Le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 22 décembre 2022 (« DORA ») appelle les entités financières (SGP, PSI, établissements de crédit, prestataires de services sur crypto-actifs) et leurs cocontractants prestataires de services liés aux technologies de l’information et de la communication (« TIC ») à mettre à jour/en place des mécanismes et politiques spécifiques pour le traitement des incidents liés aux TIC, ainsi que des procédures pour la gestion des risques liés aux prestataires tiers de services TIC.

Entré en application dans l’UE le 17 janvier 2025, DORA traduit la volonté des autorités européennes d’encadrer et d’harmoniser la gestion des risques liés à l’utilisation des TIC devenue centrale ces dernières années dans la fourniture de certains services financiers (paiements, compensation et règlement des OST, trading algorithmique, opérations de prêt, gestion de créances, etc.). 

Le texte vise à renforcer la résilience informatique des entités financières auxquelles il s’applique pour leur permettre de faire face aux menaces et incidents liés au recours à des prestataires de services TIC dans le cadre de leurs activités, tout en garantissant un encadrement et une supervision efficace de ces derniers au niveau européen (DORA s’applique également aux prestataires de services TIC qui opèrent au sein de l’Union européenne dans les services financiers, ce qui implique une mise à jour des contrats conclus avec ces derniers).

Le règlement se décompose en cinq grands thèmes que les entités doivent dorénavant intégrer dans les différents dispositifs et politiques impactés (notamment cybersécurité, gestion des risques et contrôle interne, externalisation, audit, contrats avec des prestataires de services TIC, etc.).

1-Le dispositif de gestion des risques liés aux TIC (articles 6 et suivants)

Les entités financières soumises à DORA doivent mettre en place (et tenir à jour continuellement) un cadre de gestion du risque lié aux TIC permettant d’identifier et de maîtriser les risques liés aux TIC. Ce cadre de gestion doit faire l’objet d’audits réguliers réalisés par des auditeurs faisant preuve d’une « indépendance adéquate » et possédant des compétences et connaissances suffisantes en matière de risque lié aux TIC.

Le cadre de gestion du risque lié aux TIC vise : les stratégies, les procédures, les protocoles et les outils de TIC qui sont nécessaires pour protéger dûment et de manière appropriée tous les actifs informationnels et les actifs de TIC, y compris les logiciels, le matériel informatique, les serveurs, ainsi que toutes les composantes et infrastructures physiques pertinentes, telles que les locaux, etc.

Documents impactés : procédures de cybersécurité, de contrôle interne, de gestion des risques et d’externalisation (notamment).

2-La détection des incidents liés à l’utilisation de TIC (articles 17 et suivants)

Les entités financières doivent définir et mettre en œuvre un processus de gestion des incidents TIC afin de détecter, de gérer et de notifier les incidents TIC et les cybermenaces importantes aux autorités compétentes en la matière. 

En particulier, elles doivent mettre en place des procédures destinées à identifier, suivre, consigner, catégoriser et classer les incidents liés aux TIC en fonction de leur priorité et de leur gravité et en fonction de la criticité des services touchés.

Document impacté : procédure de cybersécurité.

3-Les tests de la résilience opérationnelle numérique (articles 24 et suivants)

Les entités financières doivent instaurer un programme de tests de résilience opérationnelle numérique afin de s’assurer de l’efficacité des dispositifs mis en œuvre pour pallier les menaces importantes liées à l’utilisation de services TIC et aux cybermenaces. 

Le règlement précise que ces tests doivent être menés par des parties indépendantes internes ou externes.

Ce programme de tests prévoit l’exécution de tests appropriés, et notamment des :

• évaluations et analyses de vulnérabilité, 
• analyses de sources ouvertes, 
• évaluations de la sécurité des réseaux, 
• examens de la sécurité physique, 
• questionnaires et solutions logicielles de balayage, 
• examens du code source lorsque cela est possible, 
• tests fondés sur des scénarios, et
• tests de performance et de pénétration.

Document impacté : procédure de cybersécurité.

4-La gestion des risques liés aux prestataires de services TIC (articles 28 et suivants)

Les entités financières doivent désormais tenir compte des nouvelles exigences du règlement DORA dans leurs relations avec les prestataires auxquels elles délèguent des fonctions fondées sur des services liés aux TIC.

En particulier, ces entités doivent :

• adopter une stratégie en matière de risques liés aux prestataires tiers de services TIC (et la réexaminer régulièrement),
• tenir à jour un registre d’informations portant sur tous les contrats conclus avec les tiers prestataires de services TIC,
• définir une politique d'utilisation des services TIC concernant les fonctions critiques ou importantes,
• réaliser un certain nombre de diligences avant la conclusion d’un contrat avec un prestataire de services TIC (déterminer si l’accord concerne une fonction critique ou importante, identifier et évaluer tous les risques pertinents ayant trait à l’accord contractuel, s'assurer des qualités du prestataire et identifier et évaluer les conflits d’intérêts susceptibles de découler de l’accord contractuel).
• réaliser des audits avant de conclure un accord, et ne conclure des accords qu’avec des prestataires tiers de services TIC respectant des normes adéquates en matière de sécurité de l’information, 
• mettre en place de stratégies de sortie pour les services TIC soutenant des fonctions critiques ou importantes, en cas de défaillance du prestataire, et
• mettre en œuvre une surveillance continue de la relation avec le prestataire de services TIC.

Documents impactés : procédure de cybersécurité et d’externalisation, contrats d’externalisation.

5-Les dispositifs de partage d’informations liées à la cybersécurité (articles 45 et suivants)

DORA encourage les entités financières à échanger entre elles des informations et des renseignements sur les cyber menaces, notamment des indicateurs de compromis, des tactiques, des techniques et des procédures, des alertes de cybersécurité et des outils de configuration, dans la mesure où ce partage d’informations et de renseignements : 

• vise à améliorer la résilience opérationnelle numérique des entités financières,
• se déroule au sein de communautés d’entités financières de confiance, et
• repose sur des dispositifs de partage des informations qui protègent la nature potentiellement sensible des informations partagées et qui sont régis par des règles de conduite dans le plein respect de la confidentialité des affaires, de la protection des données à caractère personnel conformément au RGPD et des lignes directrices sur la politique de concurrence.

Le règlement DORA (niveau 1) doit encore être précisé au cours de ces deux prochaines années par des normes de niveau 2 (RTS et ITS). 

Source : règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022.

Léa Oïffer-Bomsel, avocate senior chez De Gaulle Fleurance