DORA : le nouveau pont européen entre contrôle interne et DSI ?

La crise financière de 2008 avait déjà poussé l'Union européenne à imposer des règles strictes en matière de résilience financière. En novembre 2022, le Conseil a adopté la réglementation DORA pour répondre à trois enjeux : la disparité législative au sein de l'Union européenne, les interconnexions toujours plus nombreuses et la multiplication des incidents fragilisant la résilience opérationnelle numérique.

La prévention d'une vulnérabilité systémique des entités financières européennes

DORA doit permettre d'éviter une vulnérabilité systémique, en renforçant la sécurité informatique des vingt-deux mille entités financières de l'Union européenne : banques, compagnies d'assurance, entreprises d'investissement... L'UE a étendu ce spectre à leurs prestataires de fourniture, de saisie, de stockage, et de traitement de données. La réglementation instaure par ailleurs une gouvernance et des contrôles internes spécifiques.

Des déclinaisons localisées

DORA s'appliquera aux 27 pays membres de l'UE à partir du 17 janvier 2025. Chacun doit donc la transposer dans sa législation. Les Autorités européennes de surveillance concernées devront dresser les normes techniques applicables à tous les établissements de services financiers. De leur côté, les autorités nationales compétentes devront surveiller la conformité et faire appliquer le règlement. Enfin, les institutions financières et les prestataires de services Technologies de l'information et de la communication (TIC) doivent dès à présent se préparer, analyser ces nouvelles exigences et leurs impacts opérationnels et stratégiques.

Une réglementation pragmatique qui repose sur cinq piliers

A travers la mise en place d'un cadre de gouvernance et de contrôle interne spécifique, DORA incarne un pragmatisme des régulateurs européens. Elle induit la production de rapports, ainsi que des communications et évaluations plus fréquentes. Son articulation repose sur cinq piliers : la gestion des risques liés aux TIC, la production de rapports d'incidents TIC portant sur les incidents majeurs, la réalisation de tests de résilience opérationnelle numérique, la gestion des risques liés aux TIC par les tiers et le partage d'informations et de renseignements.

Un déploiement conjoint entre direction du contrôle interne et DSI

La dimension opérationnelle de DORA doit permettre aux directions du contrôle interne de comprendre et d'évaluer les risques informatiques et leurs impacts. Pour cela, elles devront travailler conjointement et régulièrement avec les DSI. Ensemble, elles devront d'abord renforcer la gouvernance et déterminer le niveau de tolérance aux risques liés aux technologies. Il leur faudra ensuite revoir les politiques liés aux technologies et redéfinir la périodicité des revues des plans d'audit ou de contrôle portant sur les risques informatiques. Les deux directions devront par ailleurs revoir et suivre les contrats d'externalisation de services TIC, former et sensibiliser les collaborateurs. Enfin, le suivi et la classification des incidents et de leurs impacts, la mise en oeuvre des mesures correctrices appropriées et la remontée des incidents majeurs au régulateur figureront également sur la liste des chantiers à mener ensemble.

Les exigences de la règlementation DORA vont dans le sens d'un changement complet d'organisation, de processus et de technologies. S'il y a fort à parier que les grandes banques et assurances pourront déployer les ressources nécessaires, reste à voir si les plus petites structures pourront suivre le rythme.