Face au nombre croissant d'attaques cyber qui mettent à l'épreuve la résilience du système financier européen, le Parlement de l'Union européenne (UE) a adopté en 2022 une loi visant à renforcer la sécurité informatique des entités financières telles que les banques, les compagnies d'assurance et les sociétés d'investissement. La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act, DORA) vise à garantir que le secteur financier européen soit en mesure de maintenir sa résilience en cas de graves perturbations opérationnelles.
La loi DORA crée un cadre réglementaire pour la résilience opérationnelle numérique dans le secteur financier, en vertu duquel toutes les entreprises doivent confirmer qu'elles peuvent résister, réagir et se remettre d'un large éventail de perturbations des TIC et de menaces ( cyber ). La loi fixe des exigences uniformes pour la sécurité des réseaux et des systèmes d'information. Elle énonce des exigences au chapitre V pour les tiers critiques qui fournissent des services de technologies de l'information et de la communication (TIC), tels que des plateformes en nuage ou des services d'analyse de données, au secteur des services financiers.
Ce billet examine les articles clés du DORA relatifs aux tiers et identifie les meilleures pratiques qui peuvent être utilisées pour répondre aux exigences du chapitre V du DORA.
Liste de contrôle de la conformité des tiers à la DORA
Cette liste de contrôle complète examine les articles clés du chapitre V de DORA : Managing of ICT Third-Party Risk et fournit des conseils pour répondre aux exigences.
Le chapitre V du DORA passe en revue les contrôles et processus requis à la section I et les mécanismes de surveillance d'un régime réglementaire à la section II.
La section I : Principes clés pour une gestion saine du risque lié aux TIC fournies par des tiers vise à garantir que les entités financières gèrent et atténuent de manière appropriée les risques découlant de leur utilisation de services TIC fournis par des tiers. Un résumé de ces exigences est inclus ci-dessous.
Les entités financières sont tenues d'évaluer les risques liés aux fournisseurs tiers de TIC. Il s'agit notamment d'évaluer les risques opérationnels potentiels, les risques de concentration et les risques systémiques. Les organisations doivent tenir compte de la criticité des services fournis. Le degré de gestion et de surveillance des risques doit être proportionnel à la criticité et à l'impact potentiel du service TIC tiers sur l'entité financière. C'est ce que l'on appelle le principe de proportionnalité.
Les entités financières doivent faire preuve d'une grande diligence avant de conclure des contrats avec des prestataires de services TIC tiers. Cette évaluation doit porter sur la capacité du prestataire à fournir des services fiables, sûrs et conformes aux attentes réglementaires. Après la signature du contrat, un suivi continu est nécessaire pour s'assurer que les fournisseurs tiers maintiennent le niveau attendu de résilience opérationnelle, y compris leur conformité aux normes de sécurité.
Les contrats entre les entités financières et les fournisseurs de services TIC tiers doivent comprendre des dispositions détaillées sur la gestion des risques, garantissant la responsabilité du fournisseur dans l'atténuation des risques et la continuité opérationnelle. Les contrats doivent également comprendre des clauses sur les droits de résiliation, permettant à l'entité financière de mettre fin à la relation si le tiers ne respecte pas les exigences réglementaires ou de résilience opérationnelle. Les entités financières doivent disposer de stratégies de sortie documentées et répétées pour les services TIC critiques, leur permettant de maintenir la résilience opérationnelle si un fournisseur de services clé n'est plus disponible.
Les entités financières doivent surveiller les risques de concentration liés aux fournisseurs tiers de TIC, en particulier lorsque seuls quelques fournisseurs dominent le marché. Les organisations doivent élaborer des plans d'urgence pour faire face aux perturbations potentielles causées par une telle concentration. Pour atténuer les risques de concentration, les entités sont encouragées à diversifier leurs fournisseurs de services TIC dans la mesure du possible.
Les entités financières doivent tenir un registre de tous les fournisseurs et services TIC tiers, qui comprend des détails sur les contrats, la criticité des services et l'évaluation des risques. Ce registre doit être régulièrement mis à jour et mis à disposition pour les examens réglementaires.
Le DORA exige des entités financières qu'elles testent les capacités de résilience opérationnelle de leurs fournisseurs de TIC. Il s'agit d'effectuer des simulations ou des tests de résistance afin d'évaluer dans quelle mesure le tiers pourrait faire face à une perturbation majeure ou à une cyberattaque.
Si un fournisseur de TIC tiers sous-traite des parties du service, l'entité financière doit s'assurer que le sous-traitant est également soumis aux mêmes normes de diligence raisonnable, de contrôle et de gestion des risques.
Les entités financières sont encouragées à analyser différents scénarios de risques pour les tiers, tels que les cyberattaques ou les pannes à grande échelle, et à élaborer des plans de récupération et d'urgence pour de tels événements.
La section II : Cadre de surveillance des prestataires de services TIC tiers critiques établit des règles et des exigences concernant la supervision et la surveillance réglementaire des prestataires de services TIC tiers critiques (PSTC). Elle prévoit la nomination d'un superviseur principal chargé de superviser les pratiques de gestion des risques et de résilience du fournisseur, le pouvoir de mener des inspections et des tests de résilience, ainsi que des exigences en matière de notification des incidents et des mesures correctives.
Le DORA introduit des mécanismes de surveillance directe pour les fournisseurs tiers de TIC critiques, exigeant d'eux qu'ils se conforment à des normes supplémentaires en matière de reporting et de résilience opérationnelle. L'objectif est de s'assurer que ces fournisseurs de TIC critiques respectent des normes élevées de résilience opérationnelle et contribuent à la stabilité globale du système financier.
eBook : 25 KPI et KRI pour la gestion des risques liés aux tiers
Les 25 KPI et KRI les plus importants pour la gestion des risques liés aux tiers vous mettront sur la voie d'une communication plus efficace concernant votre programme TPRM.
Le chapitre V, section I, articles 28-30 de la loi sur la résilience opérationnelle numérique (DORA) établit plusieurs exigences visant à garantir que les entités financières gèrent et atténuent de manière appropriée les risques découlant de leur utilisation de services de technologies de l'information et de la communication (TIC) fournis par des tiers. Il s'agit des pratiques que les professionnels du TPRM devraient mettre en œuvre pour répondre aux exigences de surveillance réglementaire de la section II.
Cependant, il est impossible d'évaluer, de contrôler et de gérer de manière adéquate le respect des exigences DORA par des tiers en utilisant des méthodes d'évaluation des risques manuelles et basées sur des feuilles de calcul. Prevalent peut vous aider.
La plateforme de gestion des risques des tiers (TPRM)Prevalent est une solution centralisée et automatisée qui permet d'évaluer, de surveiller et de gérer les risques liés aux fournisseurs de services tiers dans le cadre d'un programme plus large de cybersécurité et de gestion des risques de l'entreprise. Avec Prevalent, votre équipe peut :
Pour en savoir plus sur la façon dont Prevalent peut simplifier la conformité de la gestion des risques des tiers avec la loi DORA, téléchargez notre liste de contrôle complète sur la gestion des risques des tiers avec la loi DORA ou demandez une démonstration dès aujourd'hui .
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024