Merci de désactiver le bloqueurs de pub pour visualiser cette vidéo.
Cybersécurité et risques informatiques : l'AMF appelle les acteurs à se préparer à l'entrée en application du règlement européen DORA

Cybersécurité et risques informatiques : l'AMF appelle les acteurs à se préparer à l'entrée en application du règlement européen DORA

Le règlement européen sur la résilience opérationnelle numérique du secteur financier (Digital Operational Resilience Act ou DORA) établit des règles en matière de cybersécurité et de gestion des risques informatiques pour un grand nombre d’entités financières. Il entrera en application le 17 janvier 2025. Afin d’accompagner les professionnels dans l’application de ce texte, l’AMF en rappelle les principales dispositions, à un an de leur entrée en application.

Principales dispositions 

Le règlement DORA vise à harmoniser les dispositions relatives à la cybersécurité et à la gestion des risques informatiques dans le secteur financier. Son périmètre inclut pratiquement toutes les entités du secteur financier, ainsi que les entreprises tierces leur fournissant des services informatiques sur des fonctions critiques ou importantes.

Ce large champ d’application inclut notamment les établissements de crédit, les entreprises d’investissement, les plateformes de négociation, les sociétés de gestion, les prestataires de services de financement participatif ou encore les prestataires de services sur crypto-actifs agréés en vertu de MiCA. Le règlement introduit un principe de proportionnalité, permettant à certaines entités financières (notamment celles de petite taille) de bénéficier d’un régime simplifié, voire d’être exemptées.

Le règlement DORA comprend des dispositions imposant aux entités financières : 

  • de mettre en œuvre un cadre de gestion du risque lié aux technologies de l’information et de la communication (TIC). Ce cadre doit notamment comprendre la mise en place de règles de gouvernance et de contrôle interne, l’élaboration d’une stratégie de résilience opérationnelle numérique et l’instauration d’une politique complète de continuité des activités de TIC ;  

  • de notifier aux autorités nationales compétentes (en France : AMF ou ACPR) les incidents identifiés comme majeurs et liés aux TIC ;

  • d’effectuer des tests de résilience opérationnelle numérique. Certaines entités financières identifiées par les autorités compétentes, notamment sur la base du caractère systémique de l’entité ou du profil du risque lié aux TIC, devront également mettre en place des tests avancés au moyen de tests de pénétration fondés sur la menace, c’est-à-dire simulant le mode opératoire de véritables attaques cyber ;

  • de gérer le risque lié au recours à des prestataires tiers de services TIC, avec notamment de nouvelles exigences au niveau contractuel. Les entités financières doivent identifier et intégrer les risques liés aux prestataires tiers de services TIC dans leur cadre de gestion des risques, et demeurent pleinement responsables du respect des obligations du règlement DORA lorsqu’elles ont recours à ces tiers ;

  • de partager de façon volontaire des informations opérationnelles relatives aux menaces d’origine cyber et les vulnérabilités entre acteurs du secteur financier. 

Le règlement impose également un cadre de supervision au niveau européen pour les prestataires tiers de services TIC considérés comme « critiques », c’est-à-dire susceptibles d’avoir un impact systémique sur la stabilité, la continuité ou la qualité de la fourniture de services financiers.

Textes d’application

Le règlement DORA prévoit également l’adoption ultérieure d’un certain nombre de textes d’application. Ces textes sont en cours d’élaboration par les trois autorités européennes de supervision (ESMA, EBA et EIOPA), avec l’implication des autorités nationales, dont l’AMF. Les normes techniques développées permettront d’harmoniser les exigences de sécurité informatique et la gestion du risque lié aux TIC à l’échelle de l’Union Européenne. Elles apporteront également des précisions aux entités financières quant à leur mise en conformité avec les obligations de DORA.

Avant d’être adoptés par la Commission européenne, ces textes font l’objet de consultations publiques au cours desquelles toutes les parties prenantes ont été ou sont invitées à soumettre leurs commentaires. Ces documents, divisés en deux paquets de consultations, peuvent être consultés sur les sites internet des trois autorités européennes de supervision.

Le premier paquet a fait l’objet d’une consultation à l’été dernier. Les textes concernés portent notamment sur la mise en place d’un cadre de gestion des risques TIC, sur le reporting des incidents majeurs liés aux TIC et à la gestion du risque lié aux prestataires tiers de services TIC. Les textes définitifs ont été publiés le 17 janvier 2024 sur les sites des autorités européennes et devront par la suite être adoptés formellement par la Commission européenne.

Le second paquet est actuellement ouvert pour consultation publique jusqu’au 4 mars 2024. Les textes concernent notamment des modèles pour la déclaration d’incident, les tests de pénétration fondés sur la menace ou la sous-traitance de fonctions critiques ou importantes. L’AMF invite les parties prenantes à répondre à cette consultation. A la suite de la consultation, ces textes seront publiés d’ici le 17 juillet 2024 sur les sites des autorités européennes et devront par la suite être adoptés formellement par la Commission européenne.

Calendrier et prochaines étapes

Le règlement DORA entrera en application le 17 janvier 2025. 

L’AMF appelle les acteurs à se préparer à l’entrée en application de ce texte et à anticiper leurs travaux de mise en conformité.

Dans cette perspective, l’AMF invite les acteurs à prendre connaissance des différentes informations disponibles sur son site internet, incluant par exemple la synthèse des derniers contrôles SPOT relatifs au dispositif de cybersécurité des sociétés de gestion disponible. Ces contrôles contiennent des conclusions utiles pour les entités financières en amont de l’entrée en application de DORA.

Pour toute question l’AMF invite les acteurs à se rapprocher de leurs interlocuteurs habituels qui pourront ensuite relayer leurs demandes.