DORA : l’écosystème financier est-il conforme ?

Le règlement européen 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA), qui entrera en application le 17 janvier 2025, impose à tous les établissements financiers de l’Union européenne des exigences uniformes concernant la gestion des risques liées aux technologies de l’information et de la communication (TIC), aux réseaux et systèmes d’information. La directive associée modifie en fonction les directives existantes pour les mettre en cohérence avec le règlement. Sont donc notamment concernés les banques, les établissements de paiement, les prestataires de services de financement participatif ou encore les prestataires de services sur crypto-actifs agréés en vertu de MiCA. 

Les exigences concernent “la gestion du risque informatique, le reporting des incidents, les tests de résilience et la gestion du risque de tiers porté par les prestataires de services informatiques”, résume l’Autorité de contrôle prudentiel et de résolution (ACPR). Concrètement, les entités devront s’assurer qu’elles peuvent résister à toute perturbation opérationnelle grave liée aux TIC et préparer des plans de réponse et de rétablissement. Florent Gilain, responsable sécurité des systèmes d’information (RSSI ou CISO) d’iBanFirst, établissement de paiement régulé par la Banque Nationale de Belgique, estime que “le texte va faire monter d’un cran le secteur en termes de cybersécurité, et c’est d’ailleurs une très bonne nouvelle qu’une réglementation impose des exigences. Cela permet de renforcer le message des RSSI et de débloquer les budgets et décisions pour lancer ce qu’ils préconisaient souvent déjà”.

Les institutions financières ne sont pas prêtes

À quelques semaines de l’entrée en application, peu d’établissements financiers semblent être en conformité. “Lorsque l’on échange avec nos homologues, il ressort que personne n’est totalement prêt”, assure Florent Gilain.

Il faut dire que certaines exigences de la directive impliquent par ailleurs des projets titanesques, même pour les banques traditionnelles, qui peuvent pourtant s’appuyer sur des équipes et des cadres existants. “C’est la première fois qu’une réglementation volontariste vise à faire avancer l’Europe sur ces problématiques de risques liés aux TIC, et c’est une vraie transformation qui est demandée à toutes les structures, qu’il s’agisse des banques, des assureurs ou des fintech”, indique ainsi Olivier Nautet, RSSI groupe de BNP Paribas. 

Par ailleurs, les normes techniques de DORA (RTS/ITS) ont été publiées tardivement, en janvier puis en juillet 2024, apportant ainsi des clarifications importantes sur les exigences à respecter et ne laissant aux établissements qu’un temps limité pour se mettre en conformité. “Il était difficile de savoir par où commencer, même si nous avions déjà entamé le travail en février 2024 à partir des frameworks, ainsi que le mise en place des contrôles en nous basant sur les articles existants, évoque Sahra Toksöz, governance, risk and compliance security officer chez la plateforme de Banking-as-a-Service Swan. Et quand les clarifications sont sorties en juillet, nous n’avions plus qu’un semestre pour nous mettre en conformité.” La société serait désormais conforme à 85 % environ.

“Le règlement a été publié il y a deux ans, ce qui a laissé à la profession le temps de se préparer, notamment en matière d’ajustements des politiques et contrats, répond Pascal Jourdain, spécialiste bancaire au sein de la direction des affaires internationales à l’ACPR. Par ailleurs, DORA renforce des exigences déjà existantes, comme les guidelines de l’Autorité bancaire européenne dans le secteur bancaire. L’ACPR a organisé des réunions de place pour les banques et assureurs en octobre et a donné des orientations claires pour préciser la mise en oeuvre des textes européens. Les questions que nous avons reçues montrent un bon niveau de maturité chez les banques et assurances.” Le régulateur reconnaît avoir moins d’informations sur le niveau de conformité des fintech, mais “nous les voyons recruter des spécialistes en charge de DORA, ce qui montre une bonne mobilisation sur le sujet”. 

Bouleversement pour les fintech

Les banques ayant déjà des systèmes cyber solides, elles ont souvent une marche moins haute à gravir pour atteindre la conformité par rapport aux fintech. “Le fait que DORA s’applique à tout le système financier est pour nous primordial car cela signifie qu’il n’y aura plus de distorsion de concurrence avec les entités non supervisées par la BCE, qui investissaient jusqu’ici moins dans la cybersécurité”, se félicite d’ailleurs Olivier Nautet, de BNP Paribas.

Les fintech (établissements de paiement ou de monnaie électronique) ont dû recruter des collaborateurs dédiés et mettre en place des processus parfois inexistants jusqu’alors. “Si les grandes banques ont anticipé la réglementation DORA grâce à leurs équipes, peu de PME l’ont fait et certaines n’ont toujours pas de plan d’action, décrit ainsi Delya Douglas, consultante senior au sein du cabinet Lyncas, qui a accompagné deux fintech (un PSAN et un PSIC) dans leur mise en conformité. Parfois, ce sont même les prestataires qui ne sont pas directement assujettis qui commencent à poser des questions aux entités régulées, pour savoir s’ils sont considérés comme prestataire critique et s’il doivent adapter leurs contrats”. Peu ont d’ailleurs accepté de répondre aux questions de mind Fintech sur le sujet.

Chez iBanFirst, Florent Gilain, RSSI depuis quatre ans, a alerté la direction générale il y a deux ans sur la réglementation DORA. “Nous nous sommes finalement vraiment penchés sur le sujet début 2024. La mise en conformité peut être complexe quand on a des petites équipes.” iBanFirst compte 330 collaborateurs, dont quatre dans son équipe cyber. Chez Swan, Sahra Toksöz fait partie d’une équipe sécurité aux côtés d’un VP sécurité et de deux autres collaborateurs. “Mais pour se mettre en conformité avec DORA, il faut s’appuyer sur les équipes juridiques, IT, conformité et risque et les coordonner”, souligne-t-elle.

Le règlement laisse aux établissements financiers le choix des ressources internes pour assurer la conformité à DORA. Beaucoup font le choix de recruter un RSSI. “DORA demande une indépendance adéquate entre les fonctions de gestion du risque, de contrôle et d’audit interne, pour respecter le modèle des trois lignes de défense”, rappelle Pascal Jourdain, de l’ACPR. “Nous conseillons de rattacher le RSSI directement à la direction générale, et non pas à une direction opérationnelle, pour assurer son indépendance”, expose de son côté Delya Douglas. Fintecture, par exemple, a recruté en mai 2024 un directeur de la sécurité informatique, qui est à 80 % dédié à la mise en conformité à DORA et au maintien du dispositif, apprend Philippe Heydarian, directeur conformité, à mind Fintech. Il est rattaché au CTO et présent au comité des risques de la société.

Les banques, elles, ont pu compter sur leurs structures existantes. Ainsi, chez BNP Paribas, “nous avions déjà des structures historiques et une gouvernance relativement solide, avec des RSSI dans chaque métier ou territoire et des RSSI transverses sur des thématiques (IA, cloud…), raconte Olivier Nautet. Nous avons nommé un responsable et des correspondants DORA dans ces équipes, qui suit le déploiement du programme au sein de ces entités et est en charge de la coordination des actions. Et nous nous sommes appuyés sur le programme cyber déjà déployé.” 

Outils de suivi de conformité

La plupart des acteurs s’appuient sur des outils de gestion des risques leur permettant d’analyser et de suivre leur mise en conformité. BNP Paribas fait ainsi appel à ServiceNow et son produit Governance, Risk and Compliance (GRC). “C’est un référentiel qui nous permet de suivre les avancées des programmes cyber des entités, et notamment les exigences en rapport avec DORA”, détaille le RSSI. BNP Paribas a choisi d’embarquer l’ensemble du groupe sur les problématiques DORA, même les entités normalement non assujetties. “Nous avons réussi à intégrer toutes les demandes des RTS, notamment en nous appuyant sur notre programme cyber historique”, assure le RSSI.

Chez Fintecture, Datadog a été choisi pour la gestion des incidents (paramétrage des alertes, audit, création de rapports…). Pour contrôler les dispositifs, définir les risques et suivre les actions de remédiation la société a choisi l’outil GRC Qalestra.

Swan a aussi recouru à un outil d’automatisation de la mise en conformité, Vanta. “Nous avons pu définir un plan d’actions et une roadmap en fonction de ce qui nous manquait”, décrit Sahra Toksöz. iBanFirst, de son côté, a d’abord fait appel à i-tracing, son partenaire historique principal pour la cybersécurité, qui lui fournit un SOC (security operations center) managé, pour réaliser la “gap analysis” (comparaison entre l’état courant et celui de mise en conformité). “Un questionnaire sur le framework DORA nous a permis d’identifier ce qui nous restait à faire et l’écart est assez important, reconnaît le responsable sécurité. Souvent, il s’agit d’ajustements ou de sujets organisationnels et de documentation, puisque nous avons déjà beaucoup œuvré sur le sujet cyber depuis quatre ans et que nous disposons du SOC d’un partenaire de premier ordre.” A la suite de cette analyse, terminée en septembre 2024, iBanFirst a étudié les outils pouvant être utilisés pour générer des reportings DORA au bon format et a choisi Formalize, avec qui un PoC a été réalisé. La société se fait par ailleurs accompagner par BluEnable sur son plan de remédiation et de mise en conformité. “Nous serons en retard, mais nous pouvons montrer au régulateur que nous avons déjà mis des choses en place et planifié la suite”, avance Florent Gilain. 74 points ont été identifiés comme devant être adressés lors de la gap analysis. 

Définir les risques critiques

Pour les fintech, l’un des plus gros chantiers réside dans l’identification des actifs et processus critiques. “Comment définir quels sont nos fournisseurs critiques ? Rien que cela, c’est complexe, soutient Florent Gilan chez iBanFirst. Il faut imaginer ce que le régulateur attend et composer avec différents avis au sein de l’entreprise.” “Pour les fintech, ce qui est très difficile est de créer un framework du risque IT, car il faut conduire une “business impact analysis” (bilan d’impact sur l’activité) très poussée afin de comprendre quels sont les processus critiques ou non”, confirme Sahra Toksöz. Concrètement, “un processus ou partenaire est critique si, en cas de défaillance, cela impacte les opérations, mais aussi, par exemple, si le fournisseur de services gère des données de la société”, ajoute-t-elle.

De même, poursuit-t-elle, formaliser la gravité des incidents et la conduite à tenir est très difficile, car cela nécessite d’aligner les avis. “Il faut déterminer comment définir un incident majeur ou mineur, et comment suivre les obligations de reporting quand il est majeur… mais aussi, s’il est mineur et récurrent, quelle sera la marche à suivre. Il faut mettre en place un énorme diagramme qui inclut tous les collaborateurs devant intervenir à divers moments.”

Pour Pascal Jourdain, de l’ACPR, “définir les prestataires et services critiques doit faire l’objet d’une discussion interne, et cela fait partie de la maîtrise des activités de l’entité financière. Elle doit avoir une photo finale compleète et cohérente de ses prestataires critiques.”

Gérer les risques des prestataires

L’un des plus gros bouleversements de DORA réside dans le quatrième pilier du règlement : la gestion des risques liés aux prestataires de services TIC. Les établissements financiers doivent notamment évaluer les risques avant de contracter avec un partenaire “critique ou important” et inclure dans leurs nouveaux contrats et contrats existants des clauses contractuelles obligatoires (lieu et stockage de traitement des données, protection des données, niveaux de service, assistance en cas d’incident, plans d’urgence, récupération des données…). Mais aussi des clauses de rupture du contrat si cela n’est pas respecté. En outre, cela suppose de réfléchir à des solutions de remplacement le cas échéant.

Pour les fintech, qui “se reposent sur de nombreux prestataires, pour les fonctions coeur, les services cloud, les services de paiement…”, le travail est souvent colossal. “Pour chaque fonction critique, il faut identifier les prestataires sur lesquels nous nous reposons, et parfois ceux sur lesquels eux-mêmes se reposent”, note Sahra Toksöz. Swan a identifié 25 prestataires critiques. 

Chez BNP Paribas, “nous avons l’habitude de mettre à jour tous nos contrats, comme nous l’avons fait pour le RGPD, assure Olivier Nautet. Pour le flux, c’est assez facile. Pour les remédiations sur le stock, nous travaillons intensément pour s’assurer d’en finaliser le plus possible d’ici janvier et d’avoir un plan pour se projeter sur les mois à venir afin de mettre à jour tous nos contrats.”

De son côté, Swan a terminé sa mise en conformité sur cet aspect : “nos équipes légales ont actualisé tous nos contrats en y ajoutant les clauses DORA, assure la responsable sécurité. Cela n’a pas été trop complexe puisque les grands fournisseurs, comme les services cloud, ont de nombreux autres établissements financiers clients qui doivent aussi le faire”. Chez Fintecture, “nous avons structuré et rédigé les amendements mais tous les prestataires critiques n’ont pas encore répondu, racontre Philippe Heydarian. Ce n’est pas toujours évident quand on est un petit acteur face à de grandes entreprises. Mais plusieurs prestataires sont très présents dans l’écosystème fintech et sont donc au fait de la règlementation.“

Tests des plans de sortie

Les clauses sur les plans de réversibilité, cependant, ne sont pas si simples à mettre en œuvre, même pour les banques. “DORA requiert des plans de sortie documentés pour les fonctions critiques, détaillant la période de transition et assurant la possibilité de réversibilité, rappelle Delya Douglas, du cabinet Lyncas. Et la réglementation impose de tester, pour les solutions critiques, la possibilité de migrer en réalisant une simulation sur une base clients. Le texte évoque par ailleurs des tests “réguliers”. Pour des entités qui comptent une multitude de solutions critiques (l’hébergement informatique, les outils de conformité, le core banking system, les outils de credit scoring…), cela pourrait représenter un coût colossal”. La consultante demande à ce que les modalités de ces tests soient mieux définies par le régulateur et évoque la possibilité de mettre en place des tests de plans de sortie mutualisés, par exemple au sein d’organismes de place, en lien avec les prestataires. 

Chez BNP Paribas, “nous devons  continuer à examiner tous les sujets liés à la réversibilité, reconnaît Olivier Nautet. Cela sera désormais au cœur des stratégies de sourcing des différentes entités.” Chez Fintecture, Philippe Heydarian envisage de choisir en 2025 quelques prestataires critiques pour simuler des scénarios, “comme pour les plans de continuité d’activité”.

“Les entités financières peuvent adapter la fréquence et la portée de leurs tests à leurs propres risques, selon le principe de proportionnalité de DORA, éclaircit Pascal Jourdain. Pour la plupart des fintech, il s’agit de tests internes. C’est aux établissements de fixer ces tests et de justifier qu’ils garantissent l’objectif de résilience prévu par DORA.”

Swan a en effet choisi des “exercices sur table”, détaille Sahra Toksöz : “nous avons mis en place un plan d’action, revu mensuellement, pour chaque vendeur critique. Nous réalisons une étude sur d’autres vendeurs chez lesquels nous pourrions migrer et chaque mois nous observons si les KPI et accords de niveau de service (SLA) sont respectés par nos vendeurs. S’ils ne le sont pas, nous sommes prêts à migrer et nous savons combien de temps cela nous prendrait. Mais ce n’est pas toujours facile, notamment pour les fournisseurs de cloud, puisque toute notre infrastructure repose sur eux”. Un sentiment partagé par les autres acteurs de la place. “La réversibilité de certaines solutions technologiques n’est pas évidente à mettre en œuvre et à tester”, renchérit ainsi Olivier Nautet, chez BNP Paribas. 

Reporting complexe

DORA impose de nombreuses exigences en termes de reporting, à la fois par exemple pour les prestataires critiques ou encore pour les remontées d’incidents. Pour faciliter la mise en place du reporting autour des prestataires de services TIC, les autorités de surveillance européennes (AES) ont lancé le 1er juillet 2024 un Dry Run DORA, exercice volontaire permettant d’aider les acteurs concernés. “Nous avons enregistré une bonne participation, se réjouit Pascal Jourdain, de l’ACPR. Entre la moitié et trois quarts des entités (banques et assurances) que nous avons contactées en passant par les associations professionnelles ont répondu.” Les participants ont reçu un retour automatique grâce à un logiciel vérifiant que les champs de données étaient correctement remplis. “Le taux de conformité technique n’était pas de 100 %, on voit qu’il reste du travail à faire”, conclut Pascal Jourdain.

Swan, qui a participé, a obtenu les fameux 100 %. “Le reporting est complexe, car il doit être fait sous le même format pour tous, afin d’uniformiser les données, constate Sahra Toksöz. Nous y avons travaillé pendant l’été et nous avons fini par mieux comprendre comment organiser le fichier et l’automatiser au maximum. Nous avons créé une structure pour déterminer le risque des fournisseurs critiques et nous avons partagé le fichier avec l’ACPR.” La société n’a pas encore reçu de retour plus détaillé et qualitatif de la part du régulateur.

Fintecture fait également partie des participants. “Après plusieurs itérations, nous sommes parvenus à envoyer un fichier sans erreur technique”, indique Philippe Heybarian. La société compte une quinzaine de prestataires critiques.

Augmenter la fréquence des tests

En formalisant davantage les exigences liées aux tests de résilience (pilier 3), DORA uniformise les pratiques. “Nous allons poursuivre et renforcer les tests de résilience et de continuité, ainsi que de TLPT [threat-led penetration testing, tests de pénétration fondés sur la menace qui seront désormais imposés tous les trois ans pour une liste limitée d’organisations, dont la défaillance aurait des effets systémiques, Ndlr], détaille Olivier Nautet, de BNP Paribas. Nous réalisions déjà des TLPT mais DORA impose de les poursuivre sur une durée de huit mois, ce qui transformera les pratiques et nous impactera, puisque des équipes y seront dédiées à plein temps sur cette période”. De même, la banque devra désormais analyser certains systèmes de manière hebdomadaire pour identifier des vulnérabilités et organisera une revue des firewalls séparant les flux sur les systèmes critiques tous les six mois. “Cela nous pousse à nous améliorer”, approuve le RSSI. 

Budget

Chez BNP Paribas, la mise en conformité avec DORA a impliqué une augmentation du budget cyber. “Nous étions à 5 % du ratio cyber/IT et cela monte à 8 à 12 %, ce qui nous permet d’assurer la mise en oeuvre des actions demandées par DORA”, révèle Olivier Nautet. Environ 3 600 personnes travaillent quotidiennement sur les sujets de cybersécurité et de sécurité opérationnelle dans la banque.

La mise en conformité prend en moyenne ”plusieurs mois”, selon Delya Douglas, du cabinet Lyncas, qui ajoute que “cela dépend du niveau de maturité du dispositif de sécurité. Si la société a déjà un bon système cyber en place, il s’agit surtout de formalisation et de mise en conformité des contrats des prestataires, notamment pour les plans de sortie documentés”. 

Chez iBanFirst, le projet de mise en conformité (outils et accompagnement par une société externe) coûtera un peu moins de 100 000 euros, sans compter les ressources internes mobilisées. 

Enjeu d’évangélisation

Tous les acteurs concernés s’accordent en tout cas sur un enjeu majeur de la mise en conformité : l’évangélisation au sein des organisations. “Il est primordial de sensibiliser le comité exécutif à ces sujets, car souvent les directeurs n’ont pas conscience de l’ampleur du sujet, avance Florent Gilan, d’iBanFirst. C’est une lourde régulation, la plus lourde que l’on ait jamais connue.”

Chez BNP Paribas, Olivier Nautet renchérit : “il y a un vrai enjeu de prise de conscience autour des problématiques de sécurité, jusqu’aux conseils d’administration. D’une manière générale, les établissements européens travaillent à se saisir de ce sujet à tous les niveaux de l’organisation. Les structures managériales doivent continuer à gagner en maturité”.

Contrôles et sanctions : la grande inconnue 

Alors que l’écosystème peine à se mettre en conformité, reste à savoir quelle sera la position du régulateur. “DORA a été publié il y a deux ans et entrera en application sans période transitoire, donc les entités concernées devront être conformes”, avance Pascal Jourdain, de l’ACPR. Pour autant, “le superviseur est conscient que la mise en conformité prend du temps et ne commencera pas ses contrôles dès le lendemain de l’entrée en application”. La fréquence des contrôles dépendra du plan défini par l’ACPR. 
Le spécialiste bancaire du régulateur conclut : “l’entrée en application de DORA n’est pas seulement une question de mise en conformité mais de résilience opérationnelle. C’est une opportunité à saisir pour se renforcer”.