La continuité d'activité bancaire existait bien avant DORA. Les banques françaises sont soumises depuis longtemps aux exigences de l'ACPR en matière de PCA (Plan de Continuité d'Activité). Le règlement (EU) 2022/2554 vient renforcer et préciser ces exigences, en les focalisant sur la composante numérique et en imposant un niveau de formalisation, de test et de gouvernance inédit.
Les Exigences de Continuité selon DORA
L'article 11 du règlement DORA impose aux entités financières de disposer de politiques et plans dédiés à la continuité des activités TIC. Ces plans doivent être cohérents avec le cadre global de continuité d'activité mais centrés sur les scénarios de perturbation TIC. Ils doivent prévoir des procédures de basculement, des sites de repli, des objectifs de temps et de point de rétablissement définis et testés.
Identification des Fonctions Critiques
La base de tout plan de continuité TIC est l'identification des fonctions critiques ou importantes selon la terminologie DORA. Pour une banque de détail, les fonctions critiques incluent généralement : la gestion des comptes et virements, l'accès aux espaces en ligne et mobile, le traitement des paiements par carte, les systèmes comptables core, et les accès aux marchés financiers. Chaque fonction critique doit avoir un objectif de rétablissement défini.
RTO et RPO : Définir les Objectifs
Le RTO (Recovery Time Objective) est le délai maximal acceptable pour rétablir un service après incident. Le RPO (Recovery Point Objective) est la quantité maximale de données pouvant être perdues. DORA n'impose pas de valeurs numériques spécifiques pour le RTO et le RPO, laissant aux entités la définition selon leur profil de risque. Cependant, les valeurs définies doivent être cohérentes avec les engagements contractuels envers les clients et les exigences superviseurs.
Tests Obligatoires du PCA Numérique
DORA impose que les plans de continuité TIC soient régulièrement testés. Les exercices sur table (tabletop exercises), les tests de basculement effectifs sur les systèmes critiques, et les simulations de crise complètes doivent être planifiés et tracés. Les résultats des tests, les lacunes identifiées et les plans de remédiation doivent être documentés et présentés à l'organe de direction.
Scénarios de Crise à Couvrir
Le règlement DORA recommande d'exercer les plans de continuité sur des scénarios représentatifs des menaces réelles. Pour les banques, les scénarios prioritaires incluent : cyberattaque par ransomware sur les systèmes centraux, défaillance prolongée d'un prestataire cloud critique, incident affectant simultanément les centres de données principaux et de secours, et crise de gouvernance impactant la direction informatique.
Conclusion
La continuité d'activité numérique sous DORA n'est plus une option ou une bonne pratique : c'est une obligation légale formalisée, testée et documentée. Pour les banques françaises, l'enjeu est d'élever leur PCA existant au niveau exigé par DORA en termes de couverture des scénarios, de fréquence des tests et de gouvernance par l'organe de direction.
Questions fréquentes
Le PCA bancaire existant est-il suffisant pour DORA ?
Pas nécessairement. DORA impose des exigences spécifiques sur la composante TIC du PCA qui peuvent dépasser le PCA existant : objectifs de rétablissement documentés par fonction critique, tests réguliers formalisés, approbation par l'organe de direction, et couverture explicite des scénarios de défaillance de prestataires TIC.
Quelle est la fréquence minimale des tests de continuité selon DORA ?
Le règlement DORA n'impose pas de fréquence minimale unique pour tous les tests. Il exige que les plans soient 'régulièrement' testés et mis à jour. Les normes techniques de l'EBA précisent que les exercices sur table doivent être réalisés au moins annuellement pour les fonctions critiques.