Depuis plusieurs années maintenant, la menace cyber caracole régulièrement en tête des classements des « Top risques » des entreprises. Ces dernières font état de leur vulnérabilité face à des cyber attaquants toujours plus audacieux, innovants et organisés. Plus qu’ailleurs, ces préoccupations sont partagées par les banques, les sociétés d’assurance, d’asset management ou de private equity en raison des enjeux sociétaux qui sont associés à la sécurité financière.
Face aux attaques qui se multiplient, face également aux conséquences qu’elles génèrent sur la continuité des opérations, il était donc urgent de disposer d’outils efficaces et harmonisés. Tel est l’objectif du Règlement européen DORA, entré en vigueur en ce début d’année.
Acronyme de Digital Operational Resilience Act, DORA explore ainsi les modalités de la résilience, qui est entendue comme « la capacité d’une entité financière à construire, assurer et contrôler son intégrité et sa fiabilité opérationnelle en garantissant (…) l’ensemble des ressources nécessaires pour assurer la sécurité du réseau et des systèmes d’information qu’une entité financière utilise, et qui soutiennent la continuité des services financiers et leur qualité, y compris pendant toute la durée des perturbations. » (Article 3 - Définition).
Cette exigence de la résilience implique pour toutes les entreprises du secteur financier de devoir mettre en œuvre un dispositif proportionné destiné à anticiper les menaces, et à y faire face en situation réelle. Ce dispositif devra également être testé en tenant compte de cette menace, afin de mieux évaluer les capacités de réponse et d’en optimiser l’efficience. DORA implique donc d’avoir une gestion de bout en bout du risque, qui ne se limite plus aux seuls experts de la cybersécurité. La gouvernance est mise en responsabilité, et doit par conséquent être formée et informée des risques informatiques auxquels est exposée leur entité. Les trois lignes de défense sont mobilisées à cet effet. Enfin, les prestataires TIC (Technologie de l’Information et de la Communication) qui portent les activités critiques de leur client, entité financière, doivent également mettre en œuvre à leur niveau les exigences DORA pour renforcer leur propre résilience. A travers la refonte de la relation contractuelle, l’objectif est donc de s’assurer que l’entité financière dispose de la meilleure visibilité possible des garanties que lui apporte son prestataire sur son système d’information.
Mais contrairement au RGPD qui créait, il y a cinq ans, des obligations inédites sur la protection des données personnelles, le règlement DORA vient pour sa part seulement renforcer des dispositifs en principe déjà existants en matière de maîtrise du risque informatique. Cette logique de renforcement implique donc nécessairement de dresser le bilan de ce qui existe, et ce, même si ces dispositifs sont partiels ou disséminés et le bilan de ce qui fonctionne.
Le gap analysis est donc l’outil idéal pour cet état des lieux. Il établit un scoringde la conformité actuelle au regard des différentes exigences DORA. Cette échelle à 4 niveaux permet de fixer les forces et faiblesses et donc de déterminer finement les priorités de la feuille de route à venir. Il permet de comparer à l’instant T la maturité entre différentes entités du même groupe. Il permet également d’évaluer les progrès accomplis et les efforts restant à fournir avant le 17 janvier 2025, date de la mise en conformité.
Ce gap analysis présente aussi un autre intérêt : il contribue à faire partager plus largement au sein de l’entité financière la compréhension de son système d’information et de ses mesures de protection. C’est en réunissant les différentes fonctions de la résilience (risques, cybersécurité, conformité, continuité, achats…) autour des quatre grands piliers du Règlement que l’on comprend la richesse de cette dimension transversale. Tel est le principal retour d’expérience que nous enseignent ces gap analysis DORA : reconsidérer la place de la résilience dans l’entreprise à l’appui d’une véritable gestion du changement.
