Antoine GUTMANN

Associé

Dossier du moment

ÉTUDE

Étude sur les Directions de la Transformation : Résultats et Bonnes Pratiques

ARTICLE

Publié le

Digital operational resilience act (DORA)

Partager

Le règlement « DORA » du parlement européen, qui rentre en application en janvier 2025, définit une série d’exigences sur la résilience opérationnelle digitale. Il s’applique à toutes les entités financières opérant en Europe.

De nombreux acteurs ont cependant pris du retard dans l’implémentation et doivent se mettre en ordre de marche rapidement pour tenir les échéances et éviter d’être mis en défaut par le régulateur.

Parmi les principales nouveautés mises en lumière par le règlement, nous avons :

Gouvernance et Organisation

  • La mise en place d’un cadre de gouvernance et de contrôle interne qui garantit une gestion efficace et prudente des risques liés aux TIC, avec le comité exécutif assumant la responsabilité finale du respect du règlement

Cadre de gestion des risques des TIC

  • L’établissement d’un cadre solide, complet et documenté de gestion des risques liés aux TIC
  • La mobilisation des moyens nécessaires pour protéger correctement tous les actifs informatiques et informationnels

Gestion et communication des incidents

  • La mobilisation des moyens nécessaires pour assurer une réponse rapide, appropriée et efficace aux incidents informatiques, ainsi que des plans de communication de crise à l’attention des collaborateurs, du régulateur, des clients et autres contreparties

Tests de résilience opérationnelle digitale

  • Le développement d’un programme de tests de pénétration fondés sur la menace (TLPT), à faire valider par superviseur et dont la fréquence minimum est de 3 ans

Gestion des risques des prestataires de services TIC

  • La tenue à jour d’un registre d’informations, qui agrège tous les accords d’utilisation de services TIC fournis par des tiers et identifie les services qui supportent les fonctions critiques

Reporting et partage d’informations

  • Le reporting au superviseur (en France, l’ACPR) d’informatiques spécifiques relatives aux prestaires de services TIC, aux incidents majeurs et aux tests TLPT
  • La possibilité donnée aux entités financières d’échanger entre elles des informations spécifiques et sensibles relatives aux cyberattaques

Dispositions contractuelles

  • L’identification et la formalisation des droits et obligations de l’entité financière et des prestataires de services tiers en matière de TIC
  • La rédaction impérative de tous les accords
  • L’usage de clauses spécifiques et normalisées dans les nouveaux contrats de TIC

L’ensemble de l’entreprise est impacté

  • Le sujet doit être travaillé avec des acteurs hors DSI, en particulier les risques et le juridique, qui doivent être fortement impliqués pour garantir le succès du projet
  • Le règlement impose aux entités financières à formuler concrètement leur propre stratégie de gestion des risques des TIC et à faire évoluer les modes de fonctionnement

Une marche accessible

  • Contrairement à d’autres règlementations, les entités financières ne partent pas d’une feuille blanche : les politiques et procédures existent, qu’elles soient ou non formalisées, documentées et/ou conformes au règlement
  • Le règlement laisse une marge d’interprétation et de compréhension, facilitant son adaptation à chaque contexte et in fine son application

D’autres bénéfices à saisir

  • Au-delà de respecter le règlement, la révision des politiques, des processus et des procédures actuelles permet par exemple de contrôler davantage les risques opérationnels et les risques des tiers

Une méthodologie éprouvée

  • Nous avons développé un framework spécifique au DORA qui s’appuie sur les documents techniques (RTS(1) et ITS (2)) et l’avons déjà mis en application
  • Nous avons conduit de nombreux projets de mise en conformité (RGPD, KYC…)

Une connaissance des best practices

  • Nous croisons nos analyses et nos recommandations sur les normes d’actualité en matière de cybersécurité (normes ISO, CIS Controls…)

Des accélérateurs à disposition

  • Notre approche personnalisée par typologie d’organisation et d’activité permet de rapidement détourer les éléments nécessaires au diagnostic
  • Une gamme de documents « templates » pour accélérer la mise en conformité (Politiques, procédures…) et à adapter à chaque contexte organisationnel

(1) Regulatory Technical Standards (2) Implementation Technical Standards

Nous vous accompagnons du diagnostic à la mise en conformité.

Et maintenant comment on fait en pratique ?

TELECHARGEZ NOS CONVICTIONS ET NOTRE APPROCHE

Auteurs : Antoine GUTMANN, Quentin DERIVRY

Antoine GUTMANN

Associé

Dossier du moment

ÉTUDE

Étude sur les Directions de la Transformation : Résultats et Bonnes Pratiques

Les contenus associés