Flash infos

Retour

Flash infos

17/01/24

DORA #4 : La gestion du risque lié aux TIC, il ne vous reste qu’un an !

DORA est l’acronyme de Operational Resilience Act. L’objectif premier de DORA est donc de renforcer le niveau de sécurité des établissements qui y sont soumis.

Ce renforcement se décline en 4 séries d’exigences :

  1. La gestion du risque lié aux TIC
  2. Test de résiliation
  3. Risques liés aux prestataires tiers de services IT
  4. Gestion, classement et notification des incidents IT 

L’épisode 4 de notre saga juridique concernant DORA porte sur la première de ces 4 séries d’exigences : « la Gestion du risque lié aux TIC ».

Définition – La notion de « risque lié aux TIC » est définie à l’article 3 du Règlement :

« Toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique »

En résumé, il s’agit d’un évènement ou d’une situation (aspect matériel) qui, s’il se matérialise (probabilité), mettra en danger la sécurité du SI avec des effets négatifs aussi bien dans l’environnement numérique que dans l’environnement physique (conséquence).

 

La gestion de risque en pratique – L’important est moins de définir la notion de risque que de savoir la traiter.

Le cœur du dispositif est fixé à l’article 6 du Règlement. Il s’agit là du « Cadre de gestion du risque lié à l’IT ».

Ce cadre de gestion est en réalité une politique globale, complète et détaillée de la sécurité du SI.

L’article 6 précise que ce cadre est constitué en 5 couches : Outils > Protocoles > Procédures > Politiques > Stratégies

Il est en pratique impossible de plaquer un cadre de gestion du risque standard ou générique, car ce cadre dépend de nombreux paramètre dont la taille de l’entreprise, ses moyens, son exposition au risque, etc.

La mise en œuvre du cadre de gestion de risque est donc nécessairement un travail propre à chaque entreprise.

Le cadre de gestion du risque lié aux TIC est documenté et réexaminé au moins une fois par an, ou périodiquement pour les microentreprises, ainsi qu’en cas de survenance d’incidents majeurs liés aux ICT, et conformément aux instructions des autorités de surveillance ou aux conclusions tirées des tests de résilience opérationnelle numérique ou des processus d’audit pertinents.

Le cadre de gestion doit faire l’objet d’un audit interne qui peut être internalisé (faisant preuve d’une indépendance adéquate) ou confié à un tiers.

Les articles 7 à 13 de DORA approfondissent certains des éléments constituant le cadre de gestion de risques.

L’article 7 fixe un certain nombre d’exigences s’agissant des systèmes, protocoles et outils TIC. L’article 8 est assimilable à une cartographie des risques par métier. L’article 9 s’attache principalement aux exigences de continuité et de disponibilité mais aussi d’authenticité, d’intégrité et de confidentialité des données. L’article 12 est à mettre en corrélation avec l’article 9 dans la mesure où il définit les règles relatives aux politiques et procédures de sauvegarde, procédures et méthodes de restauration et de rétablissement.

Quant aux articles 10 et 11, ils fixent les règles de « détection » des « activités anormales » et de réponse et rétablissement. Parmi les obligations suite à un incident, on notera également les exigences posées par l’article 13 sur les analyses « post incident » qui impose la tenue de RETEX et l’article 14 qui, comme pour le RGPD, impose des obligations en termes de communication externe notamment à l’égard des clients et du public en général.

DORA se veut sur ce point un référentiel d’exigences dont le cumul est de nature à limiter le risque et/ou ses conséquences.

 

L’impact de DORA sur les « organes de direction » – Le règlement DORA a ceci de particulier qu’il engage la responsabilité des « organes de directions » des entreprises.

Non seulement l’organe de direction « approuve, supervise et est responsable de la mise en œuvre de toutes les dispositions relatives au cadre de gestion du risque lié aux TIC », mais pour ceux qui n’auraient pas bien compris, le règlement DORA précise que l’organe de direction « assume la responsabilité ultime de la gestion du risque lié aux TIC de l’entité financière ».

Ainsi, l’organe de direction assume la pleine et entière responsabilité des exigences fixées par DORA et ne saurait s’en départir au profit du DSI, du RSSI ou encore d’un tiers.

Le détail des obligations de l’organe de direction est défini avec précision à l’article 5 2) de DORA que nul dirigeant ne saurait ignorer.

 

Plan d’actions – Le règlement DORA sera applicable le 17 janvier 2025

Les entreprises soumises à DORA devront donc être conformes pour cette date.

Le plan de mise en conformité ou de contrôle de conformité doit être mis en œuvre sans délai et constitue un travail important aussi bien pour les acteurs de la sécurité (DSSI/RSSI/Auditeur) que les organes de direction.

Certains analystes estiment que DORA ne fait qu’enfoncer des portes ouvertes et concentre des exigences auxquelles les acteurs visés par le texte sont déjà soumis.

C’est avoir une bien piètre idée de la portée de ce texte en termes d’obligations, mais aussi de référentiel de conformité et d’audit.

Même si le mot d’accountability ne figure pas dans DORA comme il l’est dans le RGPD, il est clair qu’il appartiendra aux établissements bancaires, financiers, assurances de démontrer leur conformité au Règlement.

L’article 6 précise en effet que :

« Un rapport sur le réexamen du cadre de gestion du risque lié aux TIC est présenté à l’autorité compétente à sa demande »

D’autres acteurs, essentiellement les consultants en sécurité, semblent vouloir s’arroger une sorte d’exclusivité sur DORA comme si pour appliquer ce Règlement il suffisait de disposer de seules compétences en matière de sécurité. Il s’agit là aussi d’une erreur d’appréciation qui pourrait porter préjudice à l’entreprise et à ses organes de direction. Nombre de documents et de procédures qui constituent le cadre de gestion de risque sont soit des documents mixtes (techniques mais aussi juridiques), soit ont des conséquences juridiques sur les salariés de l’entreprise comme sur ses clients.

 

La mise en œuvre de DORA exige la rencontre de 2 compétences pilotées par l’organe de direction  : DSI / RSSI + Juridique interne ou externe 

Si DORA tient compte de la taille des entreprises dans la mise en œuvre de ces obligations (article 16), les entreprises qui ne se voient pas appliquer à 100% des articles 5 à 15, ont néanmoins les mêmes obligations, toutes proportions gardées, que les grandes entreprises (mise en œuvre du cadre de gestion de risque, surveillance, détection, tests, ou encore mise en œuvre d’une démarche de continuité pour les fonctions critiques ou importantes.)

 

Rendez-vous prochainement pour notre épisode 5 consacré à la gestion des risques liés aux prestataires tiers de services IT.

 A lire également :

DORA #1 : la genèse

DORA #2 : le champ d’application

DORA #3:  le cadre répressif 

 

Télécharger

Avocats concernés :

Nos autres actualités

Flash infos

25/06/24

DORA #6 : Gestion et notification des incidents liés aux TIC

Le Règlement (UE) 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (« DORA ») définit l’incident lié aux TIC comme suit : – L’« incident lié aux TIC » : un événement ou une série d’événements liés entre eux que l’entité...
Lire la suite

Flash infos

31/05/24

Adoption de nouvelles règles en matière de lutte contre le blanchiment de capitaux et de financement du terrorisme

Le 30 mai 2024, le Conseil de l’Union européenne a définitivement adopté de nouvelles règles de LCB-FT (le « Paquet LCB-FT »). Ce dernier s’inscrit dans le cadre des propositions législatives présentées par la Commission européenne le 20 juillet 2021 en vue de renforcer les règles...
Lire la suite

Flash infos

29/05/24

Adoption du premier traité contraignant sur l’intelligence artificielle

Le 17 mai dernier, le Conseil de l’Europe a adopté le premier traité international juridiquement contraignant visant à garantir le respect des normes juridiques en matière des droits de l’homme, de la démocratie et de l’Etat de droit dans le cadre du recours aux systèmes...
Lire la suite

RSE

7/05/24

Finance durable : la remise du Rapport 29 LEC approche

Le décret d’application n° 2021-663 de l’article 29 de la Loi Énergie-Climat (LEC) du 8 novembre 2019, publié le 27 mai 2021, impose à certaines entités la transmission d’un rapport de transparence extra-financière aux termes duquel elles doivent justifier prendre en compte (le...
Lire la suite

Flash infos

24/04/24

L’IA fait son cinéma : nouveaux horizons technologiques et juridiques

L’avènement de l’intelligence artificielle (IA) transforme de nombreux secteurs, y compris celui du cinéma et de l’audiovisuel, où son impact se fait d’ores et déjà ressentir, de la préproduction à la distribution. Un rapport commandé par le Centre national du cinéma et de...
Lire la suite

Flash infos

16/04/24

La loi sur l’attractivité n’a pas fini de faire parler d’elle

Si le texte a peu évolué en première lecture de l’Assemblée nationale, les réserves de l’AMF détaillées en séance par des députés montrent la nécessité de le retravailler. Retrouvez l’interview de Maud Bakouche et de David Masson dans l’Agefi : Article – accès...
Lire la suite