Décryptages
17/01/24
DORA #4 : La gestion du risque lié aux TIC, il ne vous reste qu’un an !
DORA est l’acronyme de Operational Resilience Act. L’objectif premier de DORA est donc de renforcer le niveau de sécurité des établissements qui y sont soumis.
Ce renforcement se décline en 4 séries d’exigences :
- La gestion du risque lié aux TIC
- Test de résiliation
- Risques liés aux prestataires tiers de services IT
- Gestion, classement et notification des incidents IT
L’épisode 4 de notre saga juridique concernant DORA porte sur la première de ces 4 séries d’exigences : « la Gestion du risque lié aux TIC ».
Définition – La notion de « risque lié aux TIC » est définie à l’article 3 du Règlement :
« Toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique »
En résumé, il s’agit d’un évènement ou d’une situation (aspect matériel) qui, s’il se matérialise (probabilité), mettra en danger la sécurité du SI avec des effets négatifs aussi bien dans l’environnement numérique que dans l’environnement physique (conséquence).
La gestion de risque en pratique – L’important est moins de définir la notion de risque que de savoir la traiter.
Le cœur du dispositif est fixé à l’article 6 du Règlement. Il s’agit là du « Cadre de gestion du risque lié à l’IT ».
Ce cadre de gestion est en réalité une politique globale, complète et détaillée de la sécurité du SI.
L’article 6 précise que ce cadre est constitué en 5 couches : Outils > Protocoles > Procédures > Politiques > Stratégies
Il est en pratique impossible de plaquer un cadre de gestion du risque standard ou générique, car ce cadre dépend de nombreux paramètre dont la taille de l’entreprise, ses moyens, son exposition au risque, etc.
La mise en œuvre du cadre de gestion de risque est donc nécessairement un travail propre à chaque entreprise.
Le cadre de gestion du risque lié aux TIC est documenté et réexaminé au moins une fois par an, ou périodiquement pour les microentreprises, ainsi qu’en cas de survenance d’incidents majeurs liés aux ICT, et conformément aux instructions des autorités de surveillance ou aux conclusions tirées des tests de résilience opérationnelle numérique ou des processus d’audit pertinents.
Le cadre de gestion doit faire l’objet d’un audit interne qui peut être internalisé (faisant preuve d’une indépendance adéquate) ou confié à un tiers.
Les articles 7 à 13 de DORA approfondissent certains des éléments constituant le cadre de gestion de risques.
L’article 7 fixe un certain nombre d’exigences s’agissant des systèmes, protocoles et outils TIC. L’article 8 est assimilable à une cartographie des risques par métier. L’article 9 s’attache principalement aux exigences de continuité et de disponibilité mais aussi d’authenticité, d’intégrité et de confidentialité des données. L’article 12 est à mettre en corrélation avec l’article 9 dans la mesure où il définit les règles relatives aux politiques et procédures de sauvegarde, procédures et méthodes de restauration et de rétablissement.
Quant aux articles 10 et 11, ils fixent les règles de « détection » des « activités anormales » et de réponse et rétablissement. Parmi les obligations suite à un incident, on notera également les exigences posées par l’article 13 sur les analyses « post incident » qui impose la tenue de RETEX et l’article 14 qui, comme pour le RGPD, impose des obligations en termes de communication externe notamment à l’égard des clients et du public en général.
DORA se veut sur ce point un référentiel d’exigences dont le cumul est de nature à limiter le risque et/ou ses conséquences.
L’impact de DORA sur les « organes de direction » – Le règlement DORA a ceci de particulier qu’il engage la responsabilité des « organes de directions » des entreprises.
Non seulement l’organe de direction « approuve, supervise et est responsable de la mise en œuvre de toutes les dispositions relatives au cadre de gestion du risque lié aux TIC », mais pour ceux qui n’auraient pas bien compris, le règlement DORA précise que l’organe de direction « assume la responsabilité ultime de la gestion du risque lié aux TIC de l’entité financière ».
Ainsi, l’organe de direction assume la pleine et entière responsabilité des exigences fixées par DORA et ne saurait s’en départir au profit du DSI, du RSSI ou encore d’un tiers.
Le détail des obligations de l’organe de direction est défini avec précision à l’article 5 2) de DORA que nul dirigeant ne saurait ignorer.
Plan d’actions – Le règlement DORA sera applicable le 17 janvier 2025
Les entreprises soumises à DORA devront donc être conformes pour cette date.
Le plan de mise en conformité ou de contrôle de conformité doit être mis en œuvre sans délai et constitue un travail important aussi bien pour les acteurs de la sécurité (DSSI/RSSI/Auditeur) que les organes de direction.
Certains analystes estiment que DORA ne fait qu’enfoncer des portes ouvertes et concentre des exigences auxquelles les acteurs visés par le texte sont déjà soumis.
C’est avoir une bien piètre idée de la portée de ce texte en termes d’obligations, mais aussi de référentiel de conformité et d’audit.
Même si le mot d’accountability ne figure pas dans DORA comme il l’est dans le RGPD, il est clair qu’il appartiendra aux établissements bancaires, financiers, assurances de démontrer leur conformité au Règlement.
L’article 6 précise en effet que :
« Un rapport sur le réexamen du cadre de gestion du risque lié aux TIC est présenté à l’autorité compétente à sa demande »
D’autres acteurs, essentiellement les consultants en sécurité, semblent vouloir s’arroger une sorte d’exclusivité sur DORA comme si pour appliquer ce Règlement il suffisait de disposer de seules compétences en matière de sécurité. Il s’agit là aussi d’une erreur d’appréciation qui pourrait porter préjudice à l’entreprise et à ses organes de direction. Nombre de documents et de procédures qui constituent le cadre de gestion de risque sont soit des documents mixtes (techniques mais aussi juridiques), soit ont des conséquences juridiques sur les salariés de l’entreprise comme sur ses clients.
La mise en œuvre de DORA exige la rencontre de 2 compétences pilotées par l’organe de direction : DSI / RSSI + Juridique interne ou externe
Si DORA tient compte de la taille des entreprises dans la mise en œuvre de ces obligations (article 16), les entreprises qui ne se voient pas appliquer à 100% des articles 5 à 15, ont néanmoins les mêmes obligations, toutes proportions gardées, que les grandes entreprises (mise en œuvre du cadre de gestion de risque, surveillance, détection, tests, ou encore mise en œuvre d’une démarche de continuité pour les fonctions critiques ou importantes.)
Rendez-vous prochainement pour notre épisode 5 consacré à la gestion des risques liés aux prestataires tiers de services IT.
A lire également :
DORA #1 : la genèse
DORA #2 : le champ d’application
DORA #3: le cadre répressif
Avocats concernés :