Le 11 mai 2022, un accord provisoire du trilogue européen est intervenu sur la proposition de nouveau règlement européen sur la résilience opérationnelle numérique du secteur financier, dont le sympathique sobriquet en anglais est Dora[i]. Face à l’accroissement des menaces informatiques, l’Europe entend devenir la place la plus sûre du monde.

Le secteur des banques et de l’assurance doit faire face à de nombreux dangers. Les vulnérabilités sont à plusieurs niveaux et les règles prudentielles ne font que se renforcer d’année en année. Les turbulences économiques successives ont conduit à l’adoption d’un paquet bancaire 2021[ii], la Commission européenne souhaitant renforcer la résilience aux chocs économiques suite aux accords internationaux de Bâle III intervenus deux ans après la crise de 2008.

La notion de résilience informatique est née en 2005 avec les accords Bâle II. Aux côtés des risques bancaires, le risque opérationnel consiste en des « pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d’événements externes ».

La défaillance des systèmes conduit à devoir identifier ceux devant être qualifiés de critiques. Une directive européenne a été adoptée en ce sens dès décembre 2008[iii], mais elle vise dans un premier temps que le secteur des transports et de l’énergie[iv].

Il a finalement fallu attendre un arrêté du 3 novembre 2014[v] pour que ces exigences soient compilées et directement opposables aux banques et assurances en France. Cet arrêté a le mérite de responsabiliser les entreprises soumises à agrément à assurer la continuité de ses services et activités, en impliquant à ce titre les prestataires extérieurs, sans pour autant conférer à l’ACPR un pouvoir de sanction vis-à-vis d’eux.

Avec la transformation numérique de plus en plus poussée dans le secteur financier, cet arrêté a été révisé en janvier et février 2021 pour mieux préciser les exigences attendues des prestataires de services essentiels externalisés (« PSEE »), faisant suite aux lignes directrices de l’Agence bancaire européenne[vi].

Le 22 juillet 2021, l’ACPR a constaté, suite à ses contrôles, que si le recours à des prestataires dans le cloud ou d’outsourcing se banalise, les attendus en termes d’analyse des risques et garanties pour la reprise et la continuité d’activité n’étaient pas observés, se vérifiant tant au niveau des clauses des contrats concernés que dans les obstructions que les prestataires peuvent opposer à la conduite d’audit.

La Commission européenne fait elle le bilan, dans l’exposé des motifs pour Dora, que la multiplication des initiatives nationales hétérogènes conduit à une fragmentation du marché unique, compromettant « la stabilité et l’intégrité du secteur financier de l’UE et port[ant] atteinte à la protection des consommateurs et des investisseurs ».

Cela est d’autant plus vrai que bien souvent, les attaques informatiques interviennent par rebond. Le hacker s’attaque au maillon de la chaîne le plus faible, lequel est souvent le prestataire extérieur…

Après le pic des cyberattaques pendant les confinements successifs, le sujet revêt une acuité toute particulière avec l’intensification des menaces observée depuis le début du conflit russo-ukrainien.

Cependant, pour ne pas entraver l’apparition de nouveaux services avec de nouveaux acteurs entrants sur le marché, comme pour de nombreux textes européens, les petites et moyennes entreprises bénéficieront d’un allègement de certaines obligations.

Une question qui n’est pas à ce jour totalement traitée est le recouvrement entre les obligations fortes fixées par Dora et les autres textes européens (la directive NIS[vii] et sa nouvelle version en discussion) mais aussi nationaux sur la cybersécurité[viii]. En France, les grandes banques sont déjà des organismes d’importance vitale et à ce titre, il ne faudrait pas multiplier les obligations qui vont dans le même sens au risque d’être contreproductif.

Un règlement pour imposer l’approche par les risques

Très attendue des banques, assurance et de la plupart des acteurs financiers, la proposition de règlement fixe une définition de la résilience opérationnelle numérique consistant en « la capacité d’une entité financière à développer, garantir et réévaluer son intégrité opérationnelle d’un point de vue technologique en assurant directement, ou indirectement par le recours aux services de tiers prestataires de services informatiques, l’intégralité des capacités liées à l’informatique nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité ».

Cette finalité doit être poursuivie par tout acteur concerné par le règlement selon un standard élevé et uniforme sur le territoire de l’Espace économique européen.

C’est ainsi avec Dora un règlement d’application directe qui va s’appliquer pour favoriser la mise en place, au niveau de l’Union, d’un cadre global avec des règles cohérentes qui répondent aux besoins de résilience opérationnelle numérique de toutes les entités financières réglementées et à établir un cadre de supervision pour les tiers prestataires critiques de services informatiques. La Commission, comme elle l’avait fait pour le RGPD, n’a cependant pas retenu la création d’une nouvelle autorité transnationale qui aurait eu pour objet notamment de surveiller les prestataires de services informatiques. Le nouveau texte s’appuiera sur les autorités européennes de surveillance déjà existantes.

L’objectif de résilience passe par une évaluation des risques dont les entités financières doivent prendre la responsabilité dans une logique « d’accountability[ix] », concept de common law intraduisible mais bien connu en matière fiscale et en protection des données personnelles, au titre de laquelle l’obligation doit être observée et documentée. La charge de la preuve en cas de contrôle ou de mise en cause de la responsabilité repose sur le débiteur de l’obligation. En d’autres termes, l’établissement financier doit avoir mis en place toutes les mesures techniques, juridiques et organisationnelles, pour prouver qu’il a tout fait pour identifier le risque et pris toutes les mesures pour le mitiger.

Concrètement cela passe d’abord par l’adoption de « stratégies, politiques, procédures, protocoles et outils informatiques qui sont nécessaires pour protéger dûment et efficacement toutes les composantes et infrastructures physiques pertinentes, y compris le matériel informatique (…)[x] ».

Tout doit être mis en œuvre pour identifier les risques informatiques, se protéger et les prévenir, détecter les menaces, y répondre le cas échéant avec rétablissement des systèmes et mobilisation des sauvegardes au besoin.

Les fameux tests d’intrusion (« penetration tests ») doivent voir leur périmètre étendu de sorte à intégrer l’ensemble des composantes de la résilience. Les organismes de test indépendants devront eux-mêmes être qualifiés avec reconnaissance mutuelle européenne, ce qui est loin d’être le cas actuellement.

La qualité des tests sera assurée par l’approbation préalable par l’autorité de régulation et les entreprises disposeront d’un certificat de conformité à l’issue des tests.

Ces tests seront effectués minimum tous les trois ans, l’établissement financier effectuant lui-même des auto-tests (audits internes) sur périmètre ciblé, dans l’intervalle.

Les incidents liés à l’informatique sont enregistrés dans un registre standardisé. Les incidents majeurs sont notifiés à l’autorité nationale de régulation sans délai[xi] dans un cadre normalisé. Le dispositif est plus exigeant que celui prévu pour la gestion des failles de données visées par l’article 33 du RGPD.

Les autorités entre elles, avec l’appui de l’organisme européen habilité, centraliseront les notifications pour un meilleur partage de l’information et une meilleure coordination des actions au niveau européen.

Précisément parce que la force d’un système de sécurité s’apprécie à l’aune du maillon le plus faible, lequel peut être parfois l’utilisateur, Dora prévoit que des programmes de sensibilisation à la sécurité informatique et des formations à la résilience opérationnelle numérique doivent être obligatoirement intégrés au plan de formation du personnel, mais aussi, et c’est très exigeant, aux membres de la direction.

Le pouvoir de sanction reste à l’initiative des États membres, ce qui, en soit, présente le risque de disparités dans le montant et la fréquence des sanctions encourues.

Un règlement pour mieux responsabiliser les prestataires extérieurs

Avant même de conclure un contrat avec un fournisseur, une évaluation doit être faite par l’organisme financier sur son besoin pour une fonction critique ou non, l’évaluation du fournisseur devant reposer sur plusieurs critères (le niveau de sécurité, le risque de concentration, la gestion des sous-traitants extérieurs)[xii].

Une distinction doit être opérée entre les prestataires de services informatiques au profit d’un établissement financier et ceux pouvant être qualifiés de critiques.

Les tiers prestataires critiques sont ceux auprès desquels des services critiques sont externalisés. Lorsqu’un incident de toute nature frappe un tel service, alors l’organisme financier risque de ne pas être en mesure d’assurer sérieusement en permanence les conditions et obligations de son agrément. Ces prestataires critiques doivent mettre en place des « règles, des procédures, des mécanismes et des dispositifs complets, solides et efficaces pour gérer les risques informatiques qu’il est susceptible de faire peser sur les entités financières ». Ces prestataires critiques sont désignés comme tels par l’autorité compétente et figurent dans une liste publique. Les prestataires critiques sont directement soumis à la supervision de ces autorités.

À l’instar de l’article 28 du RPGD qui encadre le contrat de sous-traitance portant sur des données personnelles, le règlement Dora comprend un certain nombre d’exigences de forme et de fond. Tout contrat sur des services informatiques dans le périmètre de Dora doit être conclu par écrit et répondre aux exigences de fond suivantes :

- une description claire et exhaustive du périmètre confié au tiers prestataire de services, précisant son intervention sur une fonction critique, ou de parties significatives de celle-ci, les conditions applicables à cette sous-traitance (au sens du terme anglais « outsourcing ») doivent être précisément stipulées ;

- les lieux où les services et fonctions visés par le contrat ou la sous-traitance seront fournis, et là où les données seront traitées, y compris le lieu de stockage, devront y figurer. De même, le prestataire de services informatiques devra informer l’entité financière s’il envisage de déplacer ces lieux : on mesure l’impact de cette exigence pour les services de type cloud public, le RGPD n’avait pas cette exigence ;

- des dispositions sur l’accessibilité, la disponibilité, l’intégrité, la sécurité et la protection des données à caractère personnel et sur la garantie de l’accès, de la récupération et de la restitution, dans un format facilement accessible, des données à caractère personnel et autres traitées par l’entité financière en cas d’insolvabilité, de résolution ou de cessation des activités commerciales du tiers prestataire de services informatiques avec des engagements de continuité de service pendant cette période. On est clairement dans une prolongation des exigences du RGPD dans une logique de réversibilité au sens de l’état de l’art technique ;

- des descriptions complètes des niveaux de service devront figurer au contrat, y compris leurs mises à jour et révisions, et des objectifs de performance quantitatifs et qualitatifs précis dans le cadre des niveaux de service convenus, afin de permettre un suivi efficace par l’entité financière et de prendre dans les meilleurs délais des mesures correctives appropriées lorsque les niveaux de service convenus ne sont pas atteints ;

- devront être aussi stipulés les délais de préavis et les obligations de notification du prestataire à l’entité financière, y compris la notification de tout développement susceptible d’avoir une incidence significative sur la capacité du prestataire à remplir efficacement des fonctions critiques conformément aux niveaux de service convenus ;

- l’obligation pour le prestataire de fournir, sans frais supplémentaires ou à un coût déterminé à l’avance, une assistance en cas d’incident lié à l'informatique ;

- l’obligation pour le tiers prestataire de services informatiques de mettre en œuvre et de tester des plans d’urgence et de mettre en place des mesures, des outils et des politiques de sécurité numérique qui garantissent de manière adéquate une prestation de services sûre par l’entité financière, conformément à son cadre réglementaire ;

- le droit d’assurer un suivi permanent des performances du tiers prestataire de services informatiques, qui comprend un droit d’audit garanti par la loi notamment et une collaboration du prestataire ;

- des droits de résiliation et un délai de préavis minimal correspondant pour la résiliation du contrat.

Il est possible de conclure que ce contrat de service numérique dans le doma