Pas facile de faire la synthèse d’un Règlement UE aussi dense que DORA, le Règlement n°2022/2554 du 14 décembre 2022.
D’autant moins que le projet initial v1 du 24 septembre 2020 a beaucoup évolué dans sa version finale (enfin) publiée au JO de l’Union Européenne le 27 décembre 2022.
D’ailleurs, le même jour, l’UE a publié la Directive NISv2 (Directive 2022/2555) ainsi que la Directive « sur la résilience des entités critiques » n°2022/2557. Nous reviendrons bien évidemment sur ces deux textes dans les semaines qui viennent…
A l’invitation de Nicolas COURTIER et de Gilles ROUVIER de CYBERLEX, j’ai le plaisir de présenter une synthèse de DORA le 12 janvier 2023 dans une version en BD entièrement refondue et « spéciale juriste » .
Mieux qu’un plan, voici en 1 slide les 4 principes de DORA à retenir pour les entreprises impactées. Je n’invente rien, il s’agit là de la synthèse de l’article 1er de DORA.
Entre « résilience opérationnelle numérique » , « gestion du risque » et « test de résilience » , c’est sûr… le sujet n’est pas très parlant…
Le sujet est plus compréhensible lorsque l’on évoque l’objectif (obligatoire) de sécurisation des réseaux et des systèmes d’information des entreprises du secteur financier.
Merci à tou(te)s les professionnel(le)s de la cyber-sécurité, de la gestion de crise ou de la gouvernance, qui ont pris de leur temps pour décoder cette législation très technique :
Jean-Philippe GAULIER DG de CYBERZEN
Sylvain LECONTE, DG de COGICEO
Vladimir KOLLA DG de PATROWL
Stéphanie LEDOUX CEO de ALCYCONIE
Gérard GARNIER CEO de CINETIQUE
Rassurez-vous, Hercule est toujours là pour illustrer quelques explications sur cette réglementation qui entre en vigueur le 17 janvier 2023 et en application le 17 janvier 2025.
Nous profiterons de cette introduction pour reposer les définitions légales de « réseau [de communications électroniques] » et de « système d’information » .
Heureusement, la toute nouvelle Directive UE NIS « v2 » (n°2022/2555 du 14 décembre 2022) n’a pas modifié ces deux définitions essentielles (et tout à fait pertinentes) qui provenaient de la Directive NIS de 2016 aujourd’hui abrogée.
Puisqu’il s’agit d’une directive, allez lire ces définitions dans le texte français de transposition de NIS#1 (article 1er loi n°2018-133 du 26 février 2018).
Faisons d’abord le point sur le concept de « résilience » appliqué aux systèmes d’information du secteur financier.
Le terme est à la mode puisqu’il est utilisé dans le titre de la Directive n°2022/2557 « résilience des entités critiques » publié le même jour que DORA.
Ne vous y trompez pas, il ne s’agit pas d’un simple glissement sémantique (passer de cyber-sécurité à cyber-résilience), mais bien d’un changement de paradigme dans le domaine de la sécurité des systèmes d’information.
Avant DORA, il fallait faire de la sécurité « défensive » , pour se protéger a posteriori.
Avec le concept de « résilience » , il s’agit pour les entreprises du secteur financier de s’organiser, dès le départ, pour travailler malgré les pannes et surtout, malgré les cyber-attaques.
Nous ne sommes pas encore arrivés au concept de « security by design » , mais on devine qu’il s’agira de l’ultime étape à franchir pour notre régulateur européen.
Là, pas de commentaire si ce n’est allez lire l’inventaire à la Prévert des « entités » impactées pour savoir si vous êtes concerné(e)s.
Et vérifiez si, par chance, votre entreprise bénéficie d’une exception ou d’un régime dérogatoire.
N’oublions pas dans cette liste TOUS les prestataires IT des entités financières, les « prestataires tiers de service TIC » pour reprendre l’appellation officielle utilisée dans DORA (pas possible de faire plus simple ? non ? vraiment ?).
Les mots-clé à retenir : #cyber-attaque #panne #cyber-menace !
Ajoutons #vulnérabilité et #malware, quoi que les logiciels malveillants soient totalement absents de DORA. Curieux, non ?
C’est sur ce point que la version finale de DORA a beaucoup changé.
Voyons donc en détail ce que l’UE entend par « cadre de gestion du risque TIC » .
Nous allons beaucoup évoquer les notions de « risque » , de « gestion des risques » et d’ « analyse de risque » .
Voyons ce que sont les « actifs de TIC » et les « actifs informationnels » . Si notre législateur se soucie tant aujourd’hui de « sécurité de l’information » , c’est bien pour forcer la protection des data, les « actifs informationnels » .
Impossible de ne pas évoquer le « principe de proportionnalité » de l’article 4 de DORA, qui rendra la mise en oeuvre pratique de ce texte particulièrement complexe, sauf pour les « entités financières » qui feront le choix d’adopter une politique de type ceinture + bretelles (qui aurait l’inconvénient de couter cher…).
C’est assez technique déjà à ce stade, alors faisons simple.
Attention sur ce chapitre : évolution majeure, on ne parle plus de « Politique de Sécurité des Systèmes d’Information » , mais bien de « politique de sécurité de l’information » .
Avant, il s’agissait de protéger les « outils numériques » . Maintenant, l’attention législative se focalise sur « l’actif » à protéger : l’information, les « data » .
Passons sur les concepts de « disponibilité » , d’ « authenticité » , d’ « intégrité » et de « confidentialité » appliqués aux données numériques des entités financières. Vous verrez en 1 slide combien ces 4 termes sont systématiquement repris dans toutes les législations UE ou FR qui traitent de la sécurité des systèmes d’information.
Voyons surtout – ça intéressera les juristes – les différents types de documents/chartes/plans que les entités financières vont devoir adopter et implémenter.
Ami(e)s juristes, ne sautez pas par la fenêtre en lisant le titre. Je vous le promets, nous n’allons faire qu’une synthèse rapide des aspects techniques.
Nous ajouterons juste quelques mots sur l’obligation de détection « des activités anormales » , juste l’essentiel pour que vous puissiez conseiller de manière éclairée vos « clients », internes ou non, sur ce qu’impose DORA.
Vous ne serez pas surpris(e)s d’entendre qu’il faudra déclarer les « incidents majeurs » aux autorités de contrôle…
Mais le gros des mesures à mettre en place concerne la détection, la qualification et la gestion de tous les incidents de sécurité, pas seulement ceux qualifiés de « majeurs ».
Survol de comment ça va marcher à partir du 17 janvier 2025.
Voici une révolution pour les entreprises du secteur financier : l’obligation d’organiser des tests.
Au moins tous les ans.
Et des tests à mener, l’UE en a trouvé de 12 sortes différentes… Petit survol rapide (promis !).
C’est ici que les juristes vont avoir le premier rôle, alors insistons sur ce chapitre de DORA, particulièrement fourni.
Des obligations, il va y en avoir :
(i) avant signature des contrats (la sélection des prestataires),
(ii) pendant l’exécution des contrats (la surveillance des prestataires) et
(iii) en vue de la résiliation des contrats voire après !
Si vous lisez tout ça, vous comprendrez pourquoi DORA va bien nécessiter 24 mois de mise en oeuvre.
Juste un point rapide sur les obligations les plus nouvelles ou les plus saillantes.
Tiens, on ne parle plus d’ « hygiène » numérique dans la version finale de DORA qui n’évoque plus que des actions de « sensibilisation » . C’est dommage.
Je sens que je vais répondre à plein de questions de la part des juristes et des avocats de Cyberlex…
PS : évidemment, j’ai menti pour les 100 slides. Y’en a beaucoup plus… C’est à cause des auteurs de cet « Hercule » tout à fait génial. Merci à Messieurs Morvan, « Looky » et Thill pour ces trois tomes !
Sélectionné par Virginie GASTINE MENOU