DORA : toujours des interrogations
Le règlement européen DORA ( Digital Operational Resilience Act) crée un cadre pour les institutions financières. Il a été adopté et doit entrer en vigueur le 1er janvier 2025. Encore plus contraignant que le RGPD, ce texte continue d’interroger sur les actions à entreprendre dans les entreprises.
Cyril Amblard- Ladurantie, GRC Product Marketing Manager chez MEGA International, voit dans ce texte cinq points fondamentaux et un aspect lourd et massif de cette réglementation qui vise à créer un cadre homogène et global pour tout le secteur financier en mettant en avant la résilience du système, et ce jusqu’aux partenaires technologiques des institutions financières. « Le texte est vraiment là pour assurer la stabilité financière et éviter les effets domino possibles » précise- t- il.
S’appuyer sur les bonnes pratiques
Pour beaucoup, la réglementation s’appuie sur une bonne dose de bon sens et de pratiques connues pour renforcer la résilience du système d’information. En premier lieu, la mise en place d’un système de gestion des risques dynamique, ce qui demande de mettre les moyens pour cela et que les instances dirigeantes de l’entreprise comprennent bien le risque engendré par l’informatique. Cela implique, de plus, une connaissance fine du système informatique de l’entreprise et de son architecture afin d’identifier et de cartographier les services les plus critiques et leur infrastructure sous- jacente et de gérer les risques des impacts possibles sur toute la chaîne. Ces différentes opérations doivent pouvoir être auditées. Tout cela doit se partager et avoir un langage commun pour tous les intervenants avec la mise en place de règles de gouvernance. Des échanges et un partage des informations par la threat intelligence entre pairs est un élément intéressant.
Une attention particulière pour les tiers
L’ensemble doit prendre en compte les tiers qui interviennent dans cette chaîne de valeur du SI. Dans le cadre de DORA, il s’agit de répertorier tous les tiers et de s’assurer de leur résilience et des niveaux de services qu’ils peuvent proposer. Ils sont d’ailleurs censés aider dans la résolution d’un incident. Ils doivent eux aussi être prêts à recevoir des demandes d’audit de leurs partenaires ou clients en cas d’externalisation.
Tester encore et encore
Tout ce qui sera mis en place doit être testé pour juger de la continuité d’activité. Ce processus de tests doit être réalisé en continu pour s’adapter au contexte changeant des attaques et des menaces. Une solution doit réaliser un scan en continu du SI.
Des sanctions fortes
Si un incident majeur survient, le texte prévoit, à l’instar du RGPD, une procédure de déclaration de l’incident aux autorités de surveillance nationale ou européenne suivant les cas. Cela sera à l’institution financière d’apporter la preuve qu’elle avait mis en place les procédures et outils adéquats pour traiter et identifier les causes profondes de l’incident et de documenter l’ensemble. Le non- respect du texte peut aller jusqu’à la responsabilité pénale des dirigeants et les institutions financières peuvent se voir infliger une amende pouvant aller jusqu’à 10 millions d’euros ou 5 % de leur chiffre d’affaires annuel total, le montant le plus élevé étant retenu, en cas d’infraction grave au règlement. Sur ce point, les avis diffèrent et certains observateurs ne relèvent pas de plafond sur l’amende comme dans le RGPD.
Des questions récurrentes
Les personnes interrogées pour cet article indiquent des interrogations de leurs clients sur le sujet pour des motifs divers. Baptiste David, responsable avant- vente et déploiement chez Tenacy, met en avant des interrogations des tiers pour savoir si eux aussi doivent se conformer strictement à cette réglementation.
« Le texte est vraiment là pour assurer la stabilité financière et éviter les effets domino possibles. »
Cyril Amblard- Ladurantie, GRC Product Marketing Manager chez MEGA International.