Exigences de gestion des risques TIC selon DORA
La gestion des risques TIC constitue le fondement de la conformité DORA. Le chapitre II du règlement exige des entités financières qu'elles établissent, maintiennent et améliorent continuellement un cadre complet pour identifier, protéger, détecter, répondre et se remettre des perturbations liées aux TIC.
Il ne s'agit pas simplement d'un exercice de documentation. DORA exige que la gestion des risques TIC soit intégrée à la gouvernance de l'organisation, l'organe de direction assumant une responsabilité directe pour l'approbation et la supervision du cadre.
Points clés
| Point | Résumé |
|---|---|
| Cadre complet | Doit couvrir l'identification, la protection, la détection, la réponse et la reprise |
| Responsabilité de la direction | Approbation et supervision au niveau du conseil requises |
| Amélioration continue | Revues et mises à jour régulières obligatoires |
| Documentation | Politiques, procédures et enregistrements doivent être maintenus |
| Proportionnalité | La mise en œuvre s'adapte à la taille et au profil de risque |
Réponse rapide : DORA exige des entités financières qu'elles mettent en œuvre un cadre documenté de gestion des risques TIC couvrant l'identification des actifs, les mesures de protection, les capacités de détection, la réponse aux incidents et la planification de la reprise. L'organe de direction doit approuver le cadre, allouer des ressources adéquates et suivre une formation régulière sur les risques TIC. Le cadre doit être revu au moins annuellement et après les incidents majeurs.
Gouvernance et organisation
Responsabilités de l'organe de direction
DORA impose des obligations explicites à l'organe de direction (conseil d'administration, direction générale ou équivalent) :
| Responsabilité | Description |
|---|---|
| Propriété du cadre | Définir, approuver, superviser et être responsable du cadre de gestion des risques TIC |
| Allocation des ressources | Assurer un budget et des effectifs TIC adéquats |
| Formation | Suivre une formation pour comprendre et évaluer les risques TIC |
| Approbation des politiques | Approuver les politiques pour les services TIC supportant les fonctions critiques |
| Supervision de la continuité | Approuver les arrangements de continuité d'activité |
| Revue | Revoir régulièrement les conclusions des audits TIC et les rapports d'incidents |
Cela représente un changement significatif par rapport au traitement des risques TIC comme une question technique déléguée aux services informatiques.
Fonction de gestion des risques TIC
Les non-microentreprises doivent établir une fonction de gestion des risques TIC qui est :
- Indépendante des fonctions TIC opérationnelles
- Dotée de personnel et de ressources adéquats
- Capable de rendre compte directement à la direction
La fonction est responsable de :
- Surveiller l'exposition aux risques TIC
- Conseiller sur les mesures d'atténuation des risques
- Rendre compte à l'organe de direction
- Coordonner la réponse aux incidents
Les entités plus petites peuvent combiner cette fonction avec d'autres fonctions de contrôle, à condition que l'indépendance soit maintenue pour les questions liées aux TIC.
Le cadre de gestion des risques TIC
Composantes fondamentales
L'article 6 de DORA exige que le cadre comprenne :
| Composante | Description |
|---|---|
| Stratégies | Direction de haut niveau pour la gestion des risques TIC |
| Politiques | Règles régissant la sécurité et les opérations TIC |
| Procédures | Processus opérationnels mettant en œuvre les politiques |
| Outils et protocoles | Mesures techniques et organisationnelles |
| Mécanismes de revue | Processus d'évaluation de l'efficacité du cadre |
Exigences de documentation
Les entités financières doivent maintenir une documentation complète :
- Stratégie de gestion des risques TIC
- Politique de sécurité TIC (revue au moins annuellement)
- Procédures de sécurité de l'information
- Inventaire des actifs TIC
- Évaluations des risques
- Analyses d'impact métier
- Plans de continuité d'activité
- Procédures de réponse aux incidents
Toute la documentation doit être maintenue à jour et accessible aux autorités de surveillance sur demande.
Identification
La première fonction du cadre est d'identifier et de documenter tous les actifs et risques TIC.
Inventaire des actifs TIC
Les entités financières doivent identifier, classifier et documenter :
| Catégorie d'actif | Exemples |
|---|---|
| Matériel | Serveurs, équipements réseau, postes de travail, appareils mobiles |
| Logiciels | Systèmes d'exploitation, applications, bases de données, middleware |
| Composants réseau | Pare-feu, routeurs, commutateurs, équilibreurs de charge |
| Données | Données clients, enregistrements de transactions, données de configuration |
| Services TIC | Services cloud, fonctions externalisées, intégrations tierces |
L'inventaire doit distinguer entre les actifs supportant les fonctions critiques ou importantes et ceux supportant les fonctions non critiques.
Identification des risques
Les entités financières doivent identifier les risques TIC découlant de :
- Vulnérabilités connues dans les systèmes et l'infrastructure
- Cybermenaces pertinentes pour l'entité et le secteur
- Dépendances envers les prestataires de services TIC tiers
- Risques de concentration dans les chaînes d'approvisionnement technologiques
- Points de défaillance uniques dans les systèmes critiques
Analyse d'impact métier
Les entités doivent évaluer l'impact potentiel des perturbations TIC sur :
- La continuité d'activité
- Les pertes financières
- Les dommages réputationnels
- La conformité réglementaire
- Les services aux clients
Cette analyse éclaire les objectifs et priorités de temps de reprise.
Protection et prévention
Le cadre doit inclure des mesures pour protéger les systèmes TIC et prévenir les incidents.
Mesures techniques
| Mesure | Description |
|---|---|
| Contrôle d'accès | Accès basé sur les rôles, principe du moindre privilège, revues d'accès régulières |
| Authentification | Authentification forte, multi-facteur pour les accès privilégiés et distants |
| Chiffrement | Protection des données au repos et en transit |
| Sécurité réseau | Segmentation, pare-feu, prévention d'intrusion |
| Protection des terminaux | Anti-malware, détection et réponse sur les endpoints |
| Gestion des correctifs | Application en temps voulu des mises à jour de sécurité |
| Configuration sécurisée | Standards de durcissement pour les systèmes et applications |
Mesures organisationnelles
| Mesure | Description |
|---|---|
| Sensibilisation à la sécurité | Formation régulière pour tout le personnel |
| Politiques d'utilisation acceptable | Règles claires pour l'utilisation des systèmes et données |
| Gestion des changements | Processus contrôlé pour les modifications système |
| Sécurité du personnel | Vérifications des antécédents, accords de confidentialité |
| Sécurité physique | Protection des centres de données et équipements |
Politiques de sécurité TIC
Les entités financières doivent établir des politiques couvrant :
- Sécurité de l'information (cadre global)
- Sécurité réseau (architecture et contrôles)
- Cryptographie (standards de chiffrement et gestion des clés)
- Gestion de projets TIC (sécurité dans le développement)
- Opérations TIC (pratiques de sécurité quotidiennes)
- Gestion des données (classification et traitement)
- Accès logique (authentification et autorisation)
- Sécurité physique (installations et équipements)
- Sécurité des fournisseurs (exigences envers les tiers)
Détection
Les entités financières doivent mettre en œuvre des capacités pour détecter les incidents et anomalies liés aux TIC.
Exigences de surveillance
| Capacité | Description |
|---|---|
| Surveillance de sécurité | Surveillance continue des événements de sécurité |
| Détection d'anomalies | Identification des schémas ou comportements inhabituels |
| Gestion des logs | Collecte, conservation et analyse des journaux système |
| Détection des menaces | Identification des cyberattaques potentielles |
| Surveillance des performances | Détection de la dégradation des systèmes |
Alertes et escalade
Le cadre doit définir :
- Seuils et déclencheurs d'alerte
- Procédures d'escalade
- Arrangements d'astreinte
- Canaux de communication
Réponse et reprise
Réponse aux incidents
Les entités financières doivent établir des capacités de réponse aux incidents incluant :
| Élément | Description |
|---|---|
| Plans de réponse | Procédures documentées pour différents types d'incidents |
| Rôles et responsabilités | Attribution claire des fonctions de réponse |
| Procédures de communication | Protocoles de communication interne et externe |
| Mesures de confinement | Actions pour limiter l'impact de l'incident |
| Préservation des preuves | Procédures de gestion des preuves forensiques |
| Procédures de signalement | Alignement avec les exigences de signalement des incidents DORA |
Continuité d'activité TIC
DORA exige des arrangements complets de continuité d'activité :
| Élément | Description |
|---|---|
| Politique de continuité d'activité | Politique approuvée par la direction couvrant la continuité TIC |
| Analyse d'impact métier | Évaluation des dépendances des fonctions critiques |
| Objectifs de reprise | RTO et RPO pour les fonctions critiques |
| Plans de continuité | Procédures documentées pour maintenir les opérations |
| Plans de reprise | Procédures pour restaurer les opérations normales |
| Gestion de crise | Structure de gouvernance pour les perturbations majeures |
Reprise après sinistre TIC
Les capacités de reprise après sinistre doivent inclure :
| Élément | Description |
|---|---|
| Procédures de sauvegarde | Sauvegardes régulières et testées avec stockage sécurisé |
| Procédures de restauration | Processus de restauration documentés |
| Traitement alternatif | Capacité d'opérer depuis des sites secondaires |
| Tests | Tests réguliers des capacités de reprise |
| Maintenance des plans | Mises à jour suite aux changements ou résultats de tests |
Objectifs de temps de reprise
Pour les fonctions critiques ou importantes, les entités doivent définir :
- Objectif de temps de reprise (RTO) : Temps d'arrêt maximal acceptable
- Objectif de point de reprise (RPO) : Perte de données maximale acceptable
Ces objectifs doivent être réalistes, testés et alignés sur les exigences métier et l'appétit au risque.
Apprentissage et évolution
Revue et amélioration
Le cadre de gestion des risques TIC doit être :
- Revu au moins annuellement
- Mis à jour après les incidents significatifs
- Amélioré sur la base des leçons apprises
- Aligné sur l'évolution des menaces et technologies
Analyse post-incident
Suite aux incidents majeurs, les entités doivent mener :
- Analyse des causes profondes
- Évaluation de l'impact
- Évaluation de l'efficacité des contrôles
- Identification des améliorations
- Suivi de la mise en œuvre
Les leçons apprises doivent alimenter le cadre, améliorant la résilience future.
Cadre simplifié pour les petites entités
Certaines entités plus petites (petites entreprises d'investissement, établissements de paiement répondant aux critères d'exemption, petits fonds de pension) peuvent mettre en œuvre un cadre simplifié de gestion des risques TIC. Cette version simplifiée :
- Maintient les éléments fondamentaux mais avec une documentation réduite
- Se concentre sur des mesures proportionnées
- Nécessite toujours une gouvernance appropriée
Les microentreprises bénéficient d'une flexibilité supplémentaire mais doivent néanmoins traiter les risques TIC de manière appropriée.
Questions fréquentes
Comment la gestion des risques TIC de DORA se compare-t-elle à ISO 27001 ?
ISO 27001 offre une excellente couverture pour de nombreuses exigences de gestion des risques TIC de DORA. Les différences clés incluent les exigences explicites de responsabilité de l'organe de direction de DORA, les attentes spécifiques en matière de continuité d'activité, et l'intégration avec les obligations de signalement des incidents. La certification ISO 27001 fournit une base solide mais peut nécessiter des compléments pour une conformité DORA complète.
Quelle documentation est requise ?
Au minimum : stratégie de gestion des risques TIC, politique de sécurité de l'information, procédures de sécurité TIC, inventaire des actifs, évaluations des risques, analyses d'impact métier, plans de continuité d'activité, plans de reprise après sinistre et procédures de réponse aux incidents. La proportionnalité s'applique à la profondeur et à la formalité de la documentation.
À quelle fréquence devons-nous revoir le cadre ?
Le cadre doit être revu au moins annuellement. Des revues supplémentaires sont requises suite à des changements significatifs (organisationnels, technologiques ou du paysage des menaces) et après les incidents majeurs.
Peut-on externaliser la gestion des risques TIC ?
Vous pouvez utiliser une expertise externe pour soutenir la gestion des risques TIC, mais la responsabilité reste à l'entité financière. L'organe de direction ne peut pas déléguer ses responsabilités de supervision.
Comment Bastion peut vous aider
Bastion accompagne les entités financières dans la construction et le maintien de cadres de gestion des risques TIC conformes à DORA :
- Développement du cadre : Conception et documentation de cadres complets de gestion des risques TIC
- Évaluation des écarts : Évaluation des cadres existants par rapport aux exigences DORA
- Développement des politiques : Création des politiques et procédures requises
- Évaluation des risques : Support à l'identification et l'évaluation des risques TIC
- Support à la mise en œuvre : Assistance à la mise en œuvre des contrôles
- Revue et amélioration : Revues annuelles et conseils d'amélioration continue
Prêt à construire votre cadre de gestion des risques TIC conforme à DORA ? Parlez à notre équipe
Sources
- Chapitre II de DORA - Exigences de gestion des risques TIC
- Articles 5-16 de DORA - Dispositions détaillées sur la gouvernance, l'identification, la protection, la détection, la réponse et la reprise
- RTS des AES sur la gestion des risques TIC - Normes techniques pour le cadre de gestion des risques TIC