AG fait partie des milliers d’entreprise à travers l’UE contraintes de répondre aux futures exigences de DORA. Pour parvenir à la conformité avec DORA, nous nous sommes non seulement appuyés sur l'expertise de notre département IT, mais nous avons également bénéficié de sa clairvoyance dans la mise en œuvre de normes telles qu'ISO 27001, qui avait déjà porté notre compliance à un niveau élevé.
Introduction DORA
Nom complet : Digital Operational Resilience Act (DORA)
Origine : Règlement de l'Union européenne
Objectif : Renforcer la résilience numérique des entités financières dans l'UE.
Secteurs concernés : Banques, compagnies d’assurance, gestionnaires d’actifs et autres institutions financières.
Date d’entrée en vigueur : le 17 janvier 2025
Impact de DORA sur les banques et compagnies d'assurance comme AG
DORA vise à protéger l’infrastructure digitale du secteur financier, en veillant à ce que les services financiers essentiels restent accessibles malgré d’éventuels incidents (cyberattaques…) indésirables.
Dans ce but, la réglementation DORA nous oblige en tant qu’institutions financières à :
- mettre en place un cadre solide pour gérer nos risques digitaux ;
- mettre en œuvre des systèmes obligatoires de signalement des incidents ;
- adhérer à des protocoles stricts de tests de résilience numérique afin de renforcer la cybersécurité et d'assurer le rétablissement en cas de cybermenaces et de problèmes opérationnels.
La loi DORA impose en outre :
- une plus grande transparence à l'égard des organismes de réglementation ;
- le partage des menaces identifiées ;
- une collaboration étroite avec des homologues au sein du secteur ;
- une attention plus soutenue pour la gestion des risques liés aux fournisseurs.
En d’autres termes, AG sera donc désormais responsable de la résilience digitale de l'ensemble de la chaîne d'approvisionnement.
Comment AG s’est préparée à la mise en conformité avec DORA ?
Pour obtenir des informations détaillées sur la feuille de route d'AG pour la mise en conformité avec DORA, nous avons discuté avec Francis De Cock (IT DXO) et Inge De Decker (Operational Risk Management), qui nous ont fait part de leurs points de vue.
Nous avons commencé par expliquer les besoins de mise en conformité à notre Chief Information & Technology Officer, Philippe Van Belle, et au Chief Risk Officer d'AG, Nathalie Vanderbecken qui ont par conséquent soutenu le lancement du projet.
La première étape a consisté à créer une équipe de gestion de projet centralisée, qui a établi une feuille de route et un calendrier basés sur les priorités de DORA.
La deuxième étape a impliqué la mise en place d'une équipe pluridisciplinaire par pilier pour superviser les efforts de mise en conformité.
Le premier pilier souligne les politiques de gestion des risques que les institutions financières doivent mettre en œuvre. Ça veut dire quoi concrètement pour AG ?
Nous avons analysé soigneusement l’abondante documentation liée à DORA et l’avons comparée à nos politiques actuelles de gestion des risques. Notre évaluation a permis d'identifier des domaines nécessitant une attention particulière, non seulement pour le premier pilier, mais aussi pour l'ensemble des piliers. Ce nombre relativement faible de gaps reflète nos initiatives antérieures en matière de gestion des risques et de résilience. Notre certification ISO 27001 apporte une preuve solide de ces efforts. Ce cadre chevauche et complète DORA, ce qui nous donne une longueur d'avance dans notre trajet de conformité et amplifie les effets de DORA.
Le deuxième pilier du DORA concerne le reporting. Il stipule notamment qu'il est essentiel que les institutions financières fassent un rapport immédiat à la Banque Nationale de Belgique en cas d’incident majeur.
Ce type d’informations cruciales doit être rapidement partagé avec les institutions financières européennes de manière à ce que tous les acteurs du secteur puissent se préparer et renforcer leurs défenses le cas échéant. C’est une façon de renforcer les mécanismes de défense collectifs. Nous avons mis en place de solides protocoles de gestion des incidents qui nous permettent de réagir rapidement et efficacement aux cyberattaques importantes et aux autres perturbations liées aux technologies de l'information.
Le troisième pilier impose des mécanismes préventifs robustes pour garantir que les institutions financières puissent résister et se remettre des perturbations IT sans incidence sur leurs opérations.
Le premier principe vise la résilience opérationnelle. Dans ce cadre, nous avons entre autres mis en place une infrastructure technologique avancée, comme la duplication des data centers. Cette configuration permet une disponibilité continue des services, avec un centre capable de prendre en charge les opérations de manière transparente si l'autre rencontre des problèmes. Nous assurons ainsi une prestation de services ininterrompue et préservons la confiance de nos clients. Nous pouvons aussi compter sur notre SOC (Security Operation Center) qui surveille, détecte et répond aux potentielles menaces en temps réel pour protéger notre infrastructure.
Le second principe s’appuie sur le Threat-Led Penetration Testing (tests de pénétration basés sur les menaces existantes (TLPT). Ces résultats sont rapportés méticuleusement aux organismes de réglementation, afin de garantir la transparence et la conformité aux normes strictes de DORA.
Le quatrième pilier impose aux institutions financières de garantir la sélection et de contrôler soigneusement leurs fournisseurs de services IT.
Notre processus de gestion des risques pour les tiers est extrêmement rigoureux. Il implique une évaluation méticuleuse et une catégorisation des fournisseurs pour s'assurer qu'ils répondent à nos normes élevées de sécurité et de résilience. Nous faisons la distinction entre les fournisseurs habituels et les fournisseurs critiques et nous adaptons notre surveillance aux risques spécifiques de chaque catégorie.
Le cinquième et dernier pilier a trait à l’échange d’informations entre pairs en cas de cybermenace.
DORA encourage fortement l'échange d'informations et des renseignements sur les cybermenaces au sein de communautés de confiance des entités financières. Il peut s’agir d’indicateurs de compromission, des tactiques, techniques de détections, procédures de réponse, stratégies d’atténuation, ainsi que des alertes de cybersécurité. L’objectif poursuivi est toujours le même : accroitre la sensibilisation aux cybermenaces et renforcer les capacités de défense dans le secteur financier.
Retour sur le trajet vers la conformité DORA
En réfléchissant aux premières étapes de notre mise en conformité, nous avons identifié six facteurs clés de succès.
1. Préparer et planifier tôt : la préparation est cruciale. Il était essentiel de commencer à préparer la mise en conformité avec la loi DORA bien avant les dates limites, surtout si l'on tient compte de la vaste documentation règlementaire. Cela nous a permis de bien comprendre les exigences, d'évaluer les systèmes actuels et d'identifier les changements ou améliorations nécessaires.
2. Former des équipes pluridisciplinaires : se conformer à des réglementations variées nécessite des équipes pluridisciplinaires composées de professionnels issus de divers départements, tels que l'informatique, les experts cyber, le centre d'excellence Cloud, la gestion des risques et de la continuité des activités, les achats et les opérations IT, afin de garantir une approche holistique des défis réglementaires.
3. Utiliser les cadres existants : maximisation des qualifications et des cadres existants dont les avantages ont été démontrés. Nous avons eu la chance de ne pas avoir à partir de zéro. Notre conformité antérieure à la norme ISO 27001 nous a permis de répondre à de nombreuses exigences règlementaires. Les certifications existantes ont constitué une fondation solide pour la mise en conformité avec la loi DORA.
4. S'engager avec le management : il est essentiel de veiller à ce que le management s'engage et soutienne pleinement les initiatives de mise en conformité avec la loi DORA. Le soutien du management non seulement facilite la mobilisation des ressources, mais renforce également le changement culturel déjà amorcé par nos réalisations antérieures, telles que la certification ISO, qui nous rapproche de nos objectifs de conformité.
5. Documenter et rapporter : il est conseillé de conserver une documentation détaillée et précise de tous les processus de conformité, des tests et des incidents. Cette documentation est essentielle pour les examens et les audits internes, mais aussi pour démontrer la conformité aux organismes de réglementation.
6. Rester informé et agile : le paysage de la sécurité peut continuer à évoluer au cours des prochains mois. Les organisations doivent se tenir au courant des mises à jour et être prêtes à adapter leurs stratégies et leurs processus en conséquence. Le paysage réglementaire peut évoluer et le fait de rester informé garantit une conformité permanente.