Le règlement DORA (Digital Operational Resilience Act) sur la résilience opérationnelle numérique est récemment entré en vigueur, et il aura bientôt un impact sur des milliers d’organisations des services financiers à travers l’Union européenne (UE). Dans cet article, ma collègue Clara Lemaire et moi partageons quelques éclairages sur les exigences de DORA, et nous verrons comment Splunk peut accompagner les organisations des services financiers dans leur parcours de résilience. Découvrons DORA !
Qu’est-ce que la résilience opérationnelle ?
Il existe de nombreuses définitions de la résilience opérationnelle, mais celle que j’utilise le plus souvent est :
« la capacité d’une organisation à s’adapter rapidement aux perturbations tout en assurant la continuité de ses opérations et en protégeant les personnes, les actifs et le capital global de la marque. »
J’aime cette définition, car elle rappelle que de nombreux types de perturbations peuvent menacer la capacité des organisations (des services financiers) à maintenir un niveau élevé de résilience opérationnelle. On pense, bien sûr, aux problèmes technologiques, aux menaces à la sécurité et à l’instabilité politique ou économique, mais il en existe beaucoup d’autres. Peut-être plus important encore, la définition fait référence au lien direct entre la résilience et les résultats commerciaux. La résilience est un moteur pour la valeur de la marque, qui à son tour affecte les performances de l’entreprise.
La pandémie a changé à jamais le visage des services financiers destinés aux particuliers, en obligeant de nombreux consommateurs à adopter les canaux numériques. Pour les institutions financières, le défi était inédit, et beaucoup ont eu du mal à assurer des services commerciaux essentiels. Ce n’était pas la première fois que l’industrie était confrontée à des problèmes relevant de la résilience opérationnelle, comme en témoigne une lourde amende récemment imposée par la Financial Conduct Authority (régulateur britannique) à une banque pour une « défaillance dans la gestion des risques opérationnels et de la gouvernance, c’est-à-dire la résilience opérationnelle » qui avait eu lieu en 2018.
Les difficultés collectives de l’industrie en matière de résilience opérationnelle ont conduit à l’introduction de nouvelles réglementations dans de nombreuses juridictions. Plus particulièrement, les régulateurs britanniques ont introduit des lignes directrices sur la résilience opérationnelle, et toutes les organisations des services financiers doivent démontrer leur capacité à les respecter d’ici 2025. Et dans le reste du monde, de nombreux autres régulateurs suivent leur exemple.
Qu’est-ce que DORA et quand ce règlement a-t-il été introduit ?
La Commission européenne a publié sa proposition de règlement sur la résilience opérationnelle numérique (DORA) en septembre 2020. À l’époque, l’UE s’est rendue compte qu’il n’existait pas de cadre cohérent pour gérer les risques découlant de la dépendance des organisations de services financiers vis-à-vis des technologies de l’information et de la communication (TIC). « Les risques liés aux TIC continuent de représenter un défi pour la résilience opérationnelle, la performance et la stabilité du système financier de l’UE », a noté la Commission.
Après deux ans de négociations, le texte juridique a finalement été approuvé fin 2022. Il est entré en vigueur le 16 janvier 2023 et s’appliquera à partir du 17 janvier 2025. D’ici là, les autorités européennes de surveillance élaboreront plus d’une vingtaine de normes techniques de réglementation (RTS) pour préciser les mesures du règlement et aider les organisations de services financiers à se mettre en conformité.
DORA est un règlement de l’UE. À ce titre, il sera directement applicable dans la législation nationale et ne nécessitera pas de transposition par les 27 États-membres. Très peu de domaines du texte sont laissés à la discrétion des États-membres.
Quelles sont les exigences de DORA pour les institutions financières ?
DORA établit quatre exigences clés auxquelles les organisations de services financiers devront se conformer :
Exigence 1 : gouvernance et gestion des risques liés aux TIC
Les organisations des services financiers sont tenues de mettre en place et de maintenir des systèmes et des outils TIC résilients capables de minimiser l’impact des risques liés aux TIC. Certaines de ces mesures de gestion des risques correspondent aux capacités de Splunk (voir image), en particulier la supervision et l’identification des sources de risques TIC et la détection des activités anormales.
Figure 1 (à droite) : six étapes pour gérer les risques liés aux TIC
Exigence 2 : gestion, classification et notification des incidents liés aux TIC
Le règlement oblige, de façon générale, les organisations des services financiers à établir et mettre en œuvre un processus de gestion pour superviser et consigner les incidents liés aux TIC. Elles sont également tenues de classer les incidents et de déterminer leur impact sur la base d’une liste de critères.
Seuls les « incidents majeurs » doivent être signalés aux autorités nationales compétentes. La déclaration comprend trois étapes : 1. une notification initiale ; 2. un rapport intermédiaire, « dès que la situation de l’incident initial a sensiblement changé » ; et 3. un rapport final, « lorsque l’analyse des causes originelles est terminée ». Les délais de chaque étape, de même que le format des rapports, seront établis par des normes techniques réglementaires.
Exigence 3 : tests de résilience opérationnelle numérique
Les organisations de services financiers doivent également établir et maintenir un programme de test de résilience opérationnelle numérique solide et complet. Ce programme doit permettre d’évaluer leur préparation à la gestion des incidents liés aux TIC, d’identifier les faiblesses, les défaillances et les lacunes dans la résilience opérationnelle, et enfin de mettre en œuvre rapidement des mesures correctives.
Exigence 4 : gestion des risques tiers liés aux TIC
La gestion des risques tiers liés aux TIC est considérée comme une composante à part entière du risque TIC. Au-delà des mesures applicables à tous les tiers, DORA établit également un cadre de supervision spécifique pour les fournisseurs tiers de services critiques.
Quelles entreprises seront considérées comme des fournisseurs critiques ? Ce sont les prestataires dont la défaillance pourrait avoir « un impact systémique sur la stabilité, la continuité ou la qualité de la fourniture de services financiers », ou les prestataires qui ne peuvent être aisément remplacés par un autre prestataire. Tous les fournisseurs critiques seront identifiés ultérieurement par les autorités de contrôle.
Comment Splunk peut-il aider les organisations des services financiers à devenir plus résilientes ?
Dans un article de blog précédent, j’ai souligné l’importance d’utiliser les données pour obtenir une vue globale des risques associés à tout événement potentiellement déstabilisant, afin d’améliorer la résilience opérationnelle.
Splunk est armé pour aider les organisations des services financiers à atteindre cet objectif. La plateforme est également capable de prendre en charge les exigences clés de DORA, et plus particulièrement l’exigence 1, Gouvernance et gestion des risques TIC et l’exigence 2, Gestion, classification et notification des incidents liés aux TIC. La Figure 2 (ci-dessous) présente une synthèse des capacités de Splunk alignées sur DORA. Très important : la plateforme unifiée de Splunk couvre aussi bien le domaine de la sécurité que celui de l’observabilité.
Figure 2 : comment la plateforme Splunk peut-elle améliorer la résilience opérationnelle ?
D’un point de vue strictement réglementaire, il est essentiel d’utiliser les données pour améliorer le MTTR (temps moyen de réponse) face à toute perturbation, car cela permet de démontrer que tous les incidents ont été gérés efficacement. En plus d’apporter une preuve de conformité réglementaire, ces mêmes données peuvent souvent fournir les informations nécessaires pour faire évoluer les offres de produits et de services et les améliorer constamment.
Parlons d’avenir : quel est le visage de la conformité ?
Le futur de l’environnement opérationnel semble toujours plus incertain. Face à ces perspectives instables, le Parlement européen a publié un document sur les risques géopolitiques et les vulnérabilités du secteur bancaire. Ce document se penche essentiellement sur la multiplication des cyberattaques et l’impact de la crise énergétique. Mais ce ne sont que deux des nombreux événements potentiellement déstabilisants qui ont récemment souligné l’importance de renforcer la résilience et la gestion des risques.
Pour améliorer leur résilience, la plupart des organisations vont entreprendre un parcours de maturité qui commencera par l’acquisition d’une visibilité fondamentale. Elles s’appuieront ensuite sur cette base pour parvenir à créer des expériences optimisées. La vision Splunk du parcours de maturité de la résilience est résumée dans la Figure 3 ci-dessous.
Figure 3 : Cadre Splunk de maturité de résilience opérationnelle
Les organisations des services financiers ont toutes un objectif ultime : offrir une expérience client exceptionnelle. Et dans leur parcours pour y parvenir, elles devront naturellement répondre aux exigences de DORA. Les deux objectifs de conformité réglementaire et d’optimisation de l’expérience client sont donc inextricablement liés, et c’est pourquoi la capacité à atteindre la maturité de la résilience est désormais un précurseur du succès commercial à long terme.
*Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.
