Introduction
En tant qu'entreprise fournissant des services aux institutions financières, la conformité avec la loi de l'UE sur la résilience opérationnelle numérique (DORA) est essentielle. loi européenne sur la résilience opérationnelle numérique (DORA) est une priorité commerciale ainsi qu'une nécessité réglementaire pour Circit. Toutes les entités qui entrent dans le champ d'application de la loi sont tenues de s'y conformer d'ici le17 janvier 2025. Nos clients comprennent des auditeurs et des institutions financières de toutes formes et tailles qui comptent sur nous pour fournir un accès sécurisé et ininterrompu aux transactions vérifiées et aux données d'audit correspondantes. Par conséquent, l'adhésion à la loi DORA avant la date limite est essentielle pour Circit, non seulement pour s'assurer que nous répondons aux normes réglementaires, mais aussi pour renforcer la confiance que nous avons construite avec nos clients.
En tant que fournisseur de services d'information sur les comptes (AISP), nous avons constaté que le processus d'adhésion à la loi DORA présentait quelques difficultés pour l'entreprise. Les directives telles que cette loi sont souvent conçues et rédigées en pensant à des entités complexes et à haut risque. Bien que ces exigences strictes soient essentielles pour assurer la stabilité du système financier, elles peuvent poser des défis aux entités qui ne sont pas en mesure de consacrer le même niveau de ressources que les entreprises les plus grandes et les plus complexes. Circit avait donc besoin d'une approche stratégique qui tire parti de sa gouvernance, de ses cadres et de ses certifications existants, tout en répondant aux exigences uniques de la loi. Voici comment nous avons navigué dans cette voie, les défis auxquels nous avons été confrontés et comment nous nous sommes assurés que notre approche était à la fois efficace et durable.
Contexte
La loi DORA a été introduite par l'Union européenne pour faire face aux risques posés par la numérisation du secteur financier. Avec l'augmentation des cyberattaques, la dépendance à l'égard de fournisseurs de technologie tiers et l'interconnexion des systèmes financiers, le risque que des perturbations liées aux TIC aient un impact sur la stabilité financière s'est considérablement accru. La loi DORA impose donc aux entités financières de mettre en œuvre des cadres complets pour protéger leurs opérations et l'écosystème financier au sens large, en s'appuyant sur cinq piliers : la gestion des risques liés aux TIC, la notification des incidents, la surveillance par des tiers, le partage d'informations et les tests de résilience. En créant une approche harmonisée de la résilience numérique, le DORA vise à renforcer la confiance, à réduire les vulnérabilités et à garantir que les services financiers puissent continuer à fonctionner sans heurts, même en cas de conditions défavorables.
Les défis
La loi DORA s'applique largement aux entités financières, qu'il s'agisse d'entreprises de traitement des paiements ou d'AISP comme Circit. Bien que la loi vise à assurer une résilience uniforme dans l'ensemble de l'écosystème financier, elle présente des défis distincts pour les entités qui varient en termes de complexité, de risque et de taille. Voici un aperçu des principaux défis que Circit a relevés dans le cadre de sa mise en conformité avec la loi DORA :
Une réglementation rédigée pour des entités complexes et à haut risque: Une grande partie de la formulation du DORA, en particulier en ce qui concerne la gestion des risques liés aux TIC, la résilience opérationnelle et la gouvernance, suppose un niveau de complexité et de disponibilité des ressources qui s'applique davantage aux entités les plus importantes et à haut risque. À première vue, il pourrait sembler que les entreprises ne se situant pas à cette échelle ne disposent pas de l'infrastructure ou du personnel nécessaire pour mettre en œuvre certaines exigences dans les mêmes proportions.
Contraintes de coûts et de ressources : De nombreuses exigences - telles que l'évaluation des risques par des tiers, les tests de résilience et la documentation - semblent exiger un investissement important en temps et en outils. Pour les organisations de taille inférieure à Circit, satisfaire à ces exigences sans disposer d'équipes dédiées à la conformité pourrait entraîner des contraintes importantes en termes de ressources.
Complexité des solutions : Les exigences en matière de résilience, telles que les tests de résistance et les systèmes de sauvegarde, peuvent sembler disproportionnées pour les entités à faible risque. La nature du travail d'un AISP (par exemple, l'agrégation de comptes) peut ne pas nécessiter le même niveau de planification de la résilience qu'un processeur de paiement à haut risque.
Notre approche de DORA
Chez Circit, notre approche pour atteindre la conformité avec DORA est basée sur l'utilisation de nos solides fondations déjà en place grâce à la certification ISO2700:2022 et SOC2 Type 2. Il serait prudent de mentionner qu'il y a quelques idées fausses autour de DORA, il a été suggéré que les certifications ISO/SOC qualifient automatiquement une organisation pour l'adhésion à DORA - ce qui est cependant faux. Chez Circit, nous avons adopté une approche structurée, en trouvant systématiquement où nos opérations n'étaient pas alignées sur les exigences DORA, puis en comblant ces lacunes d'une manière qui s'intègre dans nos cadres et processus existants, en minimisant la perturbation des opérations.
Déterminer les besoins :
La première étape a consisté à examiner en détail le texte intégral de la loi DORA afin d'en comprendre la portée et les implications. Grâce à ce processus, nous avons pu déterminer les exemptions et les obligations spécifiques applicables à Circit en tant qu'AISP. C'est également en digérant la loi que nous avons acquis une solide compréhension de l'article 4 : le principe de proportionnalité (qui décrit comment les solutions développées pour répondre aux exigences du DORA doivent être appliquées en fonction de la taille de l'entité, de sa complexité et du risque qu'elle représente pour le système financier).
Cartographie de concordance :
En utilisant une méthode de concordance, nous avons ensuite mis en correspondance les exigences de DORA avec les contrôles et les processus déjà en place dans le cadre de nos certifications SOC2 et ISO 27001. Cette étape a mis en évidence les domaines dans lesquels nous étions déjà conformes et nous a permis de rationaliser nos efforts. En outre, elle nous a donné un aperçu pratique du niveau de proportionnalité que nous devrions appliquer aux domaines dans lesquels nous n'avons pas de recoupement avec ces certifications.
Analyse complète des écarts :
Suite au tableau de concordance, nous avons procédé à un nouveau balayage des exigences du DORA et développé un rapport d'analyse des écarts qui a évalué les divergences entre les pratiques actuelles de Circit et les mandats du DORA. Chaque écart s'est vu attribuer une note de complexité et d'impact afin de prioriser les efforts de remédiation de manière efficace, en veillant à ce que les domaines à fort impact soient traités en premier.
Constatations et recommandations fondées sur les piliers :
Les cinq piliers clés du DORA - gestion des risques informatiques, rapports d'incidents, tests de résilience opérationnelle numérique, gestion des risques pour les tiers et partage d'informations - ont servi de cadre à la présentation des conclusions. Pour chaque pilier, nous avons détaillé les lacunes identifiées et formulé des recommandations d'amélioration réalisables. Ces recommandations peuvent être aussi simples qu'une révision mineure de la politique ou aussi complexes que l'élaboration de procédures opérationnelles entièrement nouvelles ou de changements au niveau des systèmes.
Mise en œuvre des changements :
Les mesures correctives ont été mises en œuvre conformément au cadre de priorités établi dans l'analyse des lacunes. Chaque changement a fait l'objet d'un développement, d'une mise en œuvre, d'un examen/révision et d'une approbation finale. L'avis d'experts en la matière issus de l'ensemble de notre organisation a permis de s'assurer que tous les changements continuaient à répondre aux normes opérationnelles et de sécurité de Circit.
Intégration : Suivi, gouvernance et audit
Circit intègre autant que possible les exigences de la DORA dans ses méthodes de travail existantes, plutôt que d'avoir des processus parallèles spécifiques à la DORA. Grâce à cette approche, nous assurons la conformité tout en soutenant l'efficacité opérationnelle. Cette méthode a également permis à Circit d'adapter son cadre de contrôle continu à DORA. Nous assimilons tous les nouveaux contrôles de sécurité, vérifications et révisions de DORA dans notre structure de gouvernance existante afin de garantir que les exigences de DORA s'intègrent dans les processus établis de Circit.
Afin d'assurer une transparence totale et une préparation à l'audit dans le cadre du DORA, Circit a choisi de compiler un dossier d'adhésion complet contenant toutes les preuves et tous les documents justificatifs pertinents. Ce dossier a été organisé de manière à faire correspondre chaque exigence réglementaire à une preuve spécifique (politique, processus, cadres de rapport, etc.), démontrant ainsi notre conformité à chacun des cinq piliers clés de la DORA. Il comprend un tableau de références croisées qui aligne les références des articles du DORA avec les opérations internes de Circit liées aux preuves à l'appui. En soutenant ce dossier d'adhésion, Circit espère non seulement s'assurer d'être prête pour les examens externes, mais aussi encourager une culture au sein de notre organisation qui soit capable de répondre de manière proactive aux défis réglementaires à venir, quelle qu'en soit la taille ou la complexité.
Projet en vedette : Trouver la solution, l'importance de la proportionnalité
La pierre angulaire du succès de Circit dans la mise en conformité avec la loi sur la résilience opérationnelle numérique (DORA) est notre application stratégique et notre compréhension du principe de proportionnalité. Cet aspect souvent négligé de la réglementation nous permet d'adapter nos efforts de conformité de manière appropriée sans compromettre la robustesse de notre résilience opérationnelle.
Cette disposition figure au chapitre 1, article 4, de l'acte, qui stipule que
"Les entités financières mettent en œuvre... [les chapitres 2-4 & 5 section 1] proportionnellement à leur taille et à leur profil de risque global, ainsi qu'à la nature, à l'échelle et à la complexité de leurs services, de leurs activités et de leurs opérations,"
Loi sur la résilience opérationnelle numérique, RÈGLEMENT (UE) 2022/2554, page 29
Le principe de proportionnalité de la loi DORA garantit que les exigences fixées sont appliquées en fonction de la taille de l'entité et du risque pour le système financier. Ce principe permet aux entités dont les frais généraux liés à la réglementation sont moindres (y compris Circit) d'adopter des solutions à échelle réduite pour se conformer à la loi. À l'inverse, les institutions plus importantes et à haut risque, comme les grandes banques ou les sociétés de traitement des paiements, doivent mettre en œuvre des mesures plus complètes pour répondre aux exigences. Cette différenciation, bien qu'elle passe facilement inaperçue, est essentielle au développement de solutions pratiques pour répondre aux exigences de la loi DORA.
À noter: Le principe de proportionnalité ne s'applique pas à toutes les parties de chaque chapitre ; il est donc essentiel de lire l'acte et de déterminer où ce principe s'applique. s'applique et ne s'applique ou non.
Cela pose immédiatement un autre problème : le DORA laisse cette proportionnalité de l'approche à la discrétion de chaque entreprise (c'est-à-dire qu'elle est ouverte à l'interprétation). En tant qu'organisation, vous devez analyser les exigences de la loi, puis décider vous-même de ce que vous mettrez en œuvre dans la pratique pour vous plaindre à un niveau proportionnel.
Il n'existe pas d'orientation noire et blanche en matière de proportionnalité qui stipule que "si vous êtes l'entité X, appliquez le contrôle Y". En outre, il appartiendra aux différentes autorités européennes de surveillance (AES) d'interpréter cette proportionnalité (et nous pourrions donc constater des différences sur ce qui est acceptable "proportionnellement" dans les différents États membres de l'UE). Il est difficile de savoir exactement ce qui sera ou ne sera pas acceptable. C'est pourquoi il est essentiel que les organisations surveillent de près les audits et les résultats obtenus dans le cadre de la directive DORA dans les années à venir, au cas où des changements devraient être apportés en conséquence.
