Presentation Seminaire Dora Mazars

Télécharger au format pptx, pdf ou txt
Télécharger au format pptx, pdf ou txt
Vous êtes sur la page 1sur 17

Digital Operational Resilience Act –

DORA
Pourquoi DORA ?

22 May 2023
Résilience opérationnelle
Pourquoi DORA ?
• La directive européenne Digital Operational Resilience Act-DORA établit des exigences uniformes relatives au risque cyber des entités financières de l’Union Européenne.

• DORA répond aux 3 principaux enjeux suivants :

Transformation Carences identifiées dans Disparités législatives


numérique et la résilience au sein de l’UE
interconnexion opérationnelle numérique

Renforcer la résilience opérationnelle numérique pour l’ensemble du secteur financier.

4
Résilience opérationnelle
Champs d’application

Une réglementation qui touche l’ensemble du secteur financier.

Banques et sociétés
Assurances Gestion d’actifs Observateurs Prestataires
financières

• Etablissements de crédit • Entreprises d’assurance et • Sociétés de gestion • Agences de notation de • Tiers prestataires de
• Etablissements de de réassurance • Dépositaires centraux de crédit services informatiques
paiement • Intermédiaires titres • Contrôleurs légaux des • Prestataires de services sur
• Etablissements de d’assurance, de • Contreparties centrales comptes et cabinets cryptoactifs
monnaie électronique réassurance et d’audit • Emetteurs de cryptoactifs et
• Entreprises • Plateformes de • Administrateurs d’indices de
d’assurance à titre de jetons
d’investissement accessoire négociation référence d’importance
• Institutions de • Référentiels • Prestataires de services de
critique
retraite centraux communication de
professionnelle • Gestionnaires de fonds données
d’investissement • Prestataires de services de
alternatifs financement participatif
• Référentiels des
titrisations

• L’application des règles en matière de résilience opérationnelle numérique est appliquée de façon proportionnée aux entreprises concernées en fonction de la taille, des
profils d’activité ou de l’exposition au risque numérique.

5
Résilience opérationnelle
Dans quels délais ?
25/02/2021 Début 2023 Mi 2023 Début 2024 30/06/2024


Incidents Incidents Risques de tiers
Arrêté modifiant celui du
3 novembre 2014 en
DORA
matière de gestion du • RTS sur • RTS sur les sous-
risque informatique pour Entrée en • RTS sur les critères de le reporting des incidents traitants/fonctions critiques ou
le secteur bancaire, les vigueur classification des majeurs liés à l’info (TIC) importantes
services de paiement et • ITS sur l’établissement • Mettre en place un GL sur la
incidents liés à
d’investissement l’information (TIC) d’un reporting des structure de la surveillance
majeurs incidents TIC • RTS sur la spécification des
• Guideline sur la informations sur la conduite
consolidation des coûts et de la surveillance
pertes causées par les
incidents majeurs

24/09/2020 10/11/2022 Début 2023 Fin 2023 Mi 2024


• 1ère Proposition de règlement • Adoption par le Parlement Gestion des risques Risques de tiers Tests 2025
du parlement européen et du européen de DORA.
conseil sur la résilience • RTS sur le cadre de • RTS sur la spécification de la • RTS sur la
opérationnelle numérique du gestion des risques info politique relative aux PSI spécification
secteur financier (TIC) • ITS sur l’établissement des aspects lors de la
• RTS sur le cadre simplifié de d’un registre d’information conduite des tests de
gestion des pénétration
risques informatiques (TIC)

• RTS : Regulatory and Technical Standards


• ITS : Implementing Technical Standards

6
Les 5 piliers de DORA

22 May
20237
Résilience opérationnelle
Les cinq piliers du règlement DORA

Gestion du risque de tiers


Cadre de gestion des Gestion des incidents liés Tests de résilience
Partage d’informations prestataires de services
risques informatiques à l’informatique opérationnelle numérique
informatiques

• Gouvernance et • Processus de gestion des • Dispositif d’échange • Programme de tests de • Suivi rigoureux du risque
organisation appropriée incidents liés à d’informations entre les résilience sur les outils et SI lié aux prestataires de
l’informatique formalisé et entreprises financières sur les services informatiques
• Cadre de gestion des effectif cybermenaces et • Tests de résilience
risques informatiques dysfonctionnements avancés (tests de • Supervision des prestataires
adapté et resilient • Classification des pénétration par la informatiques critiques par
incidents menace) les AES
• Mesures techniques de
résilience harmonisées • Notification aux autorités • Diligences approfondies sur
des incidents informatiques les compétences, l’expertise
majeurs et l’intégrité des testeurs

8
Résilience opérationnelle
Cadre de gestion des risques informatiques
• DORA conforte les règles de gouvernance et de gestion des risques en vigueur. • Gouvernance renforcée :
• Niveau approprié de tolérance aux risques liés aux TIC
• Politique de continuité des activités liées aux TIC
• Les entités financières doivent : • Plan de reprise d’activité
• mettre en œuvre un cadre formel de gouvernance et de gestion des • Investissement en matière de TIC
risques liés aux TIC, • Formation des membres de l’organe de direction
• mettre en place et maintenir des systèmes et outils de TIC résilients. • Stratégie de résilience opérationnelle numérique formalisée

• Viser la résilience opérationnelle et non la seule maîtrise du risque


opérationnel.

Prévenir et protéger Détecter


Décrire le dispositif de gestion Décrire le dispositif mis en
des risques liés aux TIC. oeuvre pour détecter les
IDENTIFIER menaces. COMMUNIQUER
Définir des objectifs clairs
Apprendre et évoluer Répondre et rétablir Définir et décrire la
en matière de sécurité de stratégie de
l’information. communication.
Analyser les incidents liés au TIC. Définir la stratégie de
Manager les plans d’actions. communication et de rétablissement
Remédier. en cas d’incidents.

9
Résilience opérationnelle
Notification des incidents
• DORA harmonise la gestion des incidents informatiques, notamment les plus impactant en définissant un cadre structuré en 4 grandes étapes:

• Les étapes 1 & 2 sont généralement en place, répondant aux bonnes pratiques ITIL ou
Cobit. DORA énonce de grands axes d’analyse pour la qualification :
4.Notification aux a) le nombre d’utilisateurs ou de contreparties financières touchés
autorités
b) la durée de l’incident, y compris les interruptions de service
c) la répartition géographique et les zones touchées, en particulier si celui-ci touche plus de deux
États membres
d) les pertes de données occasionnées telles que la perte d’intégrité, la perte de confidentialité ou
3.Communication
la perte de disponibilité
e) la gravité des effets de l’incident et la criticité des services touchés
f) les conséquences économiques, en termes absolus et relatifs
2.Qualification &
Analyse d’impact • La communication attendue lors d’un incident informatique est davantage orientée vers les
utilisateurs internes, les partenaires au sens (très) large :
• Les plans pour la communication à l’intention du personnel, des parties prenantes externes et des
médias, conformément à l’article 13, et pour la notification aux clients, les procédures internes
de remontée des incidents, y compris les plaintes des clients liées aux TIC, ainsi que pour la
fourniture d’informations aux entités financières qui agissent en tant que contreparties, le cas
1.Identification échéant;

• La notification vers les autorités concerne uniquement les incidents majeurs dont une
nomenclature harmonisée sera publiée dans les RTS. Un dossier dédié sera à formaliser selon un
calendrier strict (jour j, une semaine puis un mois).

10
Résilience opérationnelle
Partage d’information
Notion portée par l’article 40, sur la possibilité de partager autour des
dispositifs de défense et des menaces entre les entités financières. Il s’agit
davantage d’un point de vigilance sur les règles de partage.

Améliorer la résilience opérationnelle numérique des entités


financières, le partage se déroule au sein de communautés d’entités
financières de confiance;

Par la nature potentiellement sensible des informations partagées, les


échanges sont régis par des règles de conduite dans le plein respect de la
confidentialité des affaires, de la protection des données à caractère
personnel et des lignes directrices sur la politique de concurrence.

11
Résilience opérationnelle
Tests de résilience
• DORA rassemble les grands principes de résilience énoncés dans les derniers textes européens ou sectoriels, et se place ainsi comme un texte
« ombrelle ». Il ne s’agit pas d’une surcouche, plutôt d’une consolidation des dispositifs répondant des exigences éparses.

• DORA propose une vision holistique des risques (ou menaces) pouvant affecter la résilience qu’ils soient informatiques, cyber ou physiques. Ce qui nécessite la
définition d’une stratégie globale de résolution donc de tests selon les différents scénarios de menace définis par l’entité.

Continuité d’activité Cybersécurité


EVALUER PUPA, Plan de reprise/ de NIS2 pour les secteurs TESTER
secours “stratégiques/vitaux” - TLPT
Identifier et mesurer les Définir et décrire la
risques et menaces stratégie de tests
Résilience Référentiels et
bonnes pratiques
DSP2 pour les prestataires de services de
paiement ISO27xxx, Guidelines
EBA/EIOPA, SecNumCloud…

12
Résilience opérationnelle
Gestion du risque de tiers
• DORA conforte les principes de gestion des tiers des lignes directrices de l’EBA :

Maintien de la Proportionnalité Mise en œuvre


responsabilité du dans la gestion du d’une véritable
risque risque stratégie

Étude précontractuelle
Registre des risques Stratégie de sortie

• Cadre de surveillance des prestataires critiques

Possibilité de demander son


Liste publiée par les AES*
identification comme prestataire
sur la base de critères
critique

• Tous les prestataires (y compris intra-groupe).

• Publication annuelle par les AES de la liste des prestataires critiques au niveau
de l’UE.

* AES : agences européennes de supervision 13


Résilience opérationnelle
Gestion du risque de tiers
Extrait de l’article 27 – clauses contractuelles (2)

• Les accords contractuels relatifs à l’utilisation de services


informatiques comportent au moins les éléments suivants:

(a) une description claire et exhaustive de tous les services et fonctions qui seront
fournis par le tiers prestataire de services informatiques,

(b)les lieux où les services et fonctions visés par le contrat ou la sous-traitance


seront fournis et où les données seront traitées,

(c)des dispositions sur l’accessibilité, la disponibilité, l’intégrité, la sécurité et la


protection des données à caractère personnel et sur la garantie de l’accès, de la
récupération et de la restitution,

(d)des descriptions complètes des niveaux de service, y compris leurs mises à jour
et révisions, et des objectifs de performance quantitatifs et qualitatifs

(e)les délais de préavis et les obligations de notification du tiers prestataire de


services informatiques à l’entité financière, y compris la notification de tout
développement susceptible d’avoir une incidence significative

(f)l’obligation pour le tiers prestataire de services informatiques de fournir, sans frais


supplémentaires ou à un coût déterminé ex ante, une assistance en cas d’incident lié à
l'informatique;

14
Résilience opérationnelle
Gestion du risque de tiers
Extrait de l’article 27 – clauses contractuelles (2/2)

• Les accords contractuels relatifs à l’utilisation de services


informatiques comportent au moins les éléments suivants:

(f)l’obligation pour le tiers prestataire de services informatiques de fournir, sans frais


supplémentaires ou à un coût déterminé ex ante, une assistance en cas d’incident lié à
l'informatique;

(g)l’obligation pour le tiers prestataire de services informatiques de mettre en œuvre


et de tester des plans d’urgence et de mettre en place des mesures, des outils et des
politiques de sécurité en matière de TIC;

(h)le droit d’assurer un suivi permanent des performances du tiers prestataire de


services informatiques, qui comprend i) les droits d’accès, d’inspection et d’audit par
l’entité financière , ii) le droit de convenir d’autres niveaux d’assurance si les droits
d’autres clients sont affectés; iii) l’engagement de coopérer pleinement lors des
inspections sur place effectuées;

(i) l’obligation pour le tiers prestataire de services informatiques de coopérer


pleinement avec les autorités compétentes

(j)les droits de résiliation et le délai de préavis minimal correspondant pour la


résiliation du contrat;

(k)les stratégies de sortie, en particulier la fixation d’une période de transition


adéquate obligatoire.

15
Facteurs clés de succès

22 May
202136
7 facteurs clés de succès

1.Mode projet
Démarrer au plus tôt en mode projet en embarquant les
bons acteurs
2.Stratégie
Définir une stratégie globale de résilience

7.Instances dirigeantes
Sensibiliser le top management aux enjeux de la
réglementation 3.Culture du risque
Développer la culture autour des risques TIC

6.Veille
Disposer d’une vision holistique des
règlementations en cours et à venir 4.Gestion des tiers
Faire évoluer sa relation avec ses partenaires TIC

5.Capitalisation
Consolider les dispositifs relatifs à la résilience et
gestion des risques IT (yc Cyber)

17
Facteurs clés de succès

Passer de la gestion du risque opérationnel à la résilience opérationnelle

PLAN D’ACTIONS &


Risk Appetite
Framework et FEUILLE DE ROUTE
Statement IT
GAP ANALYSIS
Evaluer les impacts identifiés
Proposer des recommandations
Prendre connaissance de
Définir un plan d’action
CADRAGE l’existant pragmatique
Identifier les impacts de DORA sur
les 5 piliers
Valider le périmètre de l’étude
DORA
Identifier les acteurs clés Diffusion de la
Organiser les ateliers culture du risque
au sein de l’entité

18

Vous aimerez peut-être aussi