DORA : Implications et plan d’actions pour les prestataires de services de gestion de portefeuille et de conseils sur instruments financiers et crypto-actifs

Partager cet article

 

DORA : Implications et plan d’actions pour les prestataires de services de gestion de portefeuille et de conseils sur instruments financiers et crypto-actifs

 

Le règlement européen sur la résilience opérationnelle numérique du secteur financier (Digital Operational Resilience Act ou DORA) établit des règles en matière de cybersécurité et de gestion des risques liés aux technologies de l’information et de la communication (« TIC ») pour plusieurs entités financières.

A seulement 6 mois de la date d’entrée en application de DORA prévue le 17 janvier 2025, le Cabinet L.CO revient sur ses implications pour les entreprises d’investissement au sens de la directive MIF 2[1], les sociétés de gestion collective et les prestataires de services sur crypto-actifs au sens du règlement MiCA, y compris ceux qui fournissent des services de gestion de portefeuille ou de conseils sur crypto-actifs, (ci-après « SGP »).

Les conseillers en investissement financiers (« CIF ») et les sociétés de gestion de fonds d’investissement alternatifs (« GFIA ») simplement enregistrés sont exclus du champ d’application de DORA.

Par ailleurs, sur la base du principe de proportionnalité, les microentreprises (moins de 10 salariés et chiffre d’affaires annuel n’excédant pas 2 millions d’euros), bénéficient de règles de DORA allégées. Par exemple, elles sont exemptées des tests de pénétration fondés sur la menace.

Une approche axée sur la gestion des risques de TIC :

Ces entités doivent mettre en œuvre une approche de gestion des risques basée sur 3 principaux volets de mise en conformité (organisationnel, technique et juridique) afin d’assurer une résilience opérationnelle aux incidents et vis-à-vis de l’utilisation des prestataires tiers de services TIC notamment pour des fonctions critiques.

Le volet organisationnel :

Selon DORA, la direction de chaque entité porte la responsabilité de la gestion du risque lié aux TIC. Cet organe devient ainsi le nœud de la stratégie TIC des SGP concernés.

Cette direction doit être capable de définir clairement les rôles et responsabilités pour toutes les fonctions liées aux TIC, coordonner et veiller à la bonne communication de ces fonctions.

De plus, la direction doit assurer la détermination de la stratégie de résilience opérationnelle. Cette stratégie fixe le niveau de tolérance au risque, les niveaux de performances en matière de sécurité de l’information ou encore les mécanismes de détection et prévention des incidents liés aux TIC.

Enfin, la direction doit d’une part conduire l’identification et la documentation de l’ensemble des actifs informationnels et TIC de l’entité, tout en répertoriant ceux considérés comme critiques. D’autre part, elle doit assurer l’identification des fonctions notamment critiques qui dépendent de prestataires tiers de services TIC.

La nécessité d’un cadre formalisé de gestion des risques :

Un des points centraux de DORA concerne la solidité et complétude de la documentation liée aux risques TIC, notamment par des politiques et procédures assurant une protection effective des actifs informationnels. En effet, l’entité doit « mettre en place et maintenir un cadre de gestion du risque lié aux TIC solide et documenté qui détaille les mécanismes et les mesures permettant une gestion rapide, efficace et complète du risque lié aux TIC, y compris en ce qui concerne la protection des composantes et infrastructures physiques pertinentes »[1]. Ces procédures garantissent une séparation de 3 fonctions (gestion du risque ; contrôle et audit interne), essentielles à la résilience opérationnelle de l’entité.

De même, l’entité doit établir d’autres politiques non moins importantes, telles que :

  • Les politiques de continuité des activités de TIC ;
  • Les politiques et procédures de sauvegarde qui précisent la portée des données concernées par la sauvegarde et la fréquence minimale et des procédures et méthodes de restauration et de rétablissement.

Par exemple, les données financières et les informations personnelles des clients plus critiques sont sauvegardées quotidiennement, tandis que des données moins critiques sont sauvegardées mensuellement.

Volet technique : les tests de résilience

Le volet technique institué par DORA s’articule autour d’un programme de tests de résilience opérationnelle numérique. Ces tests de résilience se font selon une approche fondée sur le risque et la criticité des actifs informationnels.

DORA privilégie la réalisation de ces tests de résilience par des parties externes et indépendantes, tout en permettant leur réalisation par des parties internes, sous condition de prévoir des garanties d’évitement des conflits d’intérêts.

Le programme de tests de résilience prévoit différents types de tests et d’évaluations, tels que des analyses de vulnérabilité, des tests de pénétration, des tests de performance et des examens de code source.

Par exemple, les politiques et procédures doivent prévoir des mesures concrètes telles que des firewalls, un accès distant au réseau de la SGP protégé par VPN, une double authentification requise pour se connecter, un chiffrement des échanges. Par ailleurs, les postes de travail devraient être équipés d’antivirus, d’un chiffrement des disques, de ports USB bloqués, une politique stricte de gestion du mot de passe d’accès.

Une lecture approfondie de la norme ISO/IEC 27002 doit permettre aux entités financières de déterminer les mesures de sécurité adaptées à mettre en œuvre.

Volet contractuel : gestion des prestataires tiers de services TIC

Certains SPG décident de faire infogérer totalement ou partiellement leur système d’informations. Le cas échéant, DORA établit que les entités financières demeurent pleinement responsables du respect et de l’exécution toutes les obligations découlant de DORA.

Les SPG doivent particulièrement veiller à leurs relations contractuelles avec des prestataires tiers, en s’interrogeant aussi sur le caractère critique de la fonction soutenue par le service TIC. Ces contrats doivent notamment stipuler certaines clauses obligatoires :

  • Caractère critique de la sous-traitance ;
  • Niveaux de services ;
  • Audits du prestataire ;
  • Réversibilité ;
  • Conditions de résiliation ;
  • Assistance à l’entité en cas d’incident.

De même, les contrats en cours d’exécution doivent être revus et modifiés pour répondre aux exigences du règlement.

Dans sa synthèse des contrôles SPOT 2023[2] relatives au dispositif de cybersécurité des sociétés de gestion de portefeuille, l’AMF a identifié que ces entités dépendaient surtout des prestataires tiers pour l’hébergement des données, les logiciels de passation des ordres, les logiciels de gestion des portefeuilles, ou encore les CRM de gestion collective, une défaillance de ces systèmes risquant de sévèrement perturber l’activité du SGP.

Plan d’action :

Depuis sa publication, le règlement DORA a accordé 26 mois aux entités financières pour assimiler leurs obligations et se mettre en conformité. Il est désormais plus qu’urgent pour les SGP concernés de déterminer un plan d’action de mise en conformité.

Ce plan doit particulièrement s’articuler autour la compréhension des enjeux et des obligations pour chaque entité. La direction doit assimiler la portée de sa mission et l’étendue de ses responsabilités dans la conduite de la stratégie TIC. Ce plan d’action doit aborder plusieurs étapes essentielles :

  • Etape 1 : Une évaluation des obligations de DORA applicables à l’entité, en déterminant les pratiques métiers les plus impactés (Direction, gestion du risque, contrôle ou encore audit) ;
  • Etape 2 : La réalisation d’une analyse de risques selon une méthodologie éprouvée (EBIOS RM, ISO 27005) pour déterminer les mesures de traitement des risques ;
  • Etape 3 : Une cartographie de la documentation existante et à élaborer : Les politiques et procédures sont au centre de la gestion des risques du SGP, il convient d’en saisir la teneur et d’identifier celles qui sont applicables à l’entité ;
  • Etape 4 : Une cartographie des prestataires tiers auxquels le SGP a recours, ainsi que la criticité des activités qui reposent sur ces services TIC ;
  • Etape 5 : Penser sa stratégie de résilience, afin d’élaborer des politiques de continuité de l’activité adaptées et procéder à programmer le prérequis et le coût financier des tests de résilience régulier ;
  • Etape 6 : Identifier les contrats à mettre à jour et adapter sa stratégie contractuelle en fonction des exigences de DORA. Le SGP reste à tout moment responsable de la bonne conformité des contrats à DORA.

Les SGP ont jusqu’au 17 janvier 2025 pour être en conformité totale avec DORA. Compte tenu de la nature des exigences du règlement et de la charge de travail prévue, les SGP ne seront vraisemblablement pas en mesure de tenir ces délais. A ce titre, l’urgence est à la priorisation. Le socle fondamental de DORA repose sur la gestion des risques. Aussi, nous recommandons de réaliser en priorité une analyse de risques et une cartographie de vos actifs afin de déterminer un plan de traitement adapté. Ce plan de traitement vous permettra d’établir un calendrier de conformité formalisé.

[1] Article 16, alinéa 2, a) de DORA.

[2] AMF, Synthèse des contrôles SPOT relative au dispositif de cybersécurité des sociétés de gestion de portefeuille N°3 – 2023, Synthèse des contrôles SPOT relative au dispositif de cybersécurité des sociétés de gestion de portefeuille N°3 – 2023 | AMF (amf-france.org)

[1] Directive 2014/64/UE du 15 mai 2014, concernant les marchés d’instruments financiers