De nos jours, les risques cyber et les perturbations opérationnelles augmentent de façon exponentielle. Pour protéger son secteur financier, l’Union européenne a introduit la DORA regulation (Digital Operational Resilience Act). Cette loi est officiellement entrée en vigueur le 16 janvier 2023, laissant deux années aux acteurs financiers pour se préparer à sa mise en œuvre finale. Alors qu’elle sera désormais applicable à partir du 17 janvier 2025, les directions achats doivent s’y intéresser de plus près pour en maîtriser les tenants et aboutissants.
Qu’est-ce que la DORA regulation ?
Le Digital Operational Resilience Act (DORA) est un nouveau cadre réglementaire qui adresse les risques induits par la transformation digitale dans les services financiers. C’est ce que souligne Karine Pariente, Associée PwC : « Les banques et les compagnies d’assurance ont besoin d’accéder à un nombre croissant de données internes et externes. Elles sont aussi de plus en plus dépendantes des tiers informatiques. Les normalisateurs européens souhaitent donc s’assurer que le risque généré par ces évolutions est maîtrisé. »
Cette réglementation vise à renforcer la résilience opérationnelle numérique des acteurs financiers, notamment face aux risques cyber. Autrement dit, ils doivent pouvoir résister, répondre et se remettre de toute perturbation opérationnelle liée aux technologies de l’information et de la communication (TIC), garantissant la continuité des activités critiques ou importantes.
La DORA regulation pose un cadre détaillé, harmonisé et complet qui définit les exigences clés afin de garantir la stabilité et la sécurité du système financier à l’échelle européenne. Cela vient ainsi renforcer la cybersécurité, promouvoir la résilience opérationnelle et améliorer la gestion des risques au sein des organisations concernées, tout en facilitant la surveillance et la coordination entre les autorités compétentes.
Vous l’avez compris, le champ d’application de la DORA regulation couvre l’ensemble du secteur financier, dont les banques, les compagnies d’assurance, les bourses, les fonds de pension et les prestataires des services TIC.
Les thématiques couvertes par la DORA regulation
Le règlement DORA couvre cinq grandes thématiques pour encadrer la résilience opérationnelle numérique. Cela va du dispositif de gestion des risques jusqu’au partage d’informations en matière de cybersécurité.
La gestion des risques liés aux TIC
La mise en place d’un solide cadre de gestion des risques liés aux TIC est une étape indispensable du règlement DORA. Cela comprend un dispositif complet et bien documenté, avec des procédures d’évaluation et de gestion des risques, ainsi que des mesures techniques et organisationnelles de protection et de prévention. Tout ceci dans une logique d’amélioration continue.
La gestion, la classification et la déclaration des incidents
Les acteurs financiers doivent enregistrer et classer tous les incidents liés aux TIC et cybermenaces de taille. Ils sont alors tenus de signaler les incidents majeurs auprès des autorités compétentes, dans des délais impartis et selon un modèle préalablement défini. Concrètement, il s’agit de définir et de mettre en œuvre un processus spécifique allant de la détection jusqu’à la notification des incidents.
Les tests de résilience opérationnelle numérique
Les entités financières doivent tester leur résilience opérationnelle numérique à intervalles réguliers. Cela leur permet de vérifier leur état de préparation aux risques, mais aussi d’identifier les éventuelles défaillances et d’actionner les mesures correctives nécessaires. La réglementation recommande d’ailleurs la mise en place d’un calendrier de tests, dont la fréquence et l’intensité des tests dépendront du profil de risques.
La gestion des risques liés aux prestataires
La DORA regulation vient harmoniser les exigences qui existaient jusqu’alors en matière de gestion des risques liés aux tiers fournisseurs de services TIC. Cela implique notamment de définir une stratégie et une politique dédiées en la matière, dans une logique de diligence raisonnable.
Le partage d’informations
Enfin, cette réglementation encourage les acteurs à partager les informations qu’ils détiennent sur les cybermenaces au sein de communautés de confiance. Cela vise à renforcer les capacités de défense, les techniques de détection et toutes les stratégies associées.
Le rôle des achats vis-à-vis de la DORA regulation
Les directions achats et financières des institutions financières ont un rôle clé à jouer dans la gestion des risques liés aux prestataires de services informatiques. Comme le souligne Thomas Meyer, Directeur chez KPMG Belgique : « c’est le domaine qui pose le plus de problèmes à de nombreuses organisations, car il ne s’agit pas seulement d’examiner les tiers, mais aussi l’ensemble de la chaîne d’approvisionnement, en veillant à ce que le risque soit géré efficacement tout au long du cycle de vie du fournisseur.[CB1] »
La DORA regulation va ainsi affecter plusieurs activités achats comme l’ajustement de la stratégie, mais aussi le sourcing fournisseurs, la gestion de la relation fournisseurs, le Contract Lifecycle Management et bien d’autres.
La stratégie d’achats
Les entreprises doivent intégrer le principe de diligence raisonnable au cœur de leur stratégie achats. Cela se traduit par une évaluation approfondie des risques, une sélection rigoureuse des fournisseurs selon de strictes normes de sécurité informatique ainsi que des contrôles associés.
Le sourcing et la gestion fournisseurs
Les acheteurs sont tenus d’intégrer des critères de cybersécurité et de résilience numérique dans leur processus de sélection fournisseurs, leur permettant d’évaluer leurs potentiels partenaires selon leur capacité à répondre aux exigences de la DORA regulation. Cela implique également d’assurer un suivi continu et de conduire des évaluations périodiques des risques.
La gestion du cycle de vie des contrats
Les équipes achats doivent veiller, lors de l’élaboration et de la négociation des contrats fournisseurs, à inclure des clauses relatives à la conformité DORA. Cela permet ainsi à l’entreprise de s’assurer que ses prestataires respectent des normes de sécurité élevées.
Le processus Procure-to-Pay
Le règlement DORA exige de mettre en place des contrôles et des mécanismes de surveillance plus stricts, tout au long du processus Procure-to-Pay. Cela comprend des flux de travail sécurisés pour les bons de commande, des systèmes pour détecter et prévenir les activités frauduleuses dans le cadre de la facturation ou encore des mesures de sécurité avancées pour les paiements.
Le registre d’informations
Enfin, il est impératif de tenir à jour un registre comprenant toutes les informations relatives à l’infrastructure informatique de son organisation. Cela comprend à la fois les flux de données, les systèmes et matériels, les politiques de sécurité et rapports d’incidents, etc. Voilà qui permet d’avoir une vue d’ensemble de l’environnement numérique.