ISGroup Conseil en Cybersécurité

Régime simplifié DORA pour les entités financières mineures

Le Digital Operational Resilience Act (DORA) introduit un cadre simplifié pour la gestion des risques liés aux TIC, destiné aux entités financières de petite taille ou présentant une interconnexion limitée. Ce régime vise à garantir un niveau élevé de résilience opérationnelle numérique sans imposer de charges administratives excessives.

Qui peut relever de l’art. 16

L’applicabilité du régime simplifié est limitée à une liste exhaustive de catégories définies par l’art. 16 du DORA. Ces catégories comprennent :

  • Les entreprises d’investissement petites et non interconnectées
  • Les établissements de paiement exemptés conformément à la directive (UE) 2015/2366
  • Les établissements de monnaie électronique exemptés conformément à la directive 2009/110/CE
  • Les petites institutions de retraite professionnelle (IORP)

Les entités relevant de ces catégories se caractérisent généralement par une échelle d’activité réduite et, parfois, par un nombre limité d’employés.

Ce qui change réellement en termes de tests et de gouvernance

La proportionnalité DORA se traduit par un cadre moins granulaire que le cadre général, tel que défini dans le Titre III du Règlement délégué 2024/1774. Les principales différences incluent :

  • Gouvernance et organisation : Le mandat des AES pour le cadre simplifié est plus large, car il inclut la définition du cadre dans son ensemble et non seulement d’éléments supplémentaires. Les exigences sont toutefois adaptées à la complexité de l’entité. L’organe de direction conserve la responsabilité finale, mais les processus décisionnels sont plus agiles.
  • Continuité des activités : Les exigences en matière de continuité opérationnelle subsistent, mais avec un niveau de détail moindre. Il n’est pas requis de plans spécifiques de “réponse et de rétablissement” ou de scénarios de test extrêmement complexes prévus dans le régime ordinaire.
  • Tests de sécurité : Les entités doivent adopter un plan de test basé sur les risques, incluant des analyses de vulnérabilité (vulnerability scans) et des évaluations pour identifier les faiblesses. La fréquence et la profondeur des tests sont calibrées en fonction du profil de risque.

Contrôles minimaux à ne pas négliger

Bien que le cadre soit simplifié, il existe des obligations incontournables pour les petites entités financières soumises au DORA :

  • Identification et classification : Obligation d’identifier, de classer et de documenter toutes les fonctions critiques ou importantes, les actifs TIC associés et les interdépendances.
  • Sécurité des opérations TIC : Surveillance des actifs qui soutiennent les fonctions critiques, gestion des actifs obsolètes, journalisation des événements (logging) et mise en œuvre de mesures pour détecter les menaces et les vulnérabilités.
  • Contrôle des accès : Définition et mise en œuvre de procédures rigoureuses pour le contrôle des accès logiques et physiques.

Comment éviter une sous-conformité au nom de la proportionnalité

La proportionnalité doit être interprétée comme une application proportionnée des exigences, et non comme une renonciation. Les entités doivent être en mesure de démontrer aux autorités que le cadre adopté, bien que simplifié, est adéquat pour la gestion des risques TIC spécifiques. En cas de complexités particulières, il pourrait s’avérer nécessaire de renforcer les contrôles dans certains domaines.

Exemples de plan minimal efficace

  • Inventaire des actifs TIC mis à jour régulièrement, avec une cartographie claire des dépendances vis-à-vis des tiers
  • Procédure de gestion des vulnérabilités utilisant des analyses automatisées pour identifier les failles dans les systèmes critiques
  • Plan de test de continuité opérationnelle testé au moins annuellement pour vérifier la capacité de rétablissement des fonctions essentielles
  • Révision périodique du cadre de gestion des risques TIC, documentée dans un rapport à présenter à l’autorité sur demande

FAQ

  • “Simplifié” signifie-t-il moins de responsabilité ?
  • Non. L’organe de direction de l’entité financière conserve l’entière responsabilité de la gestion des risques TIC et de la conformité aux exigences légales.
  • Faut-il quand même effectuer des évaluations de vulnérabilité ?
  • Oui. Les entités doivent mener des évaluations et des analyses de vulnérabilité DORA (scans) pour identifier et traiter rapidement les risques, conformément à leur profil de risque.
  • Faut-il quand même classer les actifs et les fonctions critiques ?
  • Oui, c’est un prérequis fondamental. L’identification et la classification des fonctions critiques ou importantes et des actifs TIC qui les soutiennent sont obligatoires, même dans le régime simplifié.

Assurez votre résilience : demandez dès aujourd’hui une vérification d’éligibilité et un périmètre personnalisé de votre cadre simplifié pour être prêt d’ici le 17 janvier 2025.

In

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *