informatiques les compétences, l’expertise
majeurs et l’intégrité des testeurs
8
Résilience opérationnelle
Cadre de gestion des risques informatiques
• DORA conforte les règles de gouvernance et de gestion des risques en vigueur. • Gouvernance renforcée :
• Niveau approprié de tolérance aux risques liés aux TIC
• Politique de continuité des activités liées aux TIC
• Les entités financières doivent : • Plan de reprise d’activité
• mettre en œuvre un cadre formel de gouvernance et de gestion des • Investissement en matière de TIC
risques liés aux TIC, • Formation des membres de l’organe de direction
• mettre en place et maintenir des systèmes et outils de TIC résilients. • Stratégie de résilience opérationnelle numérique formalisée
9
Résilience opérationnelle
Notification des incidents
• DORA harmonise la gestion des incidents informatiques, notamment les plus impactant en définissant un cadre structuré en 4 grandes étapes:
• Les étapes 1 & 2 sont généralement en place, répondant aux bonnes pratiques ITIL ou
Cobit. DORA énonce de grands axes d’analyse pour la qualification :
4.Notification aux a) le nombre d’utilisateurs ou de contreparties financières touchés
autorités
b) la durée de l’incident, y compris les interruptions de service
c) la répartition géographique et les zones touchées, en particulier si celui-ci touche plus de deux
États membres
d) les pertes de données occasionnées telles que la perte d’intégrité, la perte de confidentialité ou
3.Communication
la perte de disponibilité
e) la gravité des effets de l’incident et la criticité des services touchés
f) les conséquences économiques, en termes absolus et relatifs
2.Qualification &
Analyse d’impact • La communication attendue lors d’un incident informatique est davantage orientée vers les
utilisateurs internes, les partenaires au sens (très) large :
• Les plans pour la communication à l’intention du personnel, des parties prenantes externes et des
médias, conformément à l’article 13, et pour la notification aux clients, les procédures internes
de remontée des incidents, y compris les plaintes des clients liées aux TIC, ainsi que pour la
fourniture d’informations aux entités financières qui agissent en tant que contreparties, le cas
1.Identification échéant;
• La notification vers les autorités concerne uniquement les incidents majeurs dont une
nomenclature harmonisée sera publiée dans les RTS. Un dossier dédié sera à formaliser selon un
calendrier strict (jour j, une semaine puis un mois).
10
Résilience opérationnelle
Partage d’information
Notion portée par l’article 40, sur la possibilité de partager autour des
dispositifs de défense et des menaces entre les entités financières. Il s’agit
davantage d’un point de vigilance sur les règles de partage.
11
Résilience opérationnelle
Tests de résilience
• DORA rassemble les grands principes de résilience énoncés dans les derniers textes européens ou sectoriels, et se place ainsi comme un texte
« ombrelle ». Il ne s’agit pas d’une surcouche, plutôt d’une consolidation des dispositifs répondant des exigences éparses.
• DORA propose une vision holistique des risques (ou menaces) pouvant affecter la résilience qu’ils soient informatiques, cyber ou physiques. Ce qui nécessite la
définition d’une stratégie globale de résolution donc de tests selon les différents scénarios de menace définis par l’entité.
12
Résilience opérationnelle
Gestion du risque de tiers
• DORA conforte les principes de gestion des tiers des lignes directrices de l’EBA :
Étude précontractuelle
Registre des risques Stratégie de sortie
• Publication annuelle par les AES de la liste des prestataires critiques au niveau
de l’UE.
(a) une description claire et exhaustive de tous les services et fonctions qui seront
fournis par le tiers prestataire de services informatiques,
(d)des descriptions complètes des niveaux de service, y compris leurs mises à jour
et révisions, et des objectifs de performance quantitatifs et qualitatifs
14
Résilience opérationnelle
Gestion du risque de tiers
Extrait de l’article 27 – clauses contractuelles (2/2)
15
Facteurs clés de succès
22 May
202136
7 facteurs clés de succès
1.Mode projet
Démarrer au plus tôt en mode projet en embarquant les
bons acteurs
2.Stratégie
Définir une stratégie globale de résilience
7.Instances dirigeantes
Sensibiliser le top management aux enjeux de la
réglementation 3.Culture du risque
Développer la culture autour des risques TIC
6.Veille
Disposer d’une vision holistique des
règlementations en cours et à venir 4.Gestion des tiers
Faire évoluer sa relation avec ses partenaires TIC
5.Capitalisation
Consolider les dispositifs relatifs à la résilience et
gestion des risques IT (yc Cyber)
17
Facteurs clés de succès
18