En vue d’atteindre un niveau élevé de Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. , les entités financières doivent répondre aux exigences en matière (A) de gouvernance et (B) de gestion du risque lié aux TIC.
A. Quelles sont les exigences en matière de gouvernance ? (art. 5 DORA)
L'organe de direction de l’entité financière est responsable de la mise en place des dispositions du cadre de gestion du risque lié aux TIC. Pour assumer cette tâche, il doit disposer des connaissances et compétences nécessaires en matière de TIC, notamment en suivant régulièrement des formations.
Dans ce cadre, l’organe de direction assume au moins les responsabilités suivantes :
- établissement d'une stratégie de Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. ;
- définition des rôles et responsabilités liés aux TIC ;
- définition des stratégies visant à garantir le maintien de normes élevées en matière de Les données doivent être disponibles, accessibles et restaurables. , d’ L’authenticité des données est le principe qui garantit que les données proviennent de sources vérifiées et légitimes, confirmant ainsi leur origine et leur validité. , d’ Les données stockées, traitées et transmises au sein d'un système informatique restent exactes, cohérentes et non altérées. et de La confidentialité des données est le principe qui vise à protéger les données contre tout accès, divulgation ou utilisation non autorisés, assurant ainsi que seules les personnes et systèmes autorisés peuvent y accéder. des données ;
- définition d'une politique de continuité des activités de TIC, plans de réponse et de rétablissement des TIC ;
- approbation et examen des plans internes d’audit des TIC et de leur exécution ;
- établissement des budgets ;
- définition d'une politique d'utilisation des services TIC fournis par des prestataires tiers ;
- établissement de canaux de notification concernant les accords conclus avec des prestataires tiers.
B. Quelles sont les exigences en matière de gestion du risque lié aux TIC ? (art. 6 à 15 DORA)
Le régime standard impose aux entités financières des exigences en matière (1) de cadre de gestion du risque lié aux TIC et (2) de surveillance interne du risque lié aux TIC.
1. Cadre de gestion du risque lié aux TIC (art. 6 à 15 DORA)
Afin de réduire au minimum l’incidence du risque lié aux TIC, les entités financières mettent en place un cadre de gestion du risque lié aux TIC solide, complet et intégré à leur système global de gestion des risques.
Elles réalisent une documentation complète et actualisée du cadre et tiennent cette documentation à la disposition de la FSMA.
Le cadre de gestion du risque lié aux TIC est en outre amélioré et réexaminé aux intervalles suivants :
| Entités qui ne sont pas des Entités financières qui emploient moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros. | Entités financières qui emploient moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros. | |
|---|---|---|
| Réexamen du cadre de gestion du risque lié aux TIC |
|
|
| ||
| Amélioration du cadre de gestion du risque lié aux TIC |
| |
Lorsqu’elles réexaminent le cadre de gestion du risque lié aux TIC, les entités financières réalisent un rapport. Elles envoient ce rapport à la FSMA lorsque celle-ci en fait la demande.
La mise en place du cadre de gestion du risque lié aux TIC comporte les principales étapes suivantes :
Les étapes du cadre s’influencent mutuellement et sont réévaluées chaque fois que de nouvelles informations pertinentes apparaissent.
a. Stratégie de résilience opérationnelle numérique (art. 6 DORA)
Les entités financières définissent dans la stratégie de Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. les modalités de mise en œuvre suivantes :
La stratégie de Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. doit être alignée avec la stratégie et les objectifs globaux de l’entité financière.
Les objectifs de sécurité de l’information comprennent notamment L’objectif de délai de rétablissement est l’indisponibilité maximale visée pour une activité de TIC. L’objectif de point de rétablissement est la perte de données maximale visée. .
Pour établir ces objectifs, les entités financières tiennent compte de la criticité des fonctions métiers concernées
La situation de Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. est déterminée par le nombre d’incidents majeurs liés aux TIC et l’efficacité des mesures mises en place.
La stratégie d’externalisation des services TIC peut être décrite dans la stratégie de Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. . Le cas échéant, elle met en évidence les principales dépendances à l’égard de prestataires tiers et expose les raisons de la combinaison de ces prestataires.
b. Identification et classification des fonctions métier, des données, des actifs de TIC et des sources de risque liés aux TIC (art. 8 DORA)
Aux fins du cadre de gestion du risque lié aux TIC, les entités financières identifient, classent et documentent les fonctions métier, les données (actifs informationnels) et les actifs de TIC (tant hardware que software). Elles identifient et documentent également les rôles et responsabilités liés aux TIC.
Lors de cet exercice, les entités financières relèvent les actifs critiques, les modes de configuration, les liens d’interdépendance et les Les systèmes de TIC hérités sont des systèmes qui ne sont plus produits ou entretenus par leur fabriquant. . Elles identifient également les dépendances avec des prestataires tiers de services TIC, en particulier ceux soutenant des Une fonction critique ou importante est une opération ou un service essentiel au fonctionnement continu et sécurisé d’une organisation, dont l’interruption est susceptible de causer des perturbations significatives ou des pertes importantes. .
Les entités financières examinent cet inventaire et sa documentation en fonction des besoins, à chaque modification importante de l’infrastructure du réseau et du système d’information, des processus ou des procédures, et en toute hypothèse au moins une fois par an.
Aux fins de la protection des systèmes de TIC, les entités financières identifient et évaluent les sources de risque lié aux TIC, notamment les
Circonstance, tout événement ou toute action potentiels susceptibles de nuire ou de porter autrement atteinte aux réseaux et systèmes d’information, aux utilisateurs de tels systèmes et à d’autres personnes, ou encore de provoquer des interruptions de ces réseaux et systèmes
et les vulnérabilités des TIC, qui concernent leurs fonctions métiers s’appuyant sur les TIC, leurs actifs informationnels et leurs actifs de TIC.
Les entités financières identifient les sources de risque et examinent les scénarios qui en découlent aux intervalles suivants :
| Entités qui ne sont pas des Entités financières qui emploient moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros. | Entités financières qui emploient moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros. | |
|---|---|---|
| Identification et évaluation des sources de risque lié aux TIC |
| |
| Examen des scenarios de risque lié aux TIC |
| |
| Dispense | |
| Evaluation spécifique aux systèmes de TIC hérités |
| Dispense |
c. Mesures d’atténuation du risque lié aux TIC (art. 7 et 9 à 15 DORA)
Aux fins de la protection des actifs d’information et de TIC, les entités financières mettent en place et documentent des mesures d’atténuation du risque lié aux TIC. Ces mesures incluent des stratégies, des politiques, des procédures, des protocoles et des outils de TIC. Elles sont alignées avec la stratégie de résilience opérationnelle numérique et visent à garantir la résilience, la continuité et la Les données doivent être disponibles, accessibles et restaurables. des actifs d’information et de TIC, en particulier ceux qui soutiennent des fonctions critiques ou importantes, et à maintenir des normes élevées en matière de Les données doivent être disponibles, accessibles et restaurables. Les données doivent être disponibles, accessibles et restaurables. , L’authenticité des données est le principe qui garantit que les données proviennent de sources vérifiées et légitimes, confirmant ainsi leur origine et leur validité. , Les données stockées, traitées et transmises au sein d'un système informatique restent exactes, cohérentes et non altérées. en La confidentialité des données est le principe qui vise à protéger les données contre tout accès, divulgation ou utilisation non autorisés, assurant ainsi que seules les personnes et systèmes autorisés peuvent y accéder. des données, que ce soit au repos, en cours d’utilisation ou en transit.
Pour atténuer et gérer le risque lié aux TIC les entités financières mettent en place les catégories de mesures suivantes :
i. Mesures préventives (art. 7, 9 et 13 DORA)
Les mesures préventives ont pour objectif d’éviter que les risques ne se matérialisent. Elles tiennent compte des résultats de la classification des actifs d’information et de TIC et comprennent au moins les éléments suivants :
- protection de la capacité, de la performance, de la fiabilité et de la résilience des systèmes, protocoles et outils de TIC ;
- mise à jour des systèmes, protocoles et outils de TIC (permet de limiter les risques de cyberattaques) ;
- chiffrement des données en fonction de leur classification et de l’évaluation des risques liés aux TIC et protection des clés de chiffrement (permet de limiter les accès et manipulations non autorisés) ;
- recours à l'authentification forte ;
- limitation des accès ( « need to know principle ») ;
- mise en place de politiques, de procédures et de contrôles documentés pour la gestion des changements dans les TIC (ICT Change Management) ;
- mise en place de politiques de ressources humaines (notamment la sensibilisation et la formation du personnel) ;
- mise en place de mécanismes automatisés d’isolement des parties du réseau affectées par une cyberattaque (permet de limiter la propagation).
ii. Mesures de détection (art. 10 DORA)
Les moyens de détection ont pour objectif d’identifier les incidents le plus tôt possible. Ils tiennent compte de la criticité des services touchés et comprennent au moins les éléments suivants :
- détection des intrusions dans les systèmes de TIC ;
- surveillance de la performance ;
- surveillance des activités des utilisateurs ;
- dispositifs d'alerte.
iii. Mesures réactives (art. 11, 12 et 14 DORA)
Les plans de réaction (plans de continuité des activités de TIC et plans de réponse et de rétablissement des TIC) ont pour objectif de limiter les dommages, en particulier en ce qui concerne les fonctions critiques ou importantes de l’entité, et de les estimer. Ils doivent être testés et font l’objet d’une revue indépendante par l’audit interne. Les plans de continuité et leurs tests prennent en compte les services TIC fournis par des prestataires tiers.
Ces plans comprennent au moins les éléments suivants :
- fonction de gestion de crise (les Entités financières qui emploient moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros. en sont dispensées) ;
- sauvegarde et restauration des données ;
- infrastructure redondante (les Entités financières qui emploient moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros. en sont dispensées si leur profil de risque le permet) ;
- contrôle de l' Les données stockées, traitées et transmises au sein d'un système informatique restent exactes, cohérentes et non altérées. des données ;
- régistre des activités avant et pendant les perturbations ;
- communication aux parties concernées (les Entités financières qui emploient moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros. sont dipensées de communiquer les coûts occasionnés par les incidents majeurs) .
Les systèmes de restauration sont séparés des systèmes TIC sources, de manière à éviter le risque de contamination.
La portée des données concernées par la sauvegarde et la fréquence minimale de celle-ci sont notamment déterminées par la criticité des informations et les objectifs de rétablissement.
Si la FSMA en fait la demande, les entités financières lui communiquent les coûts annuels agrégés occasionnés par les incidents majeurs liés aux TIC.
Les Entités financières qui emploient moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros. sont dispensées de fonction de gestion de crise et de communication des coûts occasionnés par les incidents majeurs. Elles peuvent également être dispensées d’infrastructure redondante si leur profil de risque le permet.
Les entités financières testent leurs plans de réponse et de rétablissement et leurs activités de sauvegarde et de restauration aux intervalles suivants :
| Entités qui ne sont pas des Entités financières qui emploient moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros. | Entités financières qui emploient moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros. | |
|---|---|---|
| Tests des plans de réponse et de rétablissement des TIC |
| |
| Tests de la sauvegarde et de la restauration |
| |
Le résultat des tests alimente l’exercice de réexamen du cadre de gestion des risques liés aux TIC.
iv. Mesures correctives (art. 13 DORA)
Les actions correctives visent à améliorer et actualiser le cadre de gestion du risque lié aux TIC. Elles comprennent au moins les éléments suivants :
- mise à jour du cadre en fonction de l'évolution des vulnérabilités des TIC et des Circonstance, tout événement ou toute action potentiels susceptibles de nuire ou de porter autrement atteinte aux réseaux et systèmes d’information, aux utilisateurs de tels systèmes et à d’autres personnes, ou encore de provoquer des interruptions de ces réseaux et systèmes
; - amélioration des mesures préventives et des plans de réaction en fonction de l'analyse des causes des incidents majeurs et des tests ;
- amélioration du cadre en fonction des enseignements tirés des tests de Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. ;
- correction des constatations émanant de l'audit interne des TIC ;
- adaptation du cadre en fonction des instructions de la FSMA ;
- mise en oeuvre des conclusions de l'exercice de réévaluation du cadre ;
- adaptation du cadre en fonction des évolutions technologiques et méthodologiques.
Si la FSMA en fait la demande, les entités financières lui communiquent notamment les changements apportés suite à l’analyse des causes des incidents majeurs liés aux TIC.
Les Entités financières qui emploient moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros. sont dispensées de communication des changements post-incidents, d’audit interne et de suivi des évolutions technologiques et méthodologiques.
2. Surveillance interne du risque lié aux TIC (art. 5, 6, 11 et 13 DORA)
La surveillance interne du risque lié aux TIC n’incombe pas uniquement au personnel en charge des TIC. L’organe de direction en porte la responsabilité ultime et met en œuvre les éléments suivants :
- mise en place de trois lignes de surveillance (3 lines of defense) indépendantes les unes des autres ;
- formulation de recommandations par la direction des opérations de TIC ;
- mise en place d'un rôle de suivi des accords conclus avec des prestataires tiers de services TIC.
Les trois lignes de surveillance du risque lié aux TIC sont les suivantes :
Le management opérationnel des activités des TIC (ligne de surveillance n°1) rend compte au moins une fois par an à l’organe de direction des constatations émanant des tests de résilience et en formule des recommandations.
La gestion des risques liés aux TIC (ligne de surveillance n°2) est suffisamment indépendante vis-à-vis des opérations de TIC et de l’audit interne, de manière à éviter l’apparition de conflits d’intérêt.
L’audit interne des TIC (ligne de surveillance n°3) est réalisé régulièrement (en fonction du risque lié aux TIC de l’entité) et porte notamment sur les plans de réponse et de rétablissement des TIC. Les entités financières disposent d’un plan d’audit et d’un processus de suivi formel de celui-ci (ce processus comprend notamment des règles de vérification et de correction des constatations d’importance critique de l’audit des TIC).
Les Entités financières qui emploient moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros. sont dispensées des deuxième et troisième lignes de surveillance (gestion des risques et audit interne) ainsi que du rôle de suivi des accords conclus avec des prestataires tiers de services TIC.
Les entités financières peuvent déléguer à des prestataires externes des éléments de la surveillance du risque lié aux TIC mais conservent l’entière responsabilité du respect des exigences imposées par DORA.