Normes techniques réglementaires (RTS) de DORA sur le risque TIC
01 Résumé Exécutif
Les Autorités de surveillance européennes (ESA) ont publié les normes techniques de réglementation (RTS) finales dans le cadre du règlement sur la résilience opérationnelle numérique (DORA). Cette note propose une analyse technique des RTS, en se concentrant sur les exigences spécifiques relatives aux cadres de gestion des risques TIC, aux seuils de classification des incidents et aux clauses contractuelles avec les tiers.
Nous évaluons les défis opérationnels de l'alignement des architectures existantes sur les critères des RTS. Nous concluons que la mise en œuvre de la journalisation automatisée, le développement de processus de déclaration des incidents et l'audit des fournisseurs d'infrastructure (cloud, blockchain) sont des étapes clés.
02 Énoncé du Problème
Les entités financières font face à une augmentation des cyberattaques, mais la gestion des risques informatiques reste fragmentée. Les cadres traditionnels manquent de directives pour évaluer la résilience des systèmes modernes, tels que l'hébergement cloud et les réseaux de bases de données distribuées.
De plus, classifier les incidents TIC majeurs selon les RTS exige d'analyser simultanément plusieurs critères (perte de données, indisponibilité, impact géographique) dans des délais très courts, créant des goulots d'étranglement pour les équipes de conformité.
03 Contexte Politique
Sous DORA, les ESA (ABE, EIOPA et ESMA) sont chargées d'élaborer des normes techniques précisant les obligations des entités financières. Les paquets de RTS clarifient les règles pour les systèmes de gestion des risques TIC, la classification des incidents et les registres d'informations des prestataires tiers.
Ces normes établissent un modèle de conformité harmonisé dans toute l'UE, garantissant que les banques, les compagnies d'assurance et les prestataires critiques suivent les mêmes règles techniques, renforçant la résilience globale du secteur financier.
04 Analyse & Impact Opérationnel
Les RTS imposent des obligations détaillées sur le cadre de gestion des risques TIC. Les entités doivent documenter tous leurs actifs informatiques, cartographier leurs dépendances et réaliser régulièrement des évaluations de vulnérabilité, nécessitant des outils de cartographie automatisés.
De plus, les normes de notification définissent des seuils précis pour les incidents majeurs. Un incident est majeur s'il affecte des services critiques, corrompt des données ou touche plus de 10 % des clients. Les entités doivent soumettre un rapport initial sous 4 heures, exigeant des procédures d'escalade prêtes.
Enfin, les règles de gestion des tiers imposent d'inclure des clauses spécifiques (droits d'accès, d'audit, SLA) dans les contrats avec les fournisseurs de TIC. Cela oblige les institutions à auditer l'ensemble de leurs prestataires de services cloud, de garde et de logiciels.
05 Recommandations Politiques
Pour aligner la gouvernance informatique d'entreprise sur les RTS de DORA et garantir la conformité avant les échéances d'audit, nous recommandons les mesures suivantes :
Directives de résilience informatique :
- Intégrer des outils automatisés de découverte d'actifs et de détection des vulnérabilités pour tenir à jour le registre de tous les composants IT et DLT.
- Créer des modèles d'évaluation d'incidents qui calculent automatiquement les scores de gravité selon les critères des RTS.
- Organiser régulièrement des exercices de simulation de pannes cloud ou blockchain pour tester les protocoles de secours et de basculement.
06 Références & Citations
- ESA (2024). Projet de normes techniques de réglementation sur le cadre de gestion des risques TIC sous DORA.
- Commission européenne (2023). Règlement délégué complétant le règlement (UE) 2022/2554 en ce qui concerne les normes techniques de réglementation.
- DCM Core Compliance Guide (2025). Technical Implementation of DORA RTS Incident Classification Frameworks.