Les risques de cyber menace deviennent de plus en plus importants et croissants pour le secteur financier. Cela s’explique en partie par des vulnérabilités technologiques, organisationnelles, humaines croissantes et la multiplication de la surface d’attaque (la forte numérisation, le télétravail).
Le 14 décembre 2022, un règlement sur la résilience opérationnelle numérique du secteur financier a été adopté afin d’atteindre un niveau commun élevé de résilience opérationnelle numérique. Ce règlement est plus connu sous son acronyme anglais « DORA » (Digital Operational Resilience Act). (Voir « Le règlement DORA mise sur la résilience opérationnelle du secteur financier »)
La règlementation DORA entre en application le 17 janvier 2025.
Cette réglementation se présente sous 5 piliers majeurs pour les entités soumises à DORA :
- La gestion des risques liés aux TIC,
- La gestion, classification et notification des incidents liés aux TIC
- Les tests de résilience opérationnelle numérique
- La gestion des risques liés aux prestataires tiers de services tic
- Les dispositifs de partage d’informations
Voyons ensemble les exigences de ces 5 piliers.
GESTION DES RISQUES LIES AUX TIC
Une gouvernance et organisation : L’entité financière doit disposer d’un cadre de gouvernance et de contrôle interne qui garantit une gestion efficace et prudente du risque lié aux TIC en vue d’atteindre un niveau élevé de résilience opérationnelle numérique. L’organe de direction de l’entité financière doit définir, approuver, superviser et être le responsable de la mise en œuvre de la gestion des risques liés aux TIC.
Un cadre de gestion des risques liés aux TIC : L’entité financière doit disposer d’un cadre de gestion du risque lié aux TIC solide, complet et bien documenté, faisant partie de son système global de gestion des risques, qui lui permet de parer au risque lié aux TIC de manière rapide, efficiente et exhaustive et de garantir un niveau élevé de résilience opérationnelle numérique.
Des systèmes, protocoles et outils TIC : Afin d’atténuer et de gérer le risque lié aux TIC, l’entité financière doit utiliser et tenir à jour des systèmes, protocoles et outils de TIC dédiés.
Identification : L’entité financière doit identifier, classer et documenter de manière adéquate toutes les fonctions « métiers », tous les rôles et toutes les responsabilités s’appuyant sur les TIC, les actifs informationnels et les actifs de TIC qui soutiennent ces fonctions, ainsi que leurs rôles et dépendances en ce qui concerne le risque lié aux TIC.
Protection et prévention : aux fins de la protection adéquate des systèmes de TIC et en vue d’organiser les mesures de réponse, l’entité financière doit assurer un suivi et un contrôle permanents de la sécurité et du fonctionnement des systèmes et outils de TIC et réduire au minimum l’incidence du risque lié aux TIC sur les systèmes de TIC par le déploiement d’outils, de stratégies et de procédures appropriés en matière de sécurité des TIC.
Détection : L’entité financière doit mettre en place des mécanismes permettant de détecter rapidement les activités anormales, y compris les problèmes de performance des réseaux de TIC et les incidents liés aux TIC, ainsi que de repérer les points uniques de défaillance potentiellement significatifs.
Réponse et rétablissement : L’entité financière doit se doter d’une politique de continuité des activités de TIC complète, qui peut être adoptée en tant que politique spécifique, et qui forme une partie intégrante de sa politique globale de continuité des activités.
Procédures de sauvegarde, méthodes de restauration et de récupération : Dans le but de veiller à la restauration des systèmes et des données des TIC en limitant au maximum la durée d’indisponibilité, les perturbations et les pertes, aux fins de son cadre de gestion du risque lié aux TIC, l’entité financière doit définir et documenter son dispositif de résilience opérationnelle numérique.
Apprentissage et évolution : L’entité financière doit disposer de capacités et d’effectifs pour recueillir des informations sur les vulnérabilités et les cybermenaces, et sur les incidents liés aux TIC, en particulier les cyberattaques, et analyser leurs incidences probables sur sa résilience opérationnelle numérique.
Communication : L’entité financière doit mettre en place des plans de communication en situation de crise qui favorisent une divulgation responsable, au minimum, des incidents majeurs liés aux TIC ou des vulnérabilités majeures aux clients et aux contreparties ainsi qu’au public, le cas échéant.
GESTION, CLASSIFICATION ET NOTIFICATION DES INCIDENTS LIES AUX TIC
Processus de gestion des incidents liés aux TIC : L’entité financière doit définir, établir et mettre en œuvre un processus de gestion des incidents liés aux TIC afin de détecter, de gérer et de notifier les incidents liés aux TIC.
Classification des incidents liés aux TIC et des cybermenaces : L’entité financière doit classer les incidents liés aux TIC et déterminer leur incidence.
Déclaration des incidents majeurs liés aux TIC et notification volontaire des cybermenaces importantes : L’entité financière doit déclarer à l’autorité compétente pertinente les incidents majeurs liés aux TIC.
TESTS DE RÉSILIENCE OPÉRATIONNELLE NUMÉRIQUE
Exigences générales applicables à la réalisation de tests de résilience opérationnelle numérique : Afin d’évaluer l’état de préparation en vue du traitement d’incidents liés aux TIC, de recenser les faiblesses, les défaillances et les lacunes en matière de résilience opérationnelle numérique et de mettre rapidement en œuvre des mesures correctives, l’entité financière doit établir, maintenir et réexaminer, un programme solide et complet de tests de résilience opérationnelle numérique, qui fait partie intégrante du cadre de gestion du risque lié aux TIC.
Test des outils et systèmes de TIC : Le programme de tests de résilience opérationnelle numérique prévoit, l’exécution de tests appropriés, tels que des évaluations et des analyses de vulnérabilité, des analyses de sources ouvertes, des évaluations de la sécurité des réseaux, des analyses des écarts, des examens de la sécurité physique, des questionnaires et des solutions logicielles de balayage, des examens du code source lorsque cela est possible, des tests fondés sur des scénarios, des tests de compatibilité, des tests de performance, des tests de bout en bout et des tests de pénétration.
Tests avancés d’outils, de systèmes et de processus de TIC sur la base de tests de pénétration fondés sur la menace : L’entité financière doit effectuer au moins tous les trois ans des tests avancés au moyen d’un test de pénétration fondé sur la menace. En fonction du profil de risque de l’entité financière et compte tenu des circonstances opérationnelles, l’autorité compétente peut, le cas échéant, demander à l’entité financière de réduire ou d’augmenter cette fréquence.
Exigences applicables aux testeurs afin de réaliser des tests de pénétration fondés sur la menace : Afin de réaliser des tests de pénétration fondés sur la menace, l’entité financière a uniquement recours à des testeurs tels que définis à l’article 27 de DORA.
GESTION DES RISQUES LIÉS AUX PRESTATAIRES TIERS DE SERVICES TIC
Principes généraux : L’entité financière doit gérer les risques liés aux prestataires tiers de services TIC en tant que partie intégrante du risque lié aux TIC dans le cadre de gestion du risque lié aux TIC.
Évaluation préliminaire du risque de concentration de TIC au niveau de l’entité : L’entité financière doit évaluer les avantages et les coûts des solutions alternatives, telles que le recours à différents prestataires tiers de services TIC, en tenant compte de la compatibilité éventuelle des solutions envisagées avec ses besoins et ses objectifs définis dans sa stratégie de résilience numérique, et de la manière de garantir cette compatibilité.
Principales dispositions contractuelles : Les droits et obligations de l’entité financière et du prestataire tiers de services TIC doivent être définis clairement et consignés par écrit. L’intégralité du contrat comprend les accords de niveau de service et est consignée dans un document écrit unique qui est mis à la disposition des parties sur papier, ou dans un document sous un autre format téléchargeable, durable et accessible.
DISPOSITIFS DE PARTAGE D’INFORMATIONS
Dispositifs de partage d’informations et de renseignements sur les cybermenaces : L’entité financière peut échanger des informations et des renseignements sur les cybermenaces, notamment des indicateurs de compromis, des tactiques, des techniques et des procédures, des alertes de cybersécurité et des outils de configuration avec d’autres entités financières.
