Suite à une enquête de la FSMA, les entités financières sont invitées à se préparer à l’entrée en application du règlement européen DORA
Le secteur financier est toujours plus dépendant du bon fonctionnement de l’infrastructure et des services informatiques. Eu égard à l’augmentation des risques en matière de sécurité informatique et au développement croissant de la cybercriminalité, le règlement européen « Digital Operational Resilience Act » (DORA) fixe des objectifs ambitieux en matière de résilience opérationnelle numérique. Ceux-ci visent à protéger les entités financières et leurs clients. Ces objectifs viennent compléter la règlementation déjà en vigueur. Une enquête de l’Autorité des services et marchés financiers laisse apparaître que de nombreuses entités financières n’ont pas encore entrepris toutes les démarches nécessaires pour se préparer à l’entrée en application du règlement DORA. Ces entités sont invitées à prendre connaissance des dispositions du règlement qui leur sont applicables, à entamer à temps les démarches et à déterminer les étapes pour s’y conformer progressivement.
Une enquête menée récemment par la FSMA visait à permettre aux entités sous sa supervision de procéder à une première autoévaluation de leur degré de préparation aux exigences de DORA, qui est entré en vigueur le 16 janvier 2023 et sera d’application à partir du 17 janvier 2025[1]. Ce règlement constitue la nouvelle pierre angulaire de la cyber-sécurité dans le secteur financier. Il a pour objectif d’amener les entités financières à mieux gérer leurs risques liés aux technologies de l’information et de la communication (ci-après « TIC ») afin d’accroître leur résilience face aux cybermenaces.
Au terme des cinq semaines pendant lesquelles la FSMA a mené son enquête non contraignante, elle a reçu 126 réponses. Elle en tire un bilan en demi-teinte : avec un taux de participation global d’environ 50 %, une proportion appréciable des entités visées a témoigné son intérêt pour ces dispositions et son engagement à les intégrer dans son organisation. Pour les entités n’ayant pas répondu, il n’est pas possible de savoir si elles ont déjà entrepris les démarches nécessaires pour se préparer à ce règlement. Si ce n’est pas le cas, ces dernières sont instamment invitées à prendre connaissance des dispositions du règlement qui leur sont applicables et à entamer à temps les démarches pour s’y conformer.
La préparation à DORA varie fortement selon les secteurs
La FSMA salue tout d’abord le taux de participation à cette enquête de la part de certains secteurs : 94% des sociétés de gestion de portefeuille et de conseil en investissement et 88% des gestionnaires d'OPC(A) y ont répondu. Du côté des institutions de retraite professionnelle (IRP), le taux de réponse a atteint 57%. Ces résultats démontrent l'implication de ces secteurs et leur conscience de l'importance de cette réglementation.
Le taux de participation global des intermédiaires d’assurance (y compris ceux à titre accessoire) et de réassurance interrogés ne s’élève, quant à lui, qu’à 19%. Ce faible taux de réponse pourrait traduire un manque de préparation à l’égard de DORA de la part des intermédiaires identifiés, voire une méconnaissance de l’existence du règlement. Ces deux hypothèses sont préoccupantes eu égard au temps restant pour s’y préparer. En lançant cette enquête dès à présent, la FSMA a souhaité attirer à temps l’attention des entités financières à cet égard. La FSMA dirigera par ailleurs au cours de cette année des efforts spécifiques en direction de ce secteur, afin de l’accompagner au mieux dans sa préparation.
Enfin, les prestataires de services de financement participatif sont les grands absents de cette enquête : un seul d’entre eux y a répondu[2]. Ce résultat est alarmant dans la mesure où ces entités sont également visées par DORA et que les efforts nécessaires pour s’y préparer sont conséquents.
Par ailleurs, les entités financières étaient invitées à évaluer, sur une échelle de 1 (faible) à 5 (très élevée), leur maturité à l’égard de quatre grands thèmes de DORA explorés dans cette enquête[3]. Le niveau médian (déclaré) de maturité en matière de gestion des risques et de notification des incidents liés aux TIC[4] est de 3. Les destinataires de l’enquête se disent légèrement mieux préparés au risque lié au recours à des prestataires externes de services TIC. Environ 60% des répondants faisant appel à de tels prestataires (ce qui est le cas notamment de la très grande majorité des IRP et des gestionnaires d’OPC(A)) déclarent ainsi un niveau de maturité égal ou supérieur à 3 à cet égard.
Des premiers résultats encourageants, mais les entités financières doivent mettre 2024 à profit pour poursuivre leur préparation
Les réponses fournies à cette première enquête procédaient d’une autoévaluation. A ce stade, les entités concernées ne devaient pas étayer leurs affirmations par des explications détaillées, ni par des documents. L’enquête était divisée en quatre parties, correspondant chacune à une section du règlement DORA.
La majorité des entités financières déclare disposer d’un cadre de gestion du risque lié aux TIC, et notamment d’une politique de continuité en la matière
Dans chaque secteur visé par l’enquête, une majorité des entités ayant répondu affirme disposer d’un cadre de gestion du risque lié aux TIC et que celui-ci est bien documenté[5].
Ce résultat, a priori encourageant, doit toutefois être nuancé en ce qui concerne le secteur des intermédiaires d’assurance et de réassurance. Le faible taux de participation dans ce secteur pourrait traduire un manque de représentativité des réponses à cette question.
Ce cadre de gestion des risques doit permettre aux entités de prévenir et d’appréhender de manière optimale le risque lié aux TIC, en y consacrant les ressources nécessaires et en définissant notamment leurs politiques de traitement des incidents liés aux TIC et de notification de ces incidents.
Tous secteurs confondus, environ 90% des répondants affirment disposer d’une politique de continuité de leurs activités de TIC. Il s’agit d’un chiffre encourageant, dans la mesure où cette politique est primordiale pour la continuité des activités des entités elles-mêmes. Dans le cadre de ses nouvelles compétences de contrôle, la FSMA évaluera ces politiques et s’assurera notamment qu’elles permettent effectivement de résoudre les incidents liés aux TIC.
Les entités financières doivent améliorer leurs capacités de réaction aux incidents liés aux TIC
Bien qu’une majorité d’entre elles semble prendre en compte le risque lié aux TIC (cf. section précédente), les entités financières se disent moins nombreuses à pouvoir détecter, gérer et, le cas échéant, notifier tout incident lié aux TIC.
Les réponses des intermédiaires à cette question constituent un résultat encourageant. Comme indiqué précédemment, en raison du faible taux de participation de ce statut il serait toutefois hasardeux d’extrapoler ce résultat au secteur entier.
Cette capacité de réaction fait pourtant partie intégrante de la résilience opérationnelle des entités financières face aux cybermenaces. Afin de réduire l’impact de ces incidents, de même que leurs coûts et leur propagation à d’autres entités financières, il est primordial qu’elles améliorent leurs capacités à cet égard.
La définition de cadres de gestion du risque et de politiques en matière de TIC n’est rien sans leur mise à l’épreuve
Ni la mise en place d’un cadre de gestion du risque lié aux TIC, ni la définition de politiques et de procédures en la matière ne sauraient garantir à elles seules la résilience opérationnelle numérique d’une entité financière. La mise au jour des vulnérabilités et du risque lié aux TIC est ainsi fondamentale pour s’assurer de l’effectivité et de l’efficacité des mesures mises en place.
Or, pour la plupart d’entre elles, les entreprises ne disposent pas encore d’un programme complet de tests de résilience opérationnelle numérique.
La définition puis la mise en œuvre de tels programmes constituent des développements auxquels les entreprises doivent prioritairement s’atteler en 2024.
Les entreprises doivent améliorer la gestion du risque lié aux prestataires externes de services TIC
94% des entités ayant répondu déclarent faire appel à des prestataires externes de services TIC[6]. Parmi celles-ci, la moitié déclare toutefois ne pas disposer d’une stratégie en matière de risques liés à ces prestataires.
A ce titre, il convient de rappeler que la gestion des risques liés aux prestataires tiers de services TIC fait l’objet d’un chapitre spécifique de DORA. L’entreprise restant en toute hypothèse pleinement responsable du respect du règlement, son évaluation et son suivi de ces risques sont primordiaux.
DORA, c’est déjà demain !
Les conclusions de cette première enquête mettent en lumière des perspectives encourageantes mais également des lacunes manifestes. La résilience opérationnelle numérique semble un concept connu d’une proportion non négligeable des entités supervisées par la FSMA. Les travaux de préparation semblent même être en bonne voie dans certains secteurs d’activité.
La FSMA s’appuiera notamment sur ces premières constatations pour orienter ses futures actions visant à accompagner les entités supervisées dans leur préparation à ce nouveau cadre réglementaire. La FSMA pourra notamment mener des enquêtes plus détaillées pour approfondir son évaluation de la conformité des entités aux exigences du règlement DORA. Ces initiatives viseront de nouveau à mesurer et renforcer la résilience opérationnelle numérique des acteurs du secteur financier.
Enfin, en complément des informations relayées par la FSMA, il appartient également aux entités financières de suivre le développement des normes techniques de réglementation et d’exécution de DORA[7]. À ce sujet, la FSMA rappelle que les autorités européennes de surveillance mènent actuellement une consultation publique jusqu’au 4 mars 2024, à laquelle les entités financières sont invitées à contribuer[8].
[1] Le règlement DORA est consultable à l’adresse : https://eur-lex.europa.eu/eli/reg/2022/2554.
[2] Pour cette raison, ce statut n’est pas repris dans les analyses ci-après.
[3] Cette échelle est utilisée comme référence pour mesurer la maturité d'une organisation en matière de processus.
[4] Première et deuxième sections de l’enquête.
[5] GFVB : sociétés de gestion de portefeuille et de conseil en investissement, INAS : intermédiaires d’assurance (incl. à titre accessoire), INRA : intermédiaires de réassurance, AIFM : gestionnaires d’OPC alternatifs (OPCA), UCITS : gestionnaires d’OPC, IORP : institutions de retraite professionnelle.
[6] Une proportion très importante – 92% – de ces entités déclare également disposer d’une convention écrite signée avec chaque prestataire de services TIC auxquels elles ont recours.
[7] En anglais respectivement « regulatory technical standards » (RTS) et « implementing technical standards » (ITS), consultables à l’adresse suivante : https://www.esma.europa.eu/press-news/esma-news/esas-launch-joint-consultation-second-batch-policy-mandates-under-digital.
[8] Accessible à l’adresse suivante : https://www.eiopa.europa.eu/consultations/dora-public-consultation-second-batch-policy-products_en.