(Par Quentin Frohman - Consultant SSI & IA)
Le Digital Operational Resilience Act (DORA) promet de transformer la manière dont les entités financières gèrent leurs fournisseurs TIC. Mais si les objectifs de cette réglementation sont pour le moins “ambitieux”, il est de notre devoir de professionnels de la cybersécurité et du droit, d’analyser la faisabilité de leur mise en œuvre et d’évaluer les défis qu’elle pose.
DORA se veut un rempart contre les risques opérationnels et technologiques, mais avec quelles contraintes pour les acteurs concernés ? C’est ce que nous allons voir.
Un cadre idéaliste face à des réalités complexes
DORA impose une série d'exigences qui, sur le papier, semblent rationnelles et nécessaires. mais qui en pratique, dans un environnement financier réel, soulève plusieurs interrogations et niveau de complexité, qui honnêtement, ne revêtent pas systématiquement d’un caractère essentiel.
Nous pourrions attaquer cette problématique sur bien des angles différents, mais j’ai souhaité prendre celui des obligations relatives à la gestion des fournisseurs.
Car si vous avez pris connaissances de DORA vous comprenez le pourquoi du comment, sinon laissez moi vous expliquer !
Commençons par un point central : la gestion du risque de concentration des fournisseurs TIC.
Bien que le choix de la stratégie multi-fournisseurs soit louable et plus que compréhensible pour limiter les risques, elle n’est pas toujours réaliste. Certains services critiques, comme les infrastructures cloud ou les services SaaS spécialisés, sont dominés par un petit nombre de géants technologiques (AWS, Microsoft Azure, Google). Ces fournisseurs sont eux-mêmes soumis à des contraintes réglementaires, mais nous le savons tous, cela ne protège en rien les entités financières d’une défaillance ou d’une dépendance excessive.
Du coup, vers qui se tourner ? Pas de soucis DORA l’a également prévu : avec un plan de sortie.
Oui mais bon, bien que ce plan soit censé garantir une transition fluide en cas de rupture de contrat, la réalité est quand même bien différente. Migrer un service TIC critique vers un nouveau fournisseur nécessite du temps, des coûts et des efforts considérables, souvent sous-estimés.
Assurer la continuité de ses activités dans ce type de contexte, ça paraît compliqué même si en pratique, il est difficile d’imaginer ces géants être à l’arrêt pendant une durée excessive.
Les clauses contractuelles : un obstacle à la flexibilité
Bien que DORA insiste sur l’inclusion de clauses contractuelles exhaustives, ces exigences peuvent ralentir les négociations et introduire des rigidités dans les relations contractuelles. Par exemple : les droits d’audit et accès aux locaux
Ces clauses, bien qu’essentielles pour garantir la conformité, risquent d’être perçues comme intrusives par les fournisseurs TIC. Certaines grandes entreprises pourraient même refuser d’accepter ces conditions, ou ne les appliquer qu’à contrecœur, ce qui pourrait réduire le choix des prestataires pour les entités financières.
Vous sentez vous capable d’imposer votre rythme contractuellement avec des géants de la tech comme AWS ? Bon, je pense que la réponse est vite répondue.
Je vous passe également les modalités de complétion du registre d’information contractuel pour chacun de vos fournisseurs …. un vrai moment de bonheur.
Idem pour les exigences disposant que les prestataires divulguent l’intégralité de leur chaîne de sous-traitance : cela constitue un défi colossal. Les grands fournisseurs, opérant souvent à l'échelle mondiale, ne sont pas toujours en mesure (ou disposés) de fournir ces informations en temps voulu, sans parler des implications de confidentialité pour leurs propres processus.
Un équilibre à trouver entre ambition et réalisme
En dépit de ces défis, DORA reste une opportunité pour les entités financières de repenser leur approche de la gestion des risques TIC. Toutefois, pour que cette ambition devienne réalisable, plusieurs ajustements sont nécessaires :
1. Un accompagnement plus poussé des petites structures
Les grandes institutions financières peuvent absorber les coûts et ressources nécessaires à la mise en œuvre de DORA, mais qu’en est-il des petites entités ? Un cadre flexible, soutenu par des outils standardisés, pourrait leur permettre de rester conformes sans compromettre leur compétitivité.
2. Une meilleure collaboration avec les fournisseurs TIC
DORA repose sur une coopération accrue entre entités financières et fournisseurs TIC. Cependant, sans un dialogue constructif et des incitations pour les prestataires, les exigences contractuelles, par exemple, pourraient devenir un point de blocage. C'est à ce niveau que la scène financière a besoin d'institutions fortes pour assurer le dialogue entre les différents acteurs.
3. Des délais et objectifs réalistes
La complexité de DORA nécessite des phases de mise en œuvre progressives, permettant aux acteurs concernés d’adapter leurs processus sans compromettre le bon déroulement de leurs opérations.
Conclusion
DORA marque une étape importante dans la résilience opérationnelle des entités financières, mais elle pose des défis considérables, notamment en termes de ressources, de coordination et de flexibilité.
Les ambitions réglementaires, bien que louables, risquent de se heurter à des réalités organisationnelles et techniques qui ne peuvent être ignorées.
Pour réussir, les régulateurs, les entités financières et les fournisseurs TIC devront travailler de concert pour transformer cette utopie réglementaire en une véritable révolution opérationnelle.
Mais à quel rythme, et avec quels compromis ? L’avenir de DORA dépendra de la capacité des acteurs à conjuguer ambition et réalisme.
Comentarios