Le compte à rebours de DORA

Le 11 mai 2022, l'Union européenne (UE) est parvenue à un accord provisoire sur la nouvelle loi sur la résilience opérationnelle numérique (DORA). Malgré la formulation, il n’y a rien de « provisoire » à propos de DORA. En fait, l’une des réglementations en matière de cybersécurité les plus ambitieuses au monde pour les services financiers et leurs chaînes d’approvisionnement est pour l’essentiel une affaire accomplie.

Tout ce qui reste avant l’adoption formelle, attendue en octobre prochain, implique principalement une poignée de modifications techniques et de traduction dans les 24 langues officielles des États membres de l’UE.

DORA représente la réponse de l’UE au nombre toujours croissant de cyberattaques contre les institutions financières. Il vise à renforcer la sécurité des entreprises financières de l’UE, telles que les banques, les compagnies d’assurance, les sociétés d’investissement, etc., en imposant des exigences de résilience et en réglementant la chaîne d’approvisionnement. Mais, comme je l'ai noté dans un précédent post, les principes de DORA s’étendent bien au-delà de l’UE et de son secteur financier.

Les exigences uniformes de DORA en matière de sécurité des réseaux et des systèmes d’information englobent non seulement les entreprises du secteur financier, mais également les fournisseurs tiers essentiels fournissant des services liés aux technologies de l’information et des communications au secteur financier, tels que les plateformes cloud et l’analyse de données.

En effet, la portée de DORA s’étend à pratiquement toute entreprise offrant des services de technologies de l’information et des communications (TIC) considérés comme essentiels à la chaîne d’approvisionnement soutenant le secteur financier européen, que cette entreprise ou ce service soit basé ou non dans l’UE. En fait, dans le cadre de DORA, la complexité de la chaîne d’approvisionnement ou le manque de présence de l’UE sont tous deux considérés comme des facteurs de risque.

Imposer de nouvelles perspectives réglementaires

DORA est unique dans le sens où il apporte un niveau nouveau et différent de contrôle réglementaire à une grande variété d'entreprises mondiales. Les exigences de DORA Mandat — et non pas simplement suggérer — le respect de ses dispositions. Tout aussi important, l’impact de ce nouveau niveau de contrôle réglementaire diffère selon le point de vue de l’entreprise.

Les institutions financières, habituées à un environnement réglementaire principalement conçu pour évaluer le risque et la stabilité financières, devront désormais prendre tout aussi au sérieux le risque potentiel posé par leurs opérations TIC. Les institutions financières sont habituées à gérer les risques sous la forme d’exigences de fonds propres. DORA adopte une approche différente en imposant des comportements spécifiques et des exigences basées sur les performances. Du point de vue des institutions financières, cette augmentation du risque a des conséquences sur de multiples aspects de leur activité, comme la manière dont elles consomment la technologie et la façon dont elles transforment leur activité en passant à de nouvelles technologies comme le cloud computing. Cela comprend les stratégies et capacités globales de gestion des risques, la sécurité de la chaîne d’approvisionnement, ainsi que le personnel et les politiques organisationnels visant à garantir une évaluation appropriée des risques liés aux TIC et la conformité.

DORA change également la perspective réglementaire des organisations TIC. Jusqu’à présent, ils ont été réglementés principalement sur des questions liées aux données, telles que la confidentialité des données et la notification des violations de données, sur la base de préoccupations concernant les données personnelles et d’objectifs politiques tels que la souveraineté numérique. Je pense à des règles révolutionnaires, telles que le Règlement général sur la protection des données (RGPD) en Europe et, plus récemment, le California Consumer Privacy Act (CCPA) aux États-Unis.

Les organisations TIC peuvent également avoir d'autres obligations réglementaires en matière de sécurité, ou avoir été classées comme infrastructure critique, selon l'endroit où elles se trouvent, par exemple en vertu de la Directive sur la sécurité des réseaux et de l'information (NIS) en Europe, la Loi sur la cybersécurité 2018 à Singapour, ou législation sectorielle pour des industries spécialisées, comme les télécoms aux États-Unis.

Désormais, si les entreprises de TIC sont au service des institutions financières de l’UE, elles seront très probablement également soumises au DORA. Ainsi, en plus de leurs cadres réglementaires antérieurs, les fournisseurs de TIC désignés comme offrant un service critique seront soudainement réglementés par DORA d'une manière qui donne l'impression qu'ils deviennent extensions des institutions financières de l’UE qu’ils desservent. Quelle que soit la manière dont on considère les choses, il s’agit d’un changement radical, tant pour les institutions financières que pour les fournisseurs de TIC.

Mais ce n'est pas tout. DORA change la perspective de l’établissement réglementaire de l’UE. Les régulateurs experts en matière de conformité des institutions financières doivent désormais étendre leur champ d'action pour inclure les fournisseurs de TIC offrant des services critiques, tels que les fournisseurs de cloud, les services d'analyse de données et d'autres entreprises non financières. Dans les pays dotés de structures réglementaires complexes, il sera également nécessaire de coopérer avec d’autres organismes chargés de réglementer ces autres types d’industries non financières.

Relever les défis

DORA exige que les institutions financières de l’UE évaluent leur propre maturité en matière de cybersécurité et de gestion des risques. Comprendre et gérer les performances en matière de risques liés à la chaîne d’approvisionnement sera au cœur de cet effort.

En général, les institutions financières sont adeptes des tests de résistance pour déterminer la sécurité et la stabilité financière. C’est un tout autre défi que d’étendre ce genre de tests à d’autres organisations. Ainsi, pour le secteur financier de l’UE, la manière de gérer les fournisseurs, la gestion des risques et les capacités opérationnelles dans une chaîne d’approvisionnement de plus en plus complexe et étendue constitue le plus grand casse-tête.

Par exemple, une institution financière peut avoir son siège en Europe mais confier toutes ses activités de support à des entreprises basées en Inde. Ces services de support ne peuvent techniquement pas être des institutions financières. Mais DORA exigera de l'institution financière qu'elle évalue si le fournisseur est essentiel à ses opérations et applique les exigences DORA pertinentes à cette relation.

Pour les entreprises non basées dans l’UE, la question clé est celle de la juridiction et de l’accès au marché. Les institutions financières ou les fournisseurs de TIC opérant en dehors de l’UE ne sont pas concernés. Mais si l’entreprise est une institution financière ou un fournisseur de services TIC au service du secteur financier de l’UE de quelque manière que ce soit, elle sera très probablement soumise à la DORA – directement ou indirectement.

Compte à rebours jusqu'en 2024

Sauf changement dans le texte final, DORA entre en vigueur 24 mois après son adoption officielle. En réalité, cela devrait se produire vers la fin de 2024. La bonne nouvelle est que cela laisse suffisamment de temps aux organisations pour se préparer à la conformité. Plus important encore, il n’est pas trop long pour être inclus dans un cycle budgétaire typique d’une entreprise.

Mais avant que cette échéance ne vous arrive, commencez à vous préparer maintenant. Voici cinq étapes clés :

• Utilisez judicieusement le temps jusqu’en 2024.
• Comprenez où vous êtes. Recherchez, trouvez et identifiez vos lacunes en matière de conformité.
• Déterminez ce dont vous avez besoin pour combler vos lacunes.
• Éduquez et obtenez l’adhésion de la haute direction.
• Budget pour les 24 mois.

L'horloge tourne.