Applicable depuis le 17 janvier 2025, le Règlement DORA (Digital Operational Resilience Act) vise à renforcer la résilience numérique des acteurs financiers face aux menaces croissantes pesant sur leurs infrastructures informatiques. Il impose ainsi de nombreuses obligations notamment en matière de gestion et de notification des incidents informatiques. Complété par un Règlement délégué , qui affine les critères de qualification des incidents majeurs, DORA soulève néanmoins des interrogations. On peut en effet hésiter sur la définition exacte de ce qu’est un service critique.
- Rappel sur l'obligation de notification des incidents majeurs
L’article 19 du règlement DORA impose aux entités financières une obligation de notification auprès des autorités de surveillance lorsqu’un incident majeur survient. En France, c’est l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) qui a été désignée comme autorité de surveillance.
Cette notification s’articule en plusieurs étapes. Tout d’abord, l’entité financière doit notifier l’incident majeur à l’ACPR dans un délai de 4 heures après l’avoir classé comme un incident majeur et dans tous les cas au plus tard dans les 24 heures suivants la découverte de l’incident. À mesure que la situation évolue, un rapport intermédiaire doit être communiqué afin d’intégrer les éléments nouveaux relatifs à l’incident et à sa gestion. Enfin, un rapport final est exigé une fois l’analyse des causes terminée et les mesures de remédiation mises en œuvre.
Un incident majeur est défini dans le Règlement DORA comme :
« Un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière ».
Jusqu’ici, la définition semble claire et les critères de qualification devraient apporter des précisions sur les notions « d’incidence négative élevée » et de « fonctions critiques ou importantes de l’entité financière ».
Toutefois, le Règlement délégué apporte de nouvelles définitions qui peuvent donner lieu à interprétation.
2. La notion extensive d’incident majeur de l’ACPR
Le Règlement délégué établit une double condition pour qualifier un incident de majeur. D’une part, l’événement doit affecter des services critiques, tels que définis à l’article 6 du texte, critère dit qualitatif. D’autre part, il doit répondre à un ou plusieurs critères dits quantitatifs, parmi lesquels figurent l’atteinte d’un seuil d’importance significative en matière de pertes de données ou l’atteinte de plusieurs seuils relatifs aux impacts sur la clientèle, la réputation, la durée d’interruption du service, la répartition géographique, les conséquences économiques, ainsi que la compromission des données.
La dimension quantitative est donc relativement précise. A titre d’exemple, une faille de sécurité ayant impacté plus de 100 000 clients et ayant été relayée dans les médias remplit les critères quantitatifs.
En revanche, la définition des services critiques suscite davantage d’interrogations.
L’article 6 du Règlement délégué indique que la criticité des services touchés est à évaluer selon les critères suivants :
• « L’incident touche ou a touché des services TIC ou des réseaux et des systèmes d’information qui soutiennent des fonctions critiques ou importantes de l’entité financière ;
• L’incident touche ou a touché des services financiers fournis par l’entité financière qui nécessitent un agrément ou un enregistrement ou qui sont surveillés par les autorités compétentes ;
• L’incident constitue ou a constitué un accès réussi, malveillant et non autorisé aux réseaux et aux systèmes d’information de l’entité financière. »
Cependant, il demeure flou quant au caractère cumulatif ou alternatif de ces critères. Cette imprécision a conduit à des divergences d’interprétation entre les autorités de régulation.
L’ACPR semble considérer ces critères comme alternatifs, ce qui signifie qu’une simple intrusion malveillante dans un système d’information pourrait suffire à caractériser un incident majeur, indépendamment de son impact réel sur l’activité de l’entité concernée.
À l’inverse, l’Autorité des Marchés Financiers (AMF) semble adopter une lecture plus restrictive, exigeant que plusieurs critères soient réunis pour qu’un incident soit qualifié de majeur.
L’interprétation de l’ACPR, en tant qu’autorité de contrôle du règlement DORA, semble prévaloir en pratique, bien qu’elle apparaisse en décalage avec l’esprit du texte européen. Les premiers « retours terrains » vont d’ailleurs en ce sens. L’ACPR considère que tout accès malveillant même sur une informe partie du système d’information et qui n’est pas liée à une fonction critique, est un incident majeur.
Cette interprétation reste soumise à une confirmation ultérieure par le biais de lignes directrices ou de recommandations de l’ACPR ou de l’European Banking authority afin d’entériner cette position.
En conséquence, les entités financières doivent s’attendre à devoir notifier un nombre important d’incidents à l’ACPR.
3. Nos recommandations pour les DSI
Au regard de la tendance visant à une interprétation large de la notion d’incident majeur issue de l’ACPR, les entités financières doivent se préparer à déclarer un nombre important d’incidents.
Afin de pouvoir respecter les délais et limiter les risques de contrôles, il apparait essentiel pour les DSI, en collaboration avec les RSSI, de mettre en place les mesures suivantes :
• Formaliser une procédure de classification des incidents afin de pouvoir les classifier rapidement et notifier dans les temps ;
• Formaliser une procédure de notification à l’ensemble des autorités et personnes requises (ACPR, CNIL, ANSSI, personnes concernées le cas échéant) ;
• Mettre en place des mécanismes avancés de détection et de surveillance des incidents ;
• Revoir les contrats avec les prestataires de services TIC pour assurer une notification dans les délais ;
• Sensibiliser les équipes afin qu’elles acquièrent les bons réflexes permettant soit d’empêcher l’incident soit de pouvoir le notifier dans les meilleurs délais.
