Le cadre de gestion des risques liés aux TIC (ICT Risk Management Framework) est le pilier central du règlement DORA (EU) 2022/2554. Les articles 5 à 16 du règlement définissent en détail ce cadre, ses composantes, sa gouvernance et ses exigences minimales. Pour les entités financières, la mise en œuvre de ce cadre est à la fois le chantier le plus structurant et le plus exigeant de la conformité DORA.
Gouvernance de l'ICT Risk Management (Article 5)
L'article 5 du règlement DORA pose le principe fondamental : l'organe de direction est personnellement responsable de la gestion des risques TIC. Les membres du conseil d'administration ou du directoire doivent : définir et approuver la stratégie de résilience numérique, approuver le cadre de gestion des risques TIC et ses révisions annuelles, être régulièrement informés des incidents TIC significatifs et des résultats des tests, et s'assurer que des ressources adéquates sont allouées à la résilience numérique.
Responsabilité Personnelle et Formation
DORA innove en imposant que les membres de l'organe de direction suivent des formations régulières sur les risques TIC. Cette obligation vise à s'assurer que les décideurs non-techniciens comprennent suffisamment les enjeux pour exercer une supervision éclairée. La fréquence et le contenu des formations ne sont pas précisés mais doivent être adaptés au profil de risque de l'entité.
Fonction de Contrôle ICT Interne
L'article 6 du règlement DORA exige que le cadre de gestion des risques TIC soit intégré dans le système global de gestion des risques de l'entité. La fonction de gestion des risques TIC doit être indépendante des fonctions opérationnelles et avoir accès direct à l'organe de direction. Dans les grandes entités, cela se traduit par un RSSI (ou équivalent) avec un rattachement hiérarchique élevé.
Les Six Composantes du Cadre ICT Risk Management
Le cadre ICT Risk Management imposé par les articles 7-14 de DORA se structure autour de six composantes.
1. Identification et Classification des Actifs TIC (Article 8)
L'entité doit identifier tous les actifs TIC (hardware, software, données, infrastructures réseau) qui supportent des fonctions critiques ou importantes. Ces actifs doivent être classifiés selon leur criticité. La cartographie résultante est la fondation de tout le cadre ICT risk management.
2. Protection et Prévention (Articles 9-10)
Des mesures de protection proportionnées doivent être en place pour chaque catégorie d'actifs TIC. Cela inclut les contrôles d'accès, le chiffrement des données, la sécurité des réseaux, la gestion des vulnérabilités et les politiques de sécurité des endpoints. Des mécanismes de surveillance continue (monitoring) doivent permettre la détection précoce des anomalies.
3. Détection (Article 10)
L'entité doit disposer de mécanismes permettant une détection rapide des activités anormales, des incidents potentiels et des violations. Des SOC (Security Operations Centers) internes ou externalisés, des SIEM (Security Information and Event Management), et des processus d'analyse des journaux d'événements répondent à cette exigence.
4. Réponse et Rétablissement (Articles 11-12)
Des plans de réponse aux incidents et de rétablissement doivent être documentés, testés et tenu à jour. Les objectifs de rétablissement (RTO, RPO) doivent être définis pour chaque fonction critique. Les sauvegardes doivent être régulières, sécurisées et leur restauration testée.
5. Apprentissage et Évolution (Article 13)
Après chaque incident significatif et après chaque cycle de tests, l'entité doit analyser les enseignements et améliorer son cadre. Cette obligation d'amélioration continue est au cœur de la philosophie DORA.
6. Communication (Article 14)
L'entité doit disposer de plans de communication de crise TIC, couvrant la communication interne, la communication aux clients, et la communication aux parties prenantes externes. La transparence et la rapidité de communication lors d'un incident majeur sont des critères d'évaluation superviseur.
Conclusion
Le cadre ICT Risk Management de DORA est ambitieux mais cohérent. Il s'inspire des meilleures pratiques internationales (ISO 27001, NIST Cybersecurity Framework, COBIT) en les rendant obligatoires et supervisées dans le secteur financier européen. Les entités qui disposent déjà d'un cadre basé sur ces standards ont une longueur d'avance significative sur la conformité DORA.
Questions fréquentes
ISO 27001 est-il suffisant pour la conformité DORA ?
Non. ISO 27001 est un standard de sécurité de l'information généraliste. DORA va plus loin sur plusieurs points spécifiques au secteur financier : responsabilité personnelle de l'organe de direction, obligations de notification des incidents, tests TLPT, gestion des tiers prestataires TIC. La certification ISO 27001 est une base utile mais ne couvre pas toutes les exigences DORA.
Faut-il un RSSI dédié pour satisfaire à DORA ?
DORA n'impose pas explicitement de créer un poste de RSSI. Cependant, l'exigence d'une fonction de contrôle ICT indépendante, avec accès direct à l'organe de direction, est très proche du rôle d'un RSSI. Pour les entités de taille significative, l'absence d'un RSSI (ou équivalent) sera probablement considérée comme une lacune de gouvernance par les superviseurs.