Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Connect
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
Alliancy Les Cercles
Dans sa dernière chronique de l’année, Eric Barbry revient sur l’échéance du 17 janvier 2025, qui verra l’entrée en application de DORA. Il en tire six commandements qu’il adresse à tous ceux qui n’auraient pas encore fait le nécessaire.
La réglementation DORA sera applicable à compter du 17 janvier 2025. Au regard du grand nombre d’acteurs qui me consultent j’ai l’impression de revivre le scénario du RGPD.
Rappelez-vous … Le RGPD est entré en en vigueur en mai 2016 mais n’est entré en application que le 25 mai 2018. Les entreprises avaient donc deux ans pour se préparer. Or tout ou presque a été fait « à l’arrache », un peu avant et… beaucoup après.
Avec le réglement DORA c’est bis repetita non placent.
Le règlement est entré en vigueur en janvier 2023 et sera applicable à compter du 17 janvier 2025 et beaucoup sont, comme on dit, « à la bourre ». Car si les enjeux techniques ont été plus ou moins gérés, les enjeux juridiques et organisationnels ont été pour le moins minorés voir ignorés.
Qui est visé par DORA ?
Le règlement DORA vise un grand nombre de secteurs d’activités : banque, finance, assurance. Même en excluant les grandes banques et les grandes compagnies d’assurance et mutuelles, ce sont des centaines, voire des milliers d’entreprises de petites ou moyennes tailles qui sont touchées. D’autant plus que derrière chaque entreprise soumise à DORA, ce sont tous ses prestataires IT qui sont impactés.
Comment faire si on est en retard ?
DORA se découpe en deux grandes familles d’obligations : les obligations purement techniques (appelons les « cyber ») et les obligations juridiques et organisationnelles.
Je laisserai aux experts cyber le soin de traiter les obligations de nature technique et notamment toute la problématique de mise en œuvre et déploiement du cadre de gestion des risques liés à l’IT… Good luck !
Pour ce qui concerne les obligations juridiques et organisationnelles elles sont au nombre de six, pas une de plus, mais surtout pas une de moins :
Obligation 1 – Mettre à niveau tous les contrats avec des prestataires IT.
C’est sans doute l’obligation qui est la plus chronophage à gérer car 100% des contrats IT doivent être conformes à l’article 30 de DORA. Or cet article impose la rédaction de clauses particulières que les régulateurs auront à cœur de vérifier. Je ne vais pas rentrer dans le détail de la vingtaine de clauses imposées mais une chose est sure la liberté contractuelle n’est plus !
Cette première obligation se découpe en différentes étapes :
- Identification précise des prestataires IT tiers ;
- Qualification des prestataires IT tiers (entre les prestataires « normaux » et ceux qui sous-tendent une fonction critique ou importante) ;
- Audit des contrats même si d’expérience aucun n’est conforme à DORA ;
- Envoi et gestion avec les prestataires d’avenants DORA
C’est sur cette dernière étape que la situation peut vite dégénérer. Si vous prenez en compte chaque contrat, chaque prestataire et chaque service rendu vous en avez jusqu’en 2032… La seule solution efficace est d’adopter des conditions particulières DORA et de les imposer à l’ensemble des prestataires IT.
Avec DORA, tous tes contrats IT tu modifieras
Obligation 2 – Registre des prestataires IT tiers. A l’image du RGPD et son fameux registre des opérations de traitement, les entités soumises à DORA devront établir et tenir à jour un registre des prestataires IT tiers. Ce travail pourra être mené en même temps que l’audit des contrats des prestataires (étape précédente) mais devra s’accompagner d’une méthodologie interne pour sa mise à jour.
Avec DORA, la liste de tes prestataires tu tiendras
Obligation 3 – Qualification préalable des prestataires IT tiers. DORA prévoit une obligation de vérification préalable des prestataires IT tiers avant toute contractualisation. L’objectif est de s’assurer que le prestataire sera bien DORA compatible. Pour cela il n’existe qu’une seule solution : adopter un questionnaire de qualification DORA. Ce questionnaire comportera un grand nombre de questions de nature technique mais également des prérequis juridiques pour faciliter l’adoption des conditions particulières DORA.
Avec DORA, tes prestataires IT tu choisiras
Obligation 4 – Règles de gouvernance. L’une des avancées notables de DORA consiste à mettre en responsabilité les organes de direction.
L’article 5.2 aura de lourdes conséquences pour les dirigeants des entités soumises à DORA. Il prévoit que l’organe de direction définit, approuve, supervise et est responsable de la mise en œuvre de toutes les dispositions relatives au cadre de gestion du risque lié aux TIC mais surtout qu’il « assume la responsabilité ultime de la gestion du risque lié aux TIC »… Responsabilité ultime ! Tout un programme.
Les entités soumises à DORA, autres que les microentreprises, devront instituer un rôle de suivi des accords conclus avec des prestataires tiers de services TIC sur l’utilisation des services TIC, ou désigner un membre de la direction générale chargé de superviser l’exposition aux risques connexes et la documentation pertinente.
Avec DORA, responsable ultime tu seras…
Obligation 5 – Formation. DORA prévoit une obligation particulière de formation à l’attention de deux cibles distinctes : les personnels d’une part mais aussi et surtout les organes de direction d’autre part.
DORA précise que les membres de l’organe de direction maintiennent activement à jour des connaissances et des compétences suffisantes pour comprendre et évaluer le risque lié aux TIC et leur incidence sur les opérations de l’établissement, notamment en suivant régulièrement une formation spécifique proportionnée au risque lié aux TIC géré.
Avec DORA, te former tu devras…
Obligation 6 – Gestion des incidents. Là encore à l’instar du RGPD la notification des violations de sécurité devient la règle. Je ne vais pas entrer dans le détail des procédures prévues à cet effet mais il est clair qu’au regard des délais imposés (extrêmement courts) et des informations à fournir il faut prévoir une méthodologie précise et sans doute former les personnes lors de simulations.
Avec DORA, la gestion des incidents tu anticiperas
A partir de là, il ne me reste plus qu’à vous souhaiter un bon courage à tous, de bonnes fêtes de fin d’année et à vous donner rendez-vous en 2025 pour de nouvelles aventures numériques !
