Le projet de règlement européen sur la résilience opérationnelle numérique a été ratifié et publié au Journal Officiel de l’Union Européenne

En bref

• Un accord final a été conclu sur le règlement européen « Digital Operational Resilience Act » (DORA). Celui-ci a été ratifié et publié au Journal Officiel (JO) de l’Union Européenne le 27 décembre 2022. Ce nouveau texte représente l’initiative réglementaire la plus significative de l'UE en matière de résilience opérationnelle et de cybersécurité dans le secteur des services financiers et contribue considérablement à la consolidation et à la mise à niveau des exigences auxquelles les entreprises seront confrontées.
• Le texte obligera les entreprises à adopter une vision plus large de la résilience, avec une responsabilité claire des dirigeants des entreprises concernées. Elle s'applique à la grande majorité des établissements du secteur financier opérant dans l'UE et établit des règles contraignantes pour la gestion des risques liés aux TIC (Technologies de l’Information et de la Communication), la notification des incidents, les tests de résilience et la gestion des risques de tiers.
• Le texte établit également le premier cadre au monde permettant aux superviseurs des services financiers de surveiller les fournisseurs critiques de TIC, y compris les fournisseurs de services Cloud.
• L'accord ratifié par le Parlement Européen lors de la session de novembre 2022 et publié au Journal Officiel de l’Union Européenne le 27 décembre 2022 donne aux entreprises une base sur laquelle elles peuvent commencer à travailler dès à présent pour se préparer à la mise en œuvre.
  
• Les entreprises doivent maintenant effectuer une analyse d‘écart pour élaborer une feuille de route permettant de concevoir et mettre en œuvre un cadre de résilience opérationnelle amélioré d'ici le 17 janvier 2025, conformément aux nouvelles exigences du DORA.
  
• Les entreprises doivent également réfléchir à la manière dont le DORA pourrait agir comme catalyseur pour gérer les risques numériques et comprendre l'impact des perturbations opérationnelles sur leurs activités et leurs clients.
• Dans cette analyse, réalisée par des experts de Deloitte à travers toute l’Europe, nous explorons les changements significatifs que les entreprises devront effectuer à la suite de DORA et les défis potentiels auxquels elles vont être confrontées dans la mise en œuvre de ses cinq piliers.
   

Vue d'ensemble

Les négociateurs de l’Union Européenne sont parvenus à un accord technique sur le projet de règlement DORA. Il a été ratifié lors de la session du Parlement Européen de novembre 2022 et publié au JO de l’Union Européenne le 27 décembre 2022. Les entreprises du secteur financier doivent commencer à évaluer les conséquences sur leurs activités dès à présent. Nous pensons que le DORA va changer la donne et pousser les entreprises du secteur financier à analyser plus en détail comment leurs pratiques en matière de TIC, de résilience opérationnelle, de cybersécurité et de gestion des risques de tiers affectent la résilience de leurs fonctions les plus critiques, et à développer de nouveaux outils de surveillance, tels que des méthodes avancées de tests d’intrusion basés sur les menaces.

Pour ce faire, les entreprises disposeront d'une période de mise en œuvre relativement courte de 24 mois. La période de mise en œuvre commence 20 jours après la publication au JO. Cela signifie que, d'ici le 17 janvier 2025, les autorités de surveillance des services financiers compétentes attendront des entreprises qu'elles se conforment pleinement à toutes les nouvelles exigences du DORA, y compris la manière dont ces exigences sont élaborées par les Autorités Européennes de Surveillance (AES) par le biais des règlements techniques d’application (voir la Partie II ci-dessous).

Partie I 
Que signifie l'accord final du DORA pour les acteurs ?
Analyse des cinq piliers de l'accord DORA 

La version du DORA qui a été acceptée par les législateurs préserve les cinq piliers clés de la proposition initiale de la Commission Européenne. D'après notre analyse de l'accord technique final, nous identifions les implications suivantes :

Le cadre de gestion des risques liés aux TIC du DORA impose à l'instance dirigeante de l'entreprise d'assumer "l'entière et ultime responsabilité" de la gestion des risques liés aux TIC, de définir et d'approuver sa stratégie de résilience opérationnelle numérique, et d'examiner et d'approuver la politique de l'entreprise en matière d'utilisation des fournisseurs de TIC, entre autres responsabilités. Le DORA donne aux autorités compétentes le pouvoir d'imposer des sanctions administratives et des mesures correctives aux membres de l'instance dirigeante pour toute infraction au règlement.

Les exigences du DORA en matière de gestion des risques liés aux TIC sont largement conformes aux lignes directrices de l'ABE/EBA (Autorité Bancaire Européenne) sur la sécurité et la gestion des risques liés aux TIC (2019) et de l'AEAPP/EIOPA (Autorité européenne des assurances et des pensions professionnelles) sur la Sécurité et la Gouvernance des TIC (2020). Toutefois leur caractère nouvellement contraignant, lié au fait qu'elles figurent désormais dans la législation de premier niveau, va intensifier l'examen prudentiel auquel les entreprises peuvent s'attendre.

Le cadre de gestion des risques liés aux TIC exige des entreprises qu'elles fixent des tolérances de risque pour les perturbations des TIC, guidées par des indicateurs clés de performance et des mesures de risque. Les entreprises doivent également identifier leurs "Fonctions Critiques ou Importantes" et cartographier leurs actifs et dépendances. L'inclusion des fonctions critiques ou importantes dans le texte final du DORA est une évolution significative. Pour satisfaire à ces exigences, la plupart des entreprises devront élargir leurs capacités de résilience opérationnelle, définir plus clairement leur appétence au risque en cas de perturbation des fonctions critiques (et pas seulement en cas de défaillance technologique ou de cyberattaque), et être en mesure de cartographier et de comprendre plus précisément les interconnexions entre leurs actifs, processus et systèmes TIC et la manière dont elles maitrisent la prestation de services.

Un nouvel ajout dans le texte final du DORA est l'obligation pour les entreprises d'effectuer des analyses d'impact sur les entreprises basées sur des scénarios de "perturbation grave des activités" (également présente dans les directives de l'ABE). Cela contribuera probablement à accroître la pression exercée par les autorités de surveillance sur les entreprises pour qu'elles développent des méthodes de test de scénarios plus sophistiquées (à l'instar de ce que l'on observe par exemple au UK en matière de résilience opérationnelle) et pour qu'elles intègrent la redondance et la substituabilité dans les systèmes qui soutiennent leurs fonctions critiques ou importantes.

Le cadre de déclarations des incidents du DORA vise à rationaliser un certain nombre d'obligations européennes existantes en matière de notification des incidents qui s'appliquent aux entreprises du secteur financier. Il créera néanmoins une nouvelle structure substantielle de classification, de notification et de déclaration qui obligera les entreprises à améliorer leur capacité à collecter, analyser, transmettre et diffuser les informations concernant les incidents et les menaces liés aux TIC. Selon nous, la plupart des établissements ne possèdent pas actuellement toutes les capacités nécessaires pour évaluer l'impact quantitatif des incidents et analyser leurs causes suivant un niveau de profondeur qui sera requis dans le cadre du DORA.

Le texte final du DORA ajoute les "cybermenaces significatives" à la liste des événements que les entreprises doivent classer. Cependant, conformément aux modifications parallèles apportées à la directive sur la sécurité des réseaux d'information (NIS2), leur déclaration sera facultative. Toutefois, dans le cas où un client ou une contrepartie est exposé à une cybermenace importante, le texte européen exige que les entreprises du secteur financier en informent les autorités et leur fournissent des détails sur les mesures de protection appropriées prises pour se défendre. Les entités sont également tenues de recenser toutes les cybermenaces importantes, ce qui nécessitera une capacité de gestion des incidents plus élevée pour surveiller, traiter et résoudre les cyberattaques.

En ce qui concerne la déclaration des incidents liés aux TIC, le texte final supprime tous les délais de déclaration initialement prévus par la proposition et laisse aux AES le soin de les préciser dans des normes techniques (18 mois après l'entrée en vigueur). Pour les entreprises, cela signifie qu'il faudra attendre un certain temps avant d'avoir une vision plus claire de la faisabilité opérationnelle du nouveau cadre.

Enfin, les AES devraient également préparer un rapport conjoint évaluant la faisabilité d'une centralisation accrue de la déclaration des incidents par la mise en place d'un centre européen unique pour la notification par les établissements des incidents majeurs liés aux TIC. La rationalisation de la déclaration des incidents liés aux TIC devrait réduire la charge que représente la conformité à de multiples exigences de déclaration des incidents dans le secteur financier, tout en favorisant une meilleure compréhension collective des cybermenaces sur une base transfrontalière.

Le texte européen établit une exigence de test de résilience opérationnelle numérique pour toutes les établissements (à l'exception des plus petits), qui devront :

• montrer qu'ils effectuent au moins une fois par an un ensemble approprié de tests de sécurité et de résilience sur leurs "systèmes et applications TIC critiques" (une définition potentiellement plus granulaire que les fonctions critiques ou importantes) ;
• "remédier pleinement" à toutes les vulnérabilités identifiées par les tests. Avec l'exigence d'analyse de l'impact sur les affaires, cela pourrait devenir un domaine important d'examen prudentiel et pousser les entreprises à développer des capacités de test et d'analyse de scénarios plus larges et plus précises ; et,
• les entreprises dépassant un certain seuil d'importance systémique et de maturité (à préciser par une Norme Technique Réglementaire (NTS), devront effectuer des tests de pénétration avancés basés sur les menaces (TLPT : Threat-Led Penetration Testing) tous les trois ans.

Les négociateurs ont choisi de préciser que la méthodologie des tests TLPT devait être développée en conformité avec le cadre TIBER-UE existant de la BCE, de sorte que les entreprises qui effectuent actuellement des tests TIBER ou qui s'apprêtent à le faire ont l’assurance que ce travail sera pris en compte dans les exigences de tests avancés du DORA.

Le DORA exige également que les entreprises du secteur du service financier incluent tous les fournisseurs soutenant les fonctions critiques ou importantes dans les exercices de test avancés. Cela est aujourd’hui rarement le cas dans les exercices TLPT dans le secteur du service financier, et c'est quelque chose qui nécessitera probablement une planification importante et une mise en correspondance de la liste des fournisseurs avec le recensement des fonctions critiques ou importantes. Si un fournisseur ne peut pas participer pour des raisons de sécurité, le DORA permet au fournisseur de mener son propre TLPT comme une forme de "test commun" pour les entreprises du secteur financier auxquelles il fournit des services. Il s'agit de développer une relation de confiance, mais qui nécessitera une action collective de la part de l'industrie des services financiers pour être effective.

Les exigences de gestion des risques tiers du DORA sont largement alignées sur les directives existantes des AES, mais les consignes de l'AEMF/ESMA (Autorité Européenne des Marchés Financiers) et de l'AEAPP/EIOPA (Autorité européenne des assurances et des pensions professionnelles) ne couvrent que l'externalisation vers les fournisseurs de service Cloud. Le DORA étendra donc ces exigences à l'externalisation des TIC hors fournisseurs de service Cloud pour les entreprises qui n'appliquent pas les directives de l'ABE.

Les exigences du DORA en matière de gestion des risques tiers, comme les textes des AES, contiennent un certain nombre de clauses contractuelles que les entreprises doivent inclure dans les contrats d'externalisation des TIC avant la date limite de mise en œuvre au 17 janvier 2025. L'inscription de ces clauses dans un règlement contraignant, comme le fait le DORA, augmentera la pression sur les entreprises du secteur des services financiers pour qu'elles négocient ces clauses avec leurs fournisseurs, alors qu'elles n'y sont pas parvenues auparavant. Certaines clauses, telles que celles prévoyant un "accès illimité aux installations" des sous-traitants dans les contrats engageant les fonctions critiques ou importantes, peuvent être plus difficiles à mettre en œuvre que d'autres.

Le DORA a été modifié lors des négociations pour faire du développement d'une "stratégie holistique multifournisseurs" une partie facultative de la stratégie de gestion des risques liés aux TIC, mais les superviseurs auront encore plusieurs leviers à utiliser pour influencer les entreprises dans ce domaine. Les entreprises doivent procéder à des évaluations du risque de concentration pour tous les contrats d'externalisation qui soutiennent la fourniture de fonctions critiques ou importantes. Il s'agira d'une tâche difficile en soi, mais aussi d'une tâche qui pourrait rendre certaines décisions relatives au modèle opérationnel difficiles à justifier auprès des superviseurs sans l'adoption d'une approche multifournisseurs de service Cloud par exemple ou sans disposer d'un cadre de résilience crédible pour démontrer pourquoi cela n'est pas nécessaire.

Les nouveaux pouvoirs de surveillance des AES prévus par la proposition du DORA initiale sont largement maintenus par l'accord final. Cela signifie que les fournisseurs de TIC désignés comme "critiques" seront soumis à des pouvoirs de surveillance étendus qui permettront aux AES de les évaluer, de leur demander de modifier leurs pratiques de sécurité et de les sanctionner s'ils ne le font pas. Cela poussera les fournisseurs critiques de TIC à démontrer qu'ils peuvent améliorer la résilience de leurs propres opérations qui soutiennent les entreprises du secteur financier, et en particulier lorsque les fonctions critiques ou importantes des entreprises du secteur financier sont impliquées.

Plusieurs nouvelles garanties ont été ajoutées dans le texte final du DORA concernant la capacité des autorités à ordonner aux entreprises du secteur financier de suspendre ou de résilier leurs contrats avec les fournisseurs critiques de TIC. Les entreprises devraient ainsi avoir la certitude que ces pouvoirs ne seront utilisés que dans des circonstances exceptionnelles et en tenant compte de l'impact qu'ils auraient sur le secteur.

La version finale du DORA étend également de manière significative le rôle du Forum de Surveillance Conjointe (Joint Oversight Forum - JOF), un groupe composé des AES, des autorités compétentes, des superviseurs et d'experts indépendants. Le JOF jouera désormais un rôle plus important dans l'élaboration de meilleures pratiques pour la surveillance des fournisseurs critiques de TIC et pourrait, à terme, établir une norme plus claire pour leur niveau de résilience attendu.

Partie II
Des normes techniques importantes sont encore à venir  

L'une des principales caractéristiques du DORA est de préciser comment les nouvelles règles pratiques de fonctionnement seront déléguées dans le cadre de l’élaboration de règles de second niveau. Dans la plupart des cas, les AES travaillant ensemble au sein du forum conjoint, élaboreront ces règles sous forme de RTS/NTR (Normes Techniques Réglementaire) ou d’ITS/NTI (Normes Techniques d'Implémentation). Dans le cas du cadre de surveillance des fournisseurs critiques de TIC, la Commission européenne élaborera deux Actes Délégués (voir le Tableau 1 ci-dessous pour une liste de toutes les mesures de Niveau 2 dans le DORA).

Une conséquence pratique du processus des règles de Niveau 2 : une période de 12 à 18 mois d'incertitude est à prévoir pour les entreprises concernant certains aspects du Règlement, notamment en ce qui concerne le cadre de déclaration des incidents liés aux TIC ; et les règles et le champ d'application des tests de résilience avancés, entre autres. Pendant cette période, les entreprises devront toutefois avancer avec les travaux de mise en œuvre qu'elles peuvent entreprendre sur la base du texte de Niveau 1. Les entreprises doivent également prêter une attention particulière aux versions consultatives des NTR/NTI lorsqu'ils sont publiés, car généralement assez similaires aux versions finales qui sont finalement adoptées par les AES.

Tableau 1 : Mandats et calendrier de Niveau 2 du DORA

Partie III
Les entreprises doivent maintenant agir

Maintenant que l'accord technique sur le DORA a été finalisé, ratifié et publié au JO de l’Union Européenne, les entreprises du secteur financier doivent planifier activement la mise en œuvre du règlement. Comme nous l'avons dit plus haut dans cette analyse, nous pensons que le DORA va changer la donne en ce qui concerne la manière dont les entreprises du secteur financier abordent la résilience opérationnelle, car il les poussera à adopter une vision plus large de la résilience et à développer de nouvelles capacités sophistiquées dans des domaines tels que l'identification des fonctions critiques ou importantes, la communication des informations, la mesure de l'impact et les tests. Le DORA doit être considéré comme un catalyseur permettant aux entreprises d'accélérer le changement stratégique dans la manière dont elles gèrent les risques numériques, et dans l'efficacité avec laquelle la direction et les conseils d'administration sont capables d'évaluer l'impact commercial des perturbations opérationnelles et de comprendre les mesures d'atténuation à leur disposition.

Réaliser tout cela en 24 mois sera une tâche considérable, notamment parce que les entreprises devront tenir compte des normes techniques de Niveau 2 au fur et à mesure qu'elles seront disponibles et finalisées. En prenant de l'avance avant le début de la période de mise en œuvre, les entreprises gagneront un temps précieux pour se préparer. En particulier, les entreprises doivent garder à l'esprit les deux considérations suivantes :

Se préparer à un engagement accru en matière de surveillance : lorsque le DORA entrera en vigueur, il accordera aux autorités de surveillance nationales et européennes de nouveaux mandats et pouvoirs considérables en matière de résilience opérationnelle numérique. Au lieu de considérer le DORA comme un exercice de conformité consistant à "cocher des cases", les entreprises doivent s'attendre à ce que leurs autorités compétentes élaborent des cadres de surveillance qui utilisent leurs nouveaux pouvoirs pour pousser les acteurs à améliorer leur capacité à évaluer et à renforcer leurs capacités liées à la résilience opérationnelle. Plus les autorités de surveillance comprendront la résilience opérationnelle, plus elles seront susceptibles d'avoir des exigences détaillées sur la manière de s’y conformer. Les entreprises doivent également être conscientes du fait que lorsque plusieurs autorités sont impliquées, que ce soit au niveau prudentiel ou en matière de conformité, issues de différents pays ou de l'UE, les éventuelles différences d'objectifs et de priorités en matière de surveillance de l'impact des perturbations des TIC pourraient rendre encore plus difficile la réponse aux attentes.

Pour comprendre comment ces cadres de surveillance sont susceptibles de se développer, les entreprises devraient se concentrer sur les domaines du DORA qui exigent des résultats réguliers pouvant être remis en question par les autorités de surveillance. Par exemple, les nouvelles exigences en matière d'analyse d'impact dans le chapitre sur la gestion des risques liés aux TIC, lues en parallèle avec l'obligation pour les entreprises d'effectuer au moins une fois par an des tests de résilience pour les systèmes soutenant les fonctions critiques ou importantes et de "remédier entièrement" à toute vulnérabilité identifiée, semblent devoir constituer une priorité pour les entreprises. Il est probable que les superviseurs les poussent à se pencher sur la gravité des scénarios utilisés, la sophistication des méthodes de test, la granularité de la cartographie des systèmes sous-jacents et l'exhaustivité du travail de remédiation des vulnérabilités identifiées.

Identifier les capacités qui nécessiteront un investissement/un développement : bon nombre des nouvelles exigences du DORA nécessiteront un investissement substantiel en matière de gouvernance, de gestion des risques et de la conformité autour des fonctions TIC, de cyber et gestion des risques tiers, ainsi que des travaux de suivi pour remédier aux vulnérabilités opérationnelles identifiées. Les entreprises doivent effectuer une analyse des besoins et des écarts sur la base des exigences finales du texte de Niveau 1 du DORA, et la mettre à jour au fur et à mesure que les projets de normes de Niveau 2 sont disponibles, afin d'identifier et combler les lacunes en matière de capacités, de ressources et d'expertise qui existent actuellement et qui devront être corrigées au cours de la période de mise en œuvre de 24 mois. Sur la base de notre analyse de l'accord final du DORA, cette analyse des écarts devrait se concentrer en particulier sur :

• Les pratiques de gouvernance des risques liés aux TIC, y compris l'identification des fonctions critiques ou importantes ;
• La maturité des capacités de collecte et d'analyse des données sur les incidents et les menaces ;
• La sophistication des tests de scénarios et de la conception de scénarios sévères (comme indiqué au point ci-dessus) ; et
• L'intégration des processus et des données d'externalisation des TIC (y compris la capacité des entreprises à analyser les risques de concentration chez les tiers et leurs sous-traitants).

Certains acteurs des services financiers, comme les grands groupes transfrontaliers, auront des niveaux de capacités plus élevés que d'autres et pourront avoir une longueur d'avance pour se conformer aux nouvelles exigences de la loi européenne. Toutefois, les autorités de surveillance s'attendront probablement à ce que les grandes entreprises disposent de capacités mieux développées et à ce que les entreprises dont les perturbations opérationnelles pourraient entraîner des conséquences systémiques en raison de la criticité de leurs services disposent de capacités de pointe. Toutes les entreprises sont donc susceptibles d'être confrontées aux enjeux du règlement européen et de la période de mise en œuvre de 24 mois qui débutera plus tard cette année. Elles ne devraient donc pas perdre de temps et commencer à planifier la mise en œuvre du DORA dès aujourd'hui.