DORA : Le nouveau règlement pour renforcer la sécurité des transferts de fichiers  

BlueFinch-ESBD

Introduction 

Les transferts de fichiers gérés jouent un rôle essentiel dans la transmission sécurisée des données sensibles entre les organisations. Afin de garantir la confidentialité, l’intégrité et la disponibilité de ces transferts, un nouveau règlement appelé DORA (Digital Operational Resilience Act) a été mis en place. Dans cet article, nous explorerons les principales caractéristiques de DORA, son objectif, ainsi que son impact sur les entreprises et les fournisseurs de solutions de Managed File Transfer. 

 

Qu’est-ce que DORA ? 

DORA est une loi sur la résilience opérationnelle numérique. 

Il s’agit plus précisément d’un cadre réglementaire qui concerne les risques de la transformation numérique des services financiers, l’interconnexion croissante des réseaux et des infrastructures critiques ainsi que par la multiplication de cyberattaques, de plus en plus sophistiquées. 

Lorsque l’on parle de «résilience opérationnelle numérique», il s’agit plus exactement de « la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations ». 

Le règlement DORA, fondé par le Parlement européen, adopté par le Conseil du 14 décembre 2022, définit des exigences uniformes pour renforcer et harmoniser la gestion des risques liés aux technologies de l’information et de la communication (TIC) et à la sécurité des réseaux et des systèmes d’information au niveau de l’UE. 

Le règlement DORA est entré en vigueur le 16 janvier 2023 mais n’est pas encore appliqué. La date butoir pour transposer la directive à l’ensemble des états membres de l’UE, sera le 17 janvier 2025.  

Ce nouveau règlement apporte, dans un seul acte législatif et pour la première fois dans l’UE, un cadre détaillé et complet sur la résilience opérationnelle numérique pour les entités financières. Il prévoit également la mise en place d’un mécanisme de surveillance direct des prestataires de services TIC critiques au niveau de l’UE. 

 

A qui s’applique la législation ?  

La législation européenne DORA s’applique à un très large éventail d’organisations, notamment dans le secteur financier, ainsi qu’aux prestataires de services TIC qui opèrent au sein de l’Union européenne : 

  • Les établissements de crédit 
  • Les établissements de paiement 
  • Les prestataires de services d’information sur les comptes 
  • Les établissements de monnaie électronique 
  • Les entreprises d’investissement 
  • Les prestataires de services sur crypto-actifs agréés  
  • Les dépositaires centraux de titres 
  • Les contreparties centrales 
  • Les plates-formes de négociation 
  •  Les référentiels centraux 
  • Les gestionnaires de fonds d’investissement alternatifs 
  • Les sociétés de gestion 
  • Les prestataires de services de communication de données 
  • Les entreprises d’assurance et de réassurance 
  • Les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire 
  • Les institutions de retraite professionnelle 
  • Les agences de notation de crédit 
  • Les administrateurs d’indices de référence d’importance critique 
  • Les prestataires de services de financement participatif 
  • Les référentiels des titrisations 
  • Les prestataires tiers de services TIC 

 

 

Les objectifs précis de DORA 

Ces dernières années, le risque lié aux TIC a attiré l’attention des décideurs politiques, des régulateurs et des organismes de normalisation internationaux, nationaux et de l’Union, dans un effort visant à renforcer la résilience numérique, à définir des normes et à coordonner le travail de réglementation ou de surveillance. Voici quelques objectifs que cette nouvelle législation promulgue : 

Gouvernance et organisation : Les entités financières disposent d’un cadre de gouvernance et de contrôle interne qui garantit une gestion efficace et prudente du risque lié aux TIC, en vue d’atteindre un niveau élevé de résilience opérationnelle numérique. 

Systèmes et protocoles :  Afin d’atténuer et de gérer le risque lié aux TIC, les entités financières utilisent et tiennent à jour des systèmes, protocoles et outils de TIC qui sont adaptés à l’ampleur des opérations qui sous-tendent l’exercice de leurs activités. Les organisations doivent être équipées d’une capacité suffisante pour traiter avec exactitude les données nécessaires à l’exécution des activités et à la fourniture des services en temps utile, et pour faire face aux pics de volume d’ordres, de messages ou de transactions, selon les besoins, y compris lorsque de nouvelles technologies sont mises en place. 

Protection, détection et réponses : Les entités financières doivent assurer un suivi et un contrôle permanent de la sécurité et du fonctionnement des systèmes et outils de TIC et réduire au minimum l’incidence du risque. Les entités financières conçoivent, acquièrent et mettent en œuvre des stratégies, des politiques, des procédures, des protocoles et des outils de sécurité de TIC qui visent à garantir la résilience, la continuité et la disponibilité des systèmes de TIC, en particulier ceux qui soutiennent des fonctions critiques ou importantes, et à maintenir des normes élevées en matières de disponibilité, d’authenticité, d’intégrité et de confidentialité des données, que ce soit au repos, en cours d’utilisation ou en transit. 

Des mécanismes doivent être mis en place afin de détecter rapidement les activités anormales et répondre aux incidents pour garantir la continuité des fonctions de l’entité. 

Procédure de sauvegardes : Les entités financières mettent en place des systèmes de sauvegarde dans le but de veiller à la restauration des systèmes et des données des TIC en limitant au maximum la durée d’indisponibilité, les perturbations et les pertes. 

 

Les risques et sanctions  

Les autorités compétentes disposent de tous les pouvoirs de surveillance, d’enquête et de sanction nécessaires pour s’acquitter des tâches qui leur incombent en vertu du règlement. 

Ces autorités ont le pouvoir d’imposer les sanctions administratives et les mesures correctives prévues conformément à leurs cadres juridiques nationaux. 

Les États membres peuvent décider de ne pas prévoir de régime de sanctions administratives ou de mesures correctives pour les violations qui font l’objet de sanctions pénales dans le cadre de leur droit national.  

Toutefois, les États membres qui choisissent d’instituer des sanctions pénales pour les violations du règlement veillent à ce que des mesures appropriées soient prises. Les autorités compétentes disposent de tous les pouvoirs nécessaires pour se mettre en rapport avec les autorités judiciaires, les autorités chargées des poursuites ou les autorités judiciaires pénales de leur ressort territorial en vue de recevoir des informations spécifiques liées aux enquêtes ou procédures pénales engagées pour violation du règlement, et de fournir ces mêmes informations aux autres autorités compétentes. 

 

L’impact de DORA sur les solutions de Managed File Transfer (MFT) 

Pour atteindre les objectifs visés par la législation, les entités financières devront utiliser des solutions et des processus de TIC appropriés. Ces solutions et processus de TIC doivent :  

– garantir la sécurité des moyens de transfert de données   

– réduire au minimum le risque de corruption ou de perte de données, d’accès non autorisé et de défauts techniques susceptibles d’entraver les activités 

– empêcher le manque de disponibilité, les atteintes à l’authenticité et à l’intégrité, les violations de la confidentialité et la perte de données montrent que les informations sont protégées contre les risques découlant de la gestion des données, y compris une mauvaise administration, les risques relatifs au traitement et l’erreur humaine. 

Les solutions de Managed File Transfer (MFT) jouent un rôle crucial dans la mise en œuvre des transferts de fichiers sécurisés conformément à DORA. Voici quelques-uns des aspects clés de l’impact de DORA sur les solutions MFT : 

Chiffrement fort : 

DORA exige l’utilisation de protocoles de chiffrement forts pour protéger les données sensibles lors des transferts de fichiers. Les solutions MFT devront intégrer des algorithmes de chiffrement robustes pour garantir la confidentialité des informations pendant le transit. 

Contrôles d’intégrité : 

Les solutions MFT devront mettre en place des mécanismes de contrôle d’intégrité pour vérifier que les fichiers transférés n’ont pas été altérés ou modifiés pendant le processus de transfert. Cela peut être réalisé grâce à des techniques telles que les sommes de contrôle (checksums) ou les signatures numériques. 

Surveillance et traçabilité : 

DORA exige que les organisations puissent surveiller et tracer les transferts de fichiers gérés. Les solutions MFT devront fournir des fonctionnalités de suivi et d’audit avancées pour permettre la détection rapide des activités suspectes et faciliter la conformité aux exigences de DORA. 

Gestion des clés de chiffrement : 

Les solutions MFT devront proposer des mécanismes de gestion des clés de chiffrement conformes à DORA. Cela comprend la génération, la distribution, la rotation et la révocation sécurisée des clés utilisées pour chiffrer les fichiers lors des transferts. 

 

En résumé  

Le règlement DORA est une initiative importante visant à renforcer la sécurité des interconnexions entre entités financières. En mettant l’accent sur la confidentialité, l’intégrité, la disponibilité, la gouvernance et la conformité, DORA jouera un rôle essentiel dans la protection des données sensibles échangées entre les organisations. Les solutions de Managed File Transfer (MFT) devront s’adapter aux exigences de DORA en mettant en place des mécanismes de sécurité avancés pour garantir des transferts de fichiers sûrs et conformes au règlement. La conformité à DORA contribuera à renforcer la confiance des clients et à prévenir les risques de violations de sécurité. 

 

Document officiel du règlement sur la résilience opérationnelle numérique du secteur financier :  https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022R2554  

LinkedIn
Email
Print