Tranche 2 DORA et impact sur le secteur financier

par Tim Jelich - Consultant senior en sécurité de l'information
| minutes de lecture

La mise en œuvre des normes DORA améliore la réactivité des établissements financiers face aux incidents TIC en offrant des délais de déclaration plus flexibles, des rapports simplifiés, et une gestion plus efficace des week-ends et jours fériés. © Getty Images 

 

Le 20 juillet 2024, le monde s'est arrêté pendant plusieurs heures, la faute à une mise à jour logicielle défectueuse ayant paralysé les aéroports et les hôpitaux, ou encore l’accès aux comptes bancaires. Des événements comme celui-ci démontrent la vulnérabilité des infrastructures numériques et l’importance d’un système informatique résilient.  

L’objectif du Digital Operational Resilience Act (DORA) est ainsi de créer un cadre de stabilité opérationnelle numérique à l'échelle de l'UE. Pour mettre ces objectifs en pratique, des Regulatory Technical Standards (RTS), Implementing Technical Standards (ITS) et Guidelines (GL) ont été développés, et leur deuxième tranche est parue le 17 juillet 2024. Ces normes et directives concrétisent les prescriptions de DORA et donnent aux établissements financiers des instructions détaillées sur leur mise en œuvre.  

Dans cet article, nous abordons les aspects les plus pertinents des modifications apportées par la deuxième tranche de DORA pour les institutions financières. 

 

Notification d'incidents graves liés aux TIC (Technologies de l’Information et de la Communication) 

La mise en œuvre des normes renforce la réactivité et la résilience des établissements financiers face aux incidents liés aux TIC, en définissant des exigences et des processus clairs pour la déclaration de ces incidents. Les établissements disposeront ainsi de structures claires pour signaler ces incidents. Les principales modifications sont résumées ci-dessous : 

  • Des délais de déclaration plus souples 

Les délais de reporting ont été allongés afin de donner aux entreprises plus de temps pour collecter et préparer les informations nécessaires. Le délai de déclaration initiale se situe désormais dans un laps de temps de 4 à 24 heures après que l'établissement financier ait défini l'incident comme « grave ». Les autres délais ne se réfèrent plus au moment de la classification, mais à celui du rapport précédent. 

Un rapport intermédiaire doit suivre au plus tard 72 heures après le rapport initial, et le rapport final doit être remis dans un délai d'un mois après la présentation du dernier rapport intermédiaire. 

  • Allègement des règles relatives aux week-ends et aux jours fériés 

L'obligation de présenter un rapport le week-end et les jours fériés a été supprimée. Les entreprises financières ont désormais jusqu'à midi le jour ouvrable suivant pour remettre leurs rapports. 

  • Modèle de rapport raccourci 

Le nombre de champs de rapport a été réduit de 84 à 59, et la notification initiale a été simplifiée de 46 champs obligatoires à seulement 7 champs obligatoires. 

  • Rapports agrégés 

La possibilité a été introduite pour les fournisseurs tiers ou les groupes financiers de soumettre un seul rapport agrégé pour toutes les entreprises financières concernées, pour autant que certaines conditions soient remplies.  

Lignes directrices pour l'estimation des coûts et des pertes agrégés

Les lignes directrices sur l'estimation des coûts/pertes agrégés causés par des incidents majeurs liés aux TIC, décrivent les obligations de déclaration des entreprises financières aux autorités compétentes. Ces directives visent à simplifier la déclaration des pertes financières et à améliorer la comparabilité des données : 

  • Choix de l'année de référence 

Les entreprises financières peuvent désormais choisir entre l'année civile clôturée et l'exercice comptable pour leur rapport.  

  • Estimation simplifiée 

L'exigence d'estimer à la fois les coûts et les pertes bruts et nets a été supprimée pour alléger la charge administrative des entreprises, qui doivent désormais estimer uniquement les coûts et pertes bruts. Cela représente une simplification considérable pour les établissements, grâce à la suppression d’une étape de calcul.  

Threat-Led Penetration Tests  

Avec l'entrée en vigueur du règlement DORA, la réalisation de tests d'intrusion basés sur la menace - appelés Threat-Led Penetration Tests (TLPT) - devient obligatoire. Ceux-ci s'appuient sur la norme TIBER-EU. 

Afin de spécifier quels instituts sont tenus d'effectuer des TLPT et selon quels critères ils doivent être réalisés, un RTS (Regulatory Technical Standard) sur les TLPT a été établi à cet effet : 

  • Des critères plus concrets pour déterminer qui est soumis à l'obligation de TLPT 

Les critères permettant d'identifier les entreprises financières soumises aux TLPT ont été spécifiés. Il s'agit notamment de facteurs tels que "l'impact sur le secteur financier" ainsi que "d'éventuels problèmes de stabilité financière". Les entreprises financières doivent donc vérifier à nouveau si elles sont concernées selon les nouveaux critères, dont certains ont été allégés (par exemple, un volume de transactions de paiement pour les établissements de paiement relevé de 120 milliards à 150 milliards sur deux années consécutives). 

  • Emploi de testeurs 

La durée d'emploi requise pour les testeurs internes a été réduite de deux à un an. 

  • "Pooled TLPTs" et "Joined TLPTs" 

Les deux notions ont été délimitées précisément dans la version actualisée. En outre, la flexibilité pour les établissements et les autorités TLPT de réaliser les tests au niveau individuel ou au niveau du groupe a été accrue. 

Gestion de la sous-traitance par des tiers 

Le RTS (Regulatory Technical Standard) sur la gestion de la sous-traitance à l'appui de fonctions critiques ou essentielles définit les règles de gouvernance, les cadres de gestion des risques et de contrôle interne que les entreprises financières doivent respecter lorsqu'elles font appel à des prestataires de services tiers dans le domaine des TIC : 

  • Principe de proportionnalité 

Le principe central de proportionnalité a été mis en avant par les autorités compétentes. L'article 1 en est un exemple, puisqu'il étend le profil de risque à différents éléments de classification des risques et prévoit des exigences supplémentaires en fonction de l'importance et de la taille de l'entreprise financière. 

  • Périmètre de surveillance de la chaîne de sous-traitance par les entreprises financières 

Dans le projet final du RTS, il a été précisé que les établissements financiers doivent documenter l'ensemble de la chaîne de sous-traitance TIC, en tenant compte des dispositions de l'article 28 (3) de DORA et de l'ITS (Implementing Technical Standard) sur le registre d'informations, et effectuer la surveillance qui en résulte. Cela comprend l'identification des risques avant la conclusion du contrat, et la garantie que les sous-traitants doivent fournir la qualité requise pour les services TIC critiques ou essentiels. Les entreprises financières sont tenues de garantir le respect des exigences réglementaires dans leurs contrats avec des prestataires de services TIC tiers, mais aussi de veiller à ce que des ressources suffisantes soient disponibles pour un contrôle continu, tout au long de la chaîne de sous-traitance.  

Des modifications prometteuses pour l’avenir 

DORA annonce une nouvelle ère de résilience numérique dans le secteur financier. Les projets finaux publiés par les autorités de surveillance européennes après de larges consultations reflètent l'engagement du secteur à travailler ensemble, pour un paysage TIC plus stable et plus sûr, à un coût plus raisonnable. Les ajustements, à la suite du feedback des institutions financières, montrent qu'une approche coopérative entre les régulateurs et l'industrie est non seulement possible, mais aussi extrêmement fructueuse. 

En quoi Sopra Steria peut vous aider ?

La publication de la tranche 2 a apporté de nombreuses précisions et ajustements aux exigences initialement publiées. Sopra Steria peut vous aider à les interpréter et les intégrer à votre feuille de route DORA.  

En effet, DORA va entrer en vigueur dès le 17 janvier 2025. C'est maintenant aux institutions financières de mettre en œuvre ces changements et de les intégrer dans leurs processus. Le temps presse et ceux qui n'ont pas encore effectué d'analyse des écarts doivent le faire sans tarder. La mise en œuvre de DORA n'est pas seulement un exercice obligatoire dicté par la réglementation, mais aussi une opportunité de renforcer la confiance des clients dans l'infrastructure numérique du secteur financier. 

Ensemble, nous pouvons relever les défis et saisir les opportunités qui découlent de la résilience numérique. Bénéficiez dès maintenant de notre capacité à accompagner vos besoins Cyber et Métier grâce à notre vision intégrée du risque et à nos différents outils et méthodologies, notamment dans le cadre de TIBER-EU. 

Pour en savoir plus sur l'impact de ces changements sur votre entreprise et vous faire accompagner par nos experts, cliquez sur ce lien.  

 

Search