Partager via

Qu’est-ce que DORA ?

  • Article

À compter du 17 janvier 2025, les entités financières de l’Union européenne (UE) et les fournisseurs de services tiers tic désignés comme « critiques » par les autorités européennes de surveillance doivent être prêts à se conformer à la loi sur la résilience opérationnelle numérique de l’UE (règlement (UE) 2022/2554 - « DORA ». DORA normalise la façon dont les entités financières signalent les incidents de cybersécurité, testent leur résilience opérationnelle numérique et gèrent les risques liés aux TIC pour les tiers dans le secteur des services financiers et les États membres de l’UE.

En plus d’établir des attentes claires quant au rôle des fournisseurs de TIC, DORA accorde aux autorités européennes de surveillance (AES) des pouvoirs de surveillance directs sur les fournisseurs de TIC critiques désignés. Microsoft se prépare à être désigné en tant que « fournisseur de services tiers tic critique » et se conformera aux dispositions applicables en vertu de DORA et aidera les institutions financières réglementées à répondre à leurs propres exigences.

Cadre réglementaire

DORA vise à fournir une approche coordonnée pour atteindre « un haut niveau de résilience opérationnelle numérique » du secteur des services financiers (FSI) en veillant à ce que les entreprises puissent résister et s’adapter à un large éventail de menaces et d’interruptions, y compris les cyberattaques, les défaillances informatiques et d’autres risques opérationnels. DORA s’applique à un large éventail d’entités FSI, y compris les banques, les institutions d’assurance, les bourses et les plateformes de négociation. En outre, pour la première fois, il désignera des « fournisseurs de services tiers essentiels aux TIC » ou CTPP considérés comme essentiels pour le système financier en fournissant des services essentiels aux entités du FSI, ce qui entraînera une surveillance réglementaire directe de ces entreprises désignées.

Points essentiels

  1. Objectif de DORA : DORA cherche à améliorer la résilience et la stabilité du secteur FSI en veillant à ce que les entités du FSI aient mis en place des mesures efficaces pour gérer et atténuer les risques opérationnels, y compris les cyber-risques. Il vise à protéger les consommateurs, les investisseurs et l’ensemble du système FSI contre les conséquences potentiellement graves de perturbations ou de défaillances majeures au sein du secteur
  2. Portée: DORA s’applique aux entités FSI opérant dans l’Union européenne et à leurs fournisseurs tiers tic qui fournissent des services dans l’UE, quel que soit l’endroit d’où ces derniers opèrent. Elle s’applique également aux fournisseurs tiers critiques (CTPP) désignés par les ESA, chargés de la supervision quotidienne de l’un des trois AES, à savoir l’ABE, l’AEAPP ou l’ABE.
  3. Dispositions clés : DORA comprend principalement trois exigences : (i) les exigences applicables aux entités FSI (y compris dans les domaines de la gestion des risques tic, de la notification des incidents majeurs liés aux TIC et des tests de résilience opérationnelle (à savoir les tests de pénétration dirigés par les menaces)), (ii) des exigences relatives aux accords contractuels conclus entre les fournisseurs de services tiers tic désignés et les entités FSI, et (iii) les règles relatives à l’établissement et à la conduite du cadre de surveillance pour Fournisseurs tiers TIC critiques lors de la fourniture de services aux entités FSI.
  4. Conformité : Microsoft se conformera à toutes les lois et réglementations qui lui sont applicables dans la fourniture de ses services, sous réserve des exigences qui lui sont appliquées en tant que CTPP. Les entités FSI qui ont mis en place des dispositions contractuelles pour l’utilisation de Microsoft services en ligne pour exécuter leurs fonctions critiques ou importantes restent responsables du respect de toutes les obligations en vertu de DORA et des exigences réglementaires applicables en matière de services financiers. Microsoft prendra en charge les entités FSI pour activer leurs obligations de conformité et se conformer aux exigences qui lui sont applicables.
  5. Services et fournisseurs cloud : DORA est neutre sur le plan technologique, et les exigences de DORA s’appliquent non seulement aux entités FSI, mais également aux fournisseurs tiers de services TIC qui sont désignés comme csp. Certains services cloud Microsoft Azure (par exemple, IAAS) et certains services Microsoft 365 tels qu’Exchange et Teams sont susceptibles d’être couverts par DORA, mais cela n’a pas encore été déterminé.
  6. Engagements contractuels : DORA impose certaines exigences contractuelles entre les fournisseurs de services tiers TIC et les entités FSI. Microsoft s’assure que ses dispositions contractuelles sont conformes à l’exigence de DORA, le cas échéant. En outre, Microsoft s’aligne déjà sur les exigences émises dans le cadre des recommandations de l’EBA, de l’ABE et de l’AEAPP, et ces conseils servent de cadre de référence pour les exigences de DORA.
  7. Supervision : DORA n’allège pas les entités FSI de la supervision des fournisseurs de technologie, y compris sur les audits. Microsoft a une expérience substantielle de l’aide aux clients dans l’exécution d’audits et dans la fourniture d’un niveau de transparence et d’assurance pour la supervision et la surveillance continues de ses services cloud.

DORA vise à renforcer la résilience opérationnelle du secteur FSI et à renforcer la gestion des risques afin que les entreprises puissent résister à un large éventail de menaces et de perturbations et s’y adapter. Microsoft se conformera à toutes les lois et réglementations applicables à la fourniture de ses services cloud, sous réserve des exigences qui lui sont appliquées en tant que CTTP. Les entités FSI qui ont mis en place des dispositions contractuelles pour l’utilisation de services tiers TIC restent responsables du respect de toutes les obligations en vertu de DORA et des exigences réglementaires applicables en matière de services financiers, auxquelles Microsoft prendra en charge le cas échéant.

Principaux domaines à prendre en considération par le client sous DORA

Cadre de gestion des risques liés aux TIC

La Loi sur la résilience opérationnelle numérique (DORA) établit un mécanisme de gestion complet des risques liés aux TIC avec lequel les entités financières devront se conformer, y compris l’identification, la protection et la prévention, la détection, la réponse et la récupération de ces risques dans l’étendue. Les entités financières doivent établir un cadre de gouvernance et de contrôle interne pour la gestion des risques liés aux TIC et effectuer un suivi continu des risques liés aux TIC. Ces exigences en matière de gestion et de surveillance des risques liés aux TIC s’étendent à l’utilisation des services TIC fournis par des fournisseurs tiers.

Les éléments de ce cadre de gestion des risques liés aux TIC englobent largement les éléments suivants :

  • Cadre de gouvernance et de contrôle interne pour la gestion des risques liés aux TIC : les entités financières doivent disposer d’un cadre de gouvernance et de contrôle interne qui garantit une gestion efficace et prudente des risques liés aux TIC.
  • Composants et exigences du cadre de gestion des risques liés aux TIC : le cadre de gestion des risques liés aux TIC doit inclure des stratégies, des politiques, des procédures, des protocoles tic et des outils nécessaires pour protéger et garantir la résilience, la continuité et la disponibilité des systèmes, des ressources d’information et des données tic.
  • Spécifications des systèmes, protocoles et outils TIC : les entités financières doivent utiliser et tenir à jour des systèmes, protocoles et outils TIC appropriés, fiables, résilients et capables de traiter les données nécessaires à leurs activités et services. Ils doivent également mettre en œuvre des stratégies, des procédures, des protocoles et des outils de sécurité des TIC qui visent à assurer la sécurité des réseaux et des données et à prévenir les incidents liés aux TIC.
  • Identification des sources et dépendances des risques liés aux TIC : les entités financières doivent identifier, classifier et documenter toutes les fonctions commerciales prises en charge par les TIC, les ressources d’information et les actifs TIC, ainsi que leurs rôles et dépendances par rapport aux risques liés aux TIC. Ils doivent également identifier toutes les sources de risques liés aux TIC, les cybermenaces et les vulnérabilités liées aux TIC, et évaluer l’impact potentiel des interruptions des TIC.
  • Détection des incidents et anomalies liés aux TIC : les entités financières doivent disposer de mécanismes pour détecter rapidement les activités anormales, les problèmes de performances des réseaux TIC et les incidents liés aux TIC, et pour identifier les points de défaillance uniques potentiels. Ils doivent également définir des seuils et des critères d’alerte pour déclencher et lancer des processus de réponse aux incidents liés aux TIC.
  • Réponse et récupération suite à des incidents liés aux TIC : les entités financières doivent avoir une politique complète de continuité des activités des TIC et des plans de réponse et de récupération tic associés qui visent à assurer la continuité des fonctions critiques ou importantes, à résoudre rapidement et efficacement les incidents liés aux TIC et à réduire les dommages et pertes. Ils doivent également tester, examiner et mettre à jour régulièrement leurs plans et mesures, et faire rapport aux autorités compétentes si nécessaire.

Comment Microsoft aide à gérer les risques

Microsoft fournit déjà un large éventail de fonctionnalités intégrées de gestion des risques liés aux TIC dans nos services aujourd’hui. Cela inclut, à titre d’exemple : Microsoft Defender pour le cloud, Tableau de bord d’intégrité du service Microsoft 365, Microsoft Secure Score, Azure Service Health, Microsoft Purview et Gestionnaire de conformité Microsoft Purview.

TIC - Gestion, classification et rapports des incidents associés

Diverses exigences sont imposées aux entités financières de l’UE en matière de gestion, de classification et de création de rapports sur les incidents tic, notamment les suivantes :

  • Processus de gestion des incidents liés aux TIC : les entités financières doivent disposer d’un processus pour détecter, gérer et notifier les incidents liés aux TIC et les enregistrer en fonction de leur priorité et de leur gravité.
  • Classification des incidents liés aux TIC et des cybermenaces : les entités financières doivent classer les incidents liés aux TIC et les cybermenaces en fonction de critères tels que le nombre de clients touchés, la durée, la répartition géographique, les pertes de données, la criticité des services et l’impact économique.
  • Signalement des incidents majeurs liés aux TIC et notification volontaire des cybermenaces importantes : les entités financières doivent signaler les incidents majeurs liés aux TIC à l’autorité compétente concernée à l’aide de formulaires et de modèles standard et informer leurs clients de l’incident et des mesures d’atténuation. Les entités financières peuvent également notifier les cybermenaces importantes à l’autorité compétente concernée sur une base volontaire.
  • Harmonisation du contenu et des modèles de notification : les AES, par l’intermédiaire du comité mixte et en consultation avec l’ENISA et la BCE, élaborent des projets communs de normes techniques réglementaires et d’application pour spécifier le contenu, les délais et le format des rapports et des notifications pour les incidents liés aux TIC et les cybermenaces.
  • Centralisation de la notification des principaux incidents liés aux TIC : les AES, par l’intermédiaire du comité mixte et en consultation avec la BCE et l’ENISA, préparent un rapport conjoint évaluant la faisabilité de la poursuite de la centralisation de la notification des incidents grâce à l’établissement d’un hub ue unique pour la notification des incidents liés aux TIC par les entités financières.

Tests de résilience opérationnelle numérique

DORA introduit des tests opérationnels numériques qui doivent être effectués sur des systèmes et applications TIC critiques sur une base annuelle à triennial par le biais de tests d’intrusion dirigés par les menaces (TLPT). Cette nouvelle approche de test renforce les capacités de test des entités financières, favorisant ainsi la reprise en temps voulu et la continuité des activités. Microsoft permet déjà aux clients de le faire via notre programme de tests d’intrusion. En savoir plus sur les règles d’engagement des tests d’intrusion microsoft cloud et nos programmes de primes aux bogues . Microsoft continuera à travailler et à prendre en charge les exigences de test pour répondre aux exigences de ce régime de test, comme l’exige DORA, conformément aux principes de garantie de la sécurité, de l’intégrité, de la sécurité et de la résilience opérationnelle de Microsoft Cloud.

Comment Microsoft aide à tester la résilience opérationnelle

Microsoft effectue régulièrement des tests d’intrusion internes et tiers pour identifier les vulnérabilités potentielles dans les systèmes qui fournissent nos services en ligne. Les rapports de test d’intrusion tiers pour les services en ligne Microsoft applicables sont disponibles en téléchargement sur le portail d’approbation de services.

En plus des tests de vulnérabilité, Microsoft teste la résilience de ses services en ligne au moins une fois par an. Microsoft fournit des rapports de validation de plan de continuité d’activité et de récupération d’urgence sur le portail d’approbation de service qui décrivent la validation et la maintenance des plans BCDR pour les services en ligne sélectionnés.

Principes clés pour une gestion saine des risques liés aux TIC pour les tiers

Les entités financières sont censées gérer les risques liés aux TIC par des tiers dans le cadre de leur cadre de gestion des risques liés aux TIC, adopter une stratégie et une politique sur l’utilisation des services TIC prenant en charge des fonctions critiques ou importantes, et tenir à jour un registre d’informations sur tous les accords contractuels avec les fournisseurs de services tiers.

  • Évaluation préliminaire avant de conclure des contrats : Les entités financières doivent évaluer les risques liés aux contrats avec des fournisseurs tiers de services TIC clés.
  • Dispositions contractuelles clés : les entités financières doivent veiller à ce que les dispositions contractuelles comprennent, entre autres choses, une description des fonctions et des services, les emplacements de traitement et de stockage des données, la gestion et la supervision des sous-traitants clés qui sous-tendent la fourniture de services critiques, les mesures de protection et de sécurité des données, les descriptions des niveaux de service et les objectifs de performance, les droits de résiliation et les stratégies de sortie, et les droits d’accès, d’inspection et d’audit de l’entité financière et des autorités compétentes.

Comment Microsoft contribue à la gestion des risques tiers

Microsoft fournit déjà des engagements contractuels substantiels qui sont conformes aux instructions des ESA respectives et conformes aux dispositions de l’article 30 de la DORA. L’addendum sur la protection des données des produits et services Microsoft, les conditions du produit et l’avenant aux services financiers couvrent ces éléments clés. Nous allons travailler avec les clients pour continuer à répondre à d’autres besoins des clients à l’avenir.

Engagement de Microsoft à activer la conformité dans le cadre de DORA

Microsoft se prépare à répondre aux exigences de DORA, le cas échéant, et aux services clés qu’il fournit aux entités financières qui utilisent ses services cloud pour des fonctions critiques ou importantes. Depuis plus de dix ans, Microsoft a investi de manière significative pour aider les institutions financières à respecter leurs obligations réglementaires lors de l’utilisation des services cloud Microsoft, des contrats commerciaux que nous mettons à disposition conformément aux directives ESAs sur l’externalisation, à la transparence et à l’assurance de nos services cloud via le portail d’approbation de services et d’autres ressources, en passant par la myriade de fonctionnalités de sécurité intégrées dans nos services cloud. Associés à l’étendue des fonctionnalités que nous offrons pour aider les clients à gérer les risques et à superviser l’utilisation de nos services cloud en permanence, les éléments de DORA constituent une étape naturelle pour maintenir la résilience opérationnelle et utiliser les services cloud Microsoft en toute confiance. Nous travaillons également avec d’autres organismes de réglementation dans des juridictions telles que le Royaume-Uni qui mettent en œuvre des mesures similaires à DORA et se préparent à répondre également à ces exigences.