Projet DORA : quand la sécurité des systèmes d’information est invoquée par le droit
Dans la droite ligne de l’importance que donnait le RGPD à la sécurité des systèmes d’information, identifié comme un des principes essentiels permettant d’assurer la protection des données personnelles, la Commission européenne a récemment annoncé trois textes ayant pour but de renforcer cette sécurité et plus particulièrement la cyber-résilience constante des systèmes d’information. Rappelons l’importance du sujet, surtout dans les circonstances actuelles, faites de crises systémiques et de risques de cyberattaques, la résilience se définissant comme la « capacité à fonctionner lors d’un incident et à revenir à l’état nominal par la suite. C’est l’aptitude à prévoir et limiter, en amont et au mieux, les impacts d’un accident sur l’état d’un système »1.
Les propositions de directive NIS2 dans sa deuxième version3, de directive relative à la résilience des entités critiques (Critical Entities Resilience - CER)4 ou encore de règlement sur la résilience opérationnelle numérique du secteur financier (Digital Operational Resilience Act - DORA)5, sont trois projets de textes prévus pour 2022, qui, chacun dans leur domaine, visent à imposer cette résilience à des entités particulières6.
Un focus sur le projet DORA semble utile à cet égard pour éclairer l’avenir, tant les obligations portant spécifiquement sur le secteur financier ont eu tendance à s’appliquer, quelques années après, à l’ensemble des entités économiques7. Et, comme les projets NIS 2 ou CER, il impose de prendre en compte aussi bien les conséquences organisationnelles et techniques que les contraintes purement juridiques, les trois étant liées.
" La gestion de la sécurité des SI et le contrôle des prestataires informatiques sont au cœur des exigences de DORA "
Certes, le projet DORA n’est pas révolutionnaire pour le domaine, tant il s’inscrit dans la continuité des orientations de l’ABE de 2019 sur la gestion des risques liés aux TIC et à la sécurité des établissements financiers, reprises par l’arrêté du 25 février 2021, ainsi que des « Principes pour une Résilience Opérationnelle » publiés en mars 2021 par le Basel Committee on Banking Supervision. Mais il n’empêche qu’en ayant pour objectif de garantir, directement ou indirectement, la sécurité du réseau et des systèmes d’information utilisés par les entités concernées pour délivrer les services attendus, il projette d’imposer, à un niveau encore rarement atteint, à la fois une gouvernance forte sur le sujet et un contrôle drastique des fournisseurs liés aux Technologies de l’Information et de la Communication (TIC).
À titre d’exemple, et dans la lignée du RGPD qui impose de ne faire appel qu’à des sous-traitants qui permettent de respecter le RGPD, l’article 25 du projet DORA prévoit que « les entités financières ne peuvent conclure des accords contractuels qu’avec des tiers prestataires de services informatiques qui respectent des normes élevées, adéquates et actualisées en matière de sécurité de l’information ».
Une étude exhaustive de ce texte très riche, notamment réparti en cinq domaines principaux (organisation de la gestion des risques liés aux TIC, gestion des incidents TIC, organisation et réalisation des tests de résilience opérationnelle, gestion des risques liés aux prestataires de services TIC ou encore partage des informations liées aux cybermenaces), nécessiterait une place que nous n’avons pas ici. Permettons-nous toutefois de noter quelques exemples de l’importance de ce projet de texte :
- Il permet une approche uniformisée des tests de résilience opérationnelle numérique à l’échelle européenne et une rationalisation des coûts pour les entités qui y sont soumises ;
- Outre le reste de l’article 5 imposant une gestion stricte, rigoureuse et effectuée au niveau de l’organe de direction de la gestion des risques informatiques, il est prévu que « les membres de l’organe de direction suivent régulièrement une formation spécifique afin d’acquérir et de maintenir à jour des connaissances et des compétences suffisantes pour comprendre et évaluer les risques informatiques et leur incidence sur les opérations de l’entité financière ». Former régulièrement tout le Comex non seulement à la compréhension, mais également à l’évaluation des risques cyber ? Le RSSI en a rêvé, DORA le ferait ;
- Le considérant 39, quant à lui, écrit tout haut ce que le reste du texte et le contenu des définitions semblent indiquer à bas bruit : « Bien que le présent règlement ne requière aucune normalisation de systèmes, d’outils ou de technologies informatiques spécifiques, il repose sur le recours approprié, par les entités financières, aux normes techniques (par exemple, ISO) (…) ». Le droit et la sécurité des SI (normes ISO 27 001 et consorts) sont donc intimement liés et ce lien sort renforcé par ce texte8 ;
- Il s’adresse directement à un très grand nombre d’entités du secteur financier, mais également aux « tiers prestataires de services informatiques ». Il est donc prévu que ce texte s’applique directement aux prestataires de Cloud, exemple parmi d’autres. C’est ainsi tout le chapitre V du texte (15 articles !) qui est consacré à la gestion des risques liés aux tiers prestataires de service informatique. En cela, le texte s’inscrit dans la droite ligne de la construction réalisée par le RGPD via son article 28 listant le contenu minimum des clauses devant figurer dans les contrats avec les sous-traitants de traitement de données personnelles. Mais en imposant des exigences contractuelles dont le degré de précision ferait rêver tout DPO normalement constitué. Même si, là encore, une analyse exhaustive serait utile, le seul contenu de l’article 279 (« principales dispositions contractuelles ») est éclairant : description « claire et exhaustive de tous les services et fonctions qui seront fournis par le tiers », indication de tous les lieux où services et fonctions sont fournis et les données sont traitées ou stockées, SLA complets, ou encore droit d’assurer un suivi permanent des performances du tiers, etc. Enfin, concernant les tiers prestataires critiques, ils entreraient directement sous le contrôle des autorités européennes de surveillance…
L’Union européenne a prévu de renforcer son cadre réglementaire concernant la sécurité et la résilience des systèmes d’information des entreprises, en réponse aux cyber-risques croissants. La France réfléchit pour sa part au « Cyberscore » des plateformes numériques grand public10. S’il est prévu que ces projets s’adressent à des entités précises, il y a fort à parier qu’un effet de « ruissellement » des exigences se crée à terme, les entreprises concernées l’imposant contractuellement à des entités a priori non concernées, lors d’appels d’offres. Il est donc urgent pour elles de comprendre ces textes et anticiper leurs éventuelles conséquences juridiques, organisationnelles et techniques.
SUR L'AUTEUR. François Coupez est avocat à la Cour, fondateur du cabinet Level Up Legal. Certifié spécialiste en Droit des nouvelles technologies (CNB), ISO 27001 Lead implementer, 27701 Lead Implementer (niveaux avancés – LSTI) et DPO (CNIL - AFNOR et APAVE), il met sa double compétence en droit et sécurité des SI au service de nombreuses grandes entreprises depuis près de vingt ans, afin de les conseiller face à leurs contraintes réglementaires.