13/05/2024
Cybersecurity Insights
Les tâches récurrentes prévues dans le règlement DORA
Le règlement « Digital Operational Resilience Act », également connu sous l’acronyme DORA, a pour objectif d’amener les entités financières à évaluer puis à mitiger leurs risques de dépendances aux technologies de l’information et de la communication (TIC). Complétant les dispositifs réglementaires existants, DORA exige la mise en place d’une série de mesures, dont certaines doivent être accomplies régulièrement.
Le règlement 2022/2554 du 14 décembre 2022 dit « Digital Operational Resilience Act », également connu sous l’acronyme DORA, constitue un apport majeur au corpus législatif voulu par le régulateur européen. En effet, l’un des thèmes principaux de DORA est le concept de résilience opérationnelle numérique, dont l’objectif est de compléter les dispositifs réglementaires existants visant à garantir la solidité du système financier par la mise en place d’une série de mesures. Dans un contexte de numérisation globale de la société et de dépendance aux outils digitaux, cette activité est pleine de sens pour toutes les parties intéressées du marché : citoyens, entreprises, pouvoirs publics, nous avons tous à y gagner !
La philosophie du texte est d’amener les entités financières (notamment les institutions des secteurs bancaires et assuranciels) à évaluer puis à mitiger leurs risques de dépendances aux technologies de l’information et de la communication (TIC). Pour les entités concernées par DORA, tout commence par une mise en adéquation avec les exigences du règlement. Toutefois, la conformité étant un processus continu, certaines tâches doivent être accomplies régulièrement. L’objectif de cet article est d’apporter une vision synthétique de ces tâches, que nous pourrions dire récurrentes.
La fréquence d’exécution des tâches récurrentes
Deux éléments permettent de déterminer à quelle fréquence les tâches récurrentes doivent être effectuées : selon le principe de proportionnalité ; selon la lettre du texte.
- Tout d’abord, l’article 4 du règlement expose un principe de proportionnalité, appliqué par les entités financières concernées « en tenant compte de leur taille et de leur profil de risque global ainsi que de la nature, de l’ampleur et de la complexité de leurs services, activités et opérations ». Ainsi, l’analyse menée par l’entité fera ressortir un profil de risque global.
Par exemple, ce profil de risque permettra d’interpréter l’article 11.4 qui prévoit que « les entités financières mettent en place, maintiennent et testent périodiquement des plans de continuité ». Le législateur européen a fait le choix volontaire du terme périodiquement afin de permettre d’adapter cette fréquence, qui pourra varier en fonction des conclusions de l’analyse de proportionnalité mentionnée à l’article 4. - Ensuite, dans certains cas, DORA mentionne expressément la fréquence de récurrence attendue pour l’exécution de la tâche. L’article 6 du règlement dispose par exemple que « le cadre de gestion du risque lié aux TIC est documenté et réexaminé au moins une fois par an » par l’entité financière. Ainsi, le texte précise que le dispositif de conformité doit prévoir une fréquence d’évaluation qui soit a minima annuelle.
Il est à noter que le règlement applique le mécanisme suivant : provoquer la mise en œuvre de la récurrence de la tâche à la survenance d’un évènement le justifiant, sans attendre l’échéance exacte de son renouvellement. Cela permet d’accélérer la mise à jour des référentiels et, in fine, d’améliorer la résilience de l’entité financière.
Tableau récapitulatif des fréquences nécessaires pour les tâches récurrentes
L’attribution de l’exécution des tâches récurrentes
Les tâches récurrentes sont principalement attribuées soit à l’entité soit à l’organe de direction de l’entité, selon cette chaîne de responsabilité :
La majorité des tâches récurrentes est constituée par la mise à jour des documents et référentiels constituants le dispositif DORA au sein de l’entité financière mais des campagnes de tests sont également prévues. L’article 24.6 prévoit par exemple de « soumettre, au moins une fois par an, tous les systèmes et applications de TIC qui soutiennent des fonctions critiques ou importantes à des tests appropriés ». Au vu de la récurrence et de la nature de l’obligation ici visée, la responsabilité échoit en premier lieu au responsable désigné du dispositif en raison de sa vision de l’ensemble des processus. Il aura ensuite la charge de répartir les tâches selon les compétences au sein de l’entité financière, jusqu’aux cas où l’externalisation est nécessaire.
L’organe de direction, quant à lui, est visé par l’article 5, notamment en ce qu’il assume « la responsabilité ultime de la gestion du risque lié aux TIC de l’entité financière ». Il doit ainsi régulièrement approuver, superviser et examiner les documents cadres du dispositif DORA ; allouer le budget ; maintenir les connaissances et compétences suffisantes pour maîtriser les risques liés aux TIC. Ainsi, s’il en est attendu essentiellement une fonction de gouvernance, exercée périodiquement, l’organe de direction doit cependant faire preuve de sa maîtrise du sujet et de son implication dans la chaîne de responsabilité.
Les éléments nécessaires à l’exécution des tâches récurrentes
De façon incidente, les responsables des tâches récurrentes ont besoin d’avoir accès à de nombreux éléments pour remplir leur mission. Par exemple, l’article 5 impose à l’organe de direction d’approuver et examiner « périodiquement les plans internes d’audit des TIC et les audits des TIC de l’entité financière ». Pour satisfaire cette obligation, l’organe de direction doit avoir accès aux plans concernés, ce qui créé une chaîne de dépendance au sein de l’entité.
Tableau récapitulatif des différents éléments internes nécessaires pour l’exécution des tâches récurrentes
La mise à jour et l’accès à ces différents éléments, probablement répartis chez différents interlocuteurs, requiert un référent DORA au sein de l’entité, qui puisse disposer d’une vision d’ensemble. C’est ainsi que la chaîne de dépendance pourra être assurée et que chacune des fonctions “responsable” d’une tâche récurrente sera en mesure de respecter les exigences formulées par le règlement.
Illustration de la chaîne de dépendance : le mécanisme de restauration des données
Le sujet de la restauration des données, visé par l’article 12, illustre parfaitement la dynamique de la chaîne de dépendance : le règlement prévoit que « les entités définissent et documentent : […] des procédures et méthodes de restauration et de rétablissement ». Ainsi, adossée au mécanisme de sauvegarde, la restauration des données doit être documentée. Elle doit également être testée périodiquement, selon les modalités prévues par l’alinéa 3, qui dispose que « lorsqu’elles restaurent des données de sauvegarde à l’aide de leurs propres systèmes, les entités financières utilisent des systèmes de TIC qui sont séparés physiquement et logiquement du système de TIC source » afin de garantir la sécurité des systèmes de TIC.
Etapes à suivre pour documenter et évaluer périodiquement le mécanisme de restauration des données
Chacune des étapes numérotées peut être attribuée à un référent différent au sein de l’entité, selon la répartition la plus adaptée (compétence, connaissance du système, appétence pour le sujet, etc.). Cela implique donc, une fois les premières étapes de construction du dispositif achevées, d’avoir accès aux documents afin de les mettre en œuvre (pour les tests) et les tenir à jour (pour les procédures et méthodes).
La mise en conformité au règlement DORA fait appel à différentes compétences. N’hésitez pas à vous faire accompagner par les experts Almond, qui sauront dimensionner l’offre de conseil en conformité selon vos souhaits.
Olivier PREVOST
Consultant Governance, Risks & Compliance