Le règlement UE du Digital Operational Resilience Act (DORA), publié fin 2022, n’est pas encore transposé en droit français, et les normes techniques qui l’accompagnent ne sont pas encore disponibles.
Mais le règlement DORA est déjà suffisamment précis pour que l’on puisse mesurer à quel point les deux années laissées aux institutions financières pour le mettre en application ne seront pas de trop.
Rappelons en les 4 axes principaux :
- la gouvernance et la gestion du risque lié aux TIC,
- la gestion et la notification des incidents liés aux TIC,
- le test des systèmes, contrôles et processus des TIC,
- la gestion des risques liés aux prestataires/tiers de services TIC.
Une formalité ?
Pour certains assureurs, Il s’agira « simplement » de monter d’un cran supplémentaire dans la gestion du risque informatique. Pour d’autres, les changements à opérer relèveront plutôt du changement de paradigme. La conférence ACPR du 05/12/2022 se veut rassurante, sur le mode « rien de vraiment nouveau … mais plutôt des précisions ». Je vous livre ici deux exemples de ce qui risque d’être plus qu’une simple évolution :
Illustration n°1 : La décision d’assumer certains risques informatiques (c’est-à-dire de ne pas faire les efforts budgétaires nécessaires pour les réduire), sous prétexte que les dirigeants ont consciemment soupesé leurs impacts élevés mais incertains versus leurs coûts de maitrise importants et certains, ne sera vraisemblablement plus jugé acceptable. L’ACPR laisse entendre qu’il faudra viser la résilience effective de l’entreprise et de son SI. En d’autres termes la tolérance au risque de rupture d’activité sera très faible.
Au fait, Aviez-vous déjà initié, d’une manière ou d’une autre, la formalisation d’un cadre de tolérance au risque opérationnel ? et plus précisément au risque informatique ?
Illustration n°2 : en matière de test de pénétration, le régulateur sera amené à «certifier» le dispositif mis en place, au vu des méthodes utilisées, des résultats et plans d’actions décidés par l’entité. En quelque sorte, à l’instar de la validation des modèles internes, l’ACPR procédera à la validation des tests de pénétration en termes de pertinence, robustesse et efficacité.
Soyez Pro-actifs
Pour la sous-traitance ou la gestion des incidents, les exigences sont renforcées mais vont dans le même sens que précédemment. Si tant est que les assureurs allaient déjà dans ce sens… :
Disposez-vous déjà d’un « répertoire » ou d’une cartographie dument mise à jour de vos sous-traitants IT critiques et importants ? tous les contrats ont-ils toutes les clauses qui vont bien ?
Les dispositifs de collecte des incidents sont-ils suffisamment matures pour passer d’une logique déclarative à une philosophie d’action préventive ? les déclarations sont elles représentatives du risque réel ?
Si c'est le cas, vous allez pouvoir passer à la nouvelle étape DORA.
Cyfor vous encourage à planifier un plan d’action raisonnable pour vous mettre en conformité, et à communiquer en interne sans tarder pour embarquer tous les acteurs dans les changements d’habitudes, de pratiques et de culture que cela nécessitera.
Comments