Introduction
En tant qu'entreprise fournissant des services aux institutions financières, la conformité avec le Règlement sur la résilience opérationnelle numérique de l'UE (DORA) est une priorité commerciale ainsi qu'une nécessité réglementaire pour Circit. Toutes les entités relevant du champ d'application de l'acte sont tenues de s'y conformer d'ici le 17 janvier 2025. Nos clients comprennent des auditeurs et des institutions financières de toutes tailles qui comptent sur nous pour leur fournir un accès sécurisé et ininterrompu aux transactions vérifiées et aux données d'audit associées. Par conséquent, le respect de la loi DORA avant la date limite est essentiel pour Circit, non seulement pour nous assurer que nous respectons les normes réglementaires, mais aussi pour renforcer la confiance que nous avons établie avec nos clients.
En tant que fournisseur de services d'information sur les comptes (AISP), nous avons constaté que le processus de mise en conformité avec DORA présentait quelques défis pour l'entreprise. Des directives comme cette loi sont souvent conçues et rédigées en pensant aux entités complexes et à haut risque. Bien que ces exigences robustes soient essentielles pour assurer la stabilité du système financier, elles peuvent poser des défis aux entités qui ne peuvent pas consacrer le même niveau de ressources que les entreprises les plus grandes et les plus complexes. En conséquence, Circit a eu besoin d'une approche stratégique qui tirait parti de notre gouvernance, de nos cadres et de nos certifications existants tout en répondant aux exigences uniques de la loi. Voici comment nous avons parcouru ce chemin, les défis auxquels nous avons été confrontés et comment nous avons veillé à ce que notre approche soit à la fois efficace et durable.
Contexte
DORA a été introduite par l'Union européenne pour faire face aux risques posés par la numérisation dans le secteur financier. Avec la multiplication des cyberattaques, la dépendance vis-à-vis des fournisseurs de technologies tiers et l'interconnexion des systèmes financiers, le potentiel de perturbations liées aux TIC ayant un impact sur la stabilité financière a considérablement augmenté. DORA exige donc que les entités financières mettent en œuvre des cadres complets pour protéger leurs opérations et l'écosystème financier au sens large, sous 5 piliers : la gestion des risques liés aux TIC, la déclaration des incidents, la surveillance des tiers, le partage d'informations et les tests de résilience. En créant une approche harmonisée de la résilience numérique, DORA vise à renforcer la confiance, à réduire les vulnérabilités et à garantir que les services financiers peuvent continuer à fonctionner sans heurts, même face à des conditions défavorables.
Les défis
DORA s'applique largement à toutes les entités financières, englobant tout, des processeurs de paiement mondiaux aux AISP comme Circit. Bien que la loi vise une résilience uniforme au sein de l'écosystème financier, elle présente des défis distincts pour les entités qui varient en complexité, en risque et en taille. Voici un aperçu de certains des défis majeurs que Circit a relevés pour se conformer à DORA :
Réglementation conçue pour les entités complexes et à haut risque: Une grande partie du langage de DORA, en particulier en ce qui concerne la gestion des risques liés aux TIC, la résilience opérationnelle et la gouvernance, suppose un niveau de complexité et de disponibilité des ressources plus applicable aux entités les plus grandes et à haut risque. À première vue, il pourrait sembler que les entreprises n'ayant pas cette envergure puissent manquer de l'infrastructure ou du personnel nécessaire pour mettre en œuvre certaines exigences dans les mêmes proportions.
Contraintes de coûts et de ressources : De nombreuses exigences — telles que les évaluations des risques liés aux tiers, les tests de résilience et la documentation — semblent exiger un investissement important en temps et en outils. Pour les organisations plus petites que Circit, satisfaire à ces exigences sans équipes de conformité dédiées pourrait entraîner des contraintes de ressources importantes.
Complexité des solutions : Les exigences de résilience, telles que les tests de résistance et les systèmes de sauvegarde, peuvent sembler disproportionnellement lourdes pour les entités à faible risque. La nature du travail d'un PSIC (par exemple, la fourniture d'agrégation de comptes) pourrait ne pas exiger le même niveau de planification de la résilience qu'un prestataire de services de paiement à haut risque.
Notre approche de DORA
Chez Circit, notre approche pour atteindre la conformité avec DORA repose sur nos solides fondations existantes, déjà établies grâce à l'obtention des certifications ISO2700:2022 et SOC2 Type 2. Il serait judicieux de mentionner qu'il existe certaines idées fausses concernant DORA ; il a été suggéré que les certifications ISO/SOC qualifient automatiquement une organisation pour l'adhésion à DORA – ce qui est cependant faux. Chez Circit, nous avons adopté une approche structurée, identifiant systématiquement les points où nos opérations n'étaient pas en conformité avec les exigences de DORA, puis comblant ces lacunes d'une manière qui s'intègre à nos cadres et processus existants, minimisant ainsi les perturbations des opérations.
Définition du périmètre des exigences :
La première étape a consisté à examiner attentivement le texte intégral de DORA afin d'en comprendre la portée et les implications. Grâce à ce processus, nous avons pu déterminer les exemptions spécifiques et les obligations applicables à Circit en tant que PSIC. C'est également en assimilant cet acte que nous avons acquis une solide compréhension de l'Article 4 : Le principe de proportionnalité (qui décrit comment les solutions développées pour répondre aux exigences de DORA doivent être appliquées en fonction de la taille, de la complexité et du risque de l'entité pour le système financier).
Cartographie des correspondances :
En utilisant une méthode de cartographie des correspondances, nous avons ensuite mis en correspondance les exigences de DORA avec les contrôles et processus déjà en place dans le cadre de nos certifications SOC2 et ISO 27001. Cette étape a mis en évidence les domaines dans lesquels nous étions déjà conformes et nous a permis de rationaliser nos efforts. De plus, elle a offert un aperçu pratique du niveau de proportionnalité que nous devrions appliquer aux domaines qui ne se recoupaient pas avec ces certifications.
Analyse exhaustive des écarts :
Suite à la cartographie des correspondances, nous avons effectué un nouvel examen approfondi des exigences de DORA et élaboré un rapport d'analyse des écarts qui évaluait les points où les pratiques actuelles de Circit divergeaient des mandats de DORA. Chaque écart s'est vu attribuer une note de complexité et d'impact afin de prioriser efficacement les efforts de remédiation, garantissant que les domaines à fort impact soient traités en premier.
Constatations et recommandations par pilier :
Les cinq piliers clés de DORA — gestion des risques liés aux TIC, déclaration des incidents, tests de résilience opérationnelle numérique, gestion des risques liés aux tiers et partage d'informations — ont servi de cadre pour la présentation des constatations. Pour chaque pilier, nous avons détaillé les lacunes identifiées et formulé des recommandations concrètes d'amélioration. Ces recommandations pouvaient aller d'une simple révision mineure de politique à des actions plus complexes comme le développement de procédures opérationnelles entièrement nouvelles ou des modifications basées sur les systèmes.
Mise en œuvre des changements :
Des mesures correctives ont été mises en œuvre conformément au cadre de priorités établi lors de l'analyse des écarts. Chaque modification a fait l'objet d'un développement, d'une mise en œuvre, d'un examen/révision et d'une approbation finale. L'expertise des principaux experts en la matière de toute notre organisation a permis de garantir que toutes les modifications continuaient de respecter les normes opérationnelles et de sécurité de Circit.
Intégration : Surveillance, Gouvernance et Audit
Circit intègre les exigences DORA dans nos méthodes de travail existantes chaque fois que possible, plutôt que d'avoir des processus parallèles spécifiques à DORA. Grâce à cette approche, nous assurons la conformité tout en favorisant l'efficacité opérationnelle. Cette méthode a également influencé la manière dont le cadre de surveillance continue de Circit s'adapte à DORA. Nous assimilons tout nouveau contrôle de sécurité, vérification et révision DORA dans notre structure de gouvernance existante afin de garantir que les exigences de DORA s'intègrent aux processus établis de Circit.
Pour garantir une transparence totale et une préparation à l'audit dans le cadre de DORA, Circit a choisi de compiler un dossier de conformité complet contenant toutes les preuves pertinentes et la documentation justificative. Ce dossier a été organisé de manière à faire correspondre chaque exigence réglementaire à des preuves spécifiques (politique, processus, cadres de reporting, etc.), démontrant notre conformité à travers chacun des cinq piliers clés de DORA. Il comprend un tableau de références croisées qui aligne les références des articles DORA avec les opérations internes de Circit, liées aux preuves justificatives. En soutenant ce dossier de conformité, Circit espère non seulement assurer sa préparation aux examens externes, mais aussi favoriser une culture au sein de notre organisation capable de répondre de manière proactive aux défis réglementaires à venir, quelle que soit leur taille ou leur complexité.
Point fort du projet : Trouver la solution, l'importance de la proportionnalité
Une pierre angulaire du succès de Circit dans la mise en conformité avec le règlement sur la résilience opérationnelle numérique (DORA) est notre application stratégique et notre compréhension du principe de proportionnalité. Cet aspect souvent négligé de la réglementation nous permet d'adapter nos efforts de conformité de manière appropriée sans compromettre la robustesse de notre résilience opérationnelle.
Ceci se trouve au chapitre 1, article 4 de l'acte qui stipule :
« Les entités financières mettent en œuvre… [Chapitres 2-4 et 5 section 1] de manière proportionnée à leur taille et à leur profil de risque global, ainsi qu'à la nature, à l'échelle et à la complexité de leurs services, activités et opérations, »
Règlement sur la résilience opérationnelle numérique, RÈGLEMENT (UE) 2022/2554, page 29
Le principe de proportionnalité dans l'acte DORA garantit que les exigences énoncées sont appliquées en fonction de la taille d'une entité et de son risque pour le système financier. Ce principe permet aux entités ayant des charges réglementaires moindres (y compris Circit) d'adopter des solutions simplifiées pour se conformer à l'acte. Inversement, les grandes institutions à haut risque, comme les grandes banques ou les processeurs de paiement, doivent mettre en œuvre des mesures plus complètes pour répondre aux exigences. Cette différenciation, bien que souvent survolée, est essentielle au développement de solutions pratiques aux exigences de DORA.
Veuillez noter: Le principe de proportionnalité ne s'applique pas à toutes les parties de chaque chapitre ; il est essentiel de lire l'acte et de déterminer où il s'applique et ne s'applique pas .
Cela présente immédiatement un autre défi ; DORA laisse cette proportionnalité d'approche à la discrétion de chaque entreprise (c'est-à-dire ouverte à l'interprétation). En tant qu'organisation, vous devez analyser ce que l'acte demande, puis décider vous-même ce que vous mettrez concrètement en œuvre pour être conforme à un niveau proportionnel.
Il n'existe pas de directives claires et nettes concernant la proportionnalité qui stipulent « si vous êtes l'entité X, alors appliquez le contrôle Y ». De plus, il appartiendra aux différentes Autorités Européennes de Surveillance (AES) d'interpréter cette proportionnalité (et nous pourrions donc constater des différences quant à ce qui est acceptable « proportionnellement » d'un État membre de l'UE à l'autre). Il est difficile de savoir exactement ce qui sera ou ne sera pas acceptable – c'est pourquoi il est essentiel que les organisations surveillent attentivement les audits et les constatations qui auront lieu dans le cadre de DORA au cours des prochaines années – au cas où des changements devraient être apportés en conséquence.
