Projet DORA : quand la sécurité des systèmes d’information est invoquée par le droit

DORA, NIS 2, CER, autant de projets qui imposent des règles strictes en matière de sécurité des systèmes d’information et de résilience opérationnelle numérique. Focus sur quelques exigences de Dora et leurs probables effets.
François Coupez, avocat à la Cour certifié spécialiste en Droit des nouvelles technologies

DORA, NIS 2, CER, autant de projets qui imposent des règles strictes en matière de sécurité des systèmes d’information et de résilience opérationnelle numérique. Focus sur quelques exigences de Dora et leurs probables effets.

Dans la droite ligne de l’importance que donnait le RGPD à la sécurité des systèmes d’information, identifié comme un des principes essentiels permettant d’assurer la protection des données personnelles, la Commission européenne a récemment annoncé trois textes ayant pour but de renforcer cette sécurité et plus particulièrement la cyber-résilience constante des systèmes d’information. Rappelons l’importance du sujet, surtout dans les circonstances actuelles, faites de crises ­systémiques et de risques de ­cyberattaques, la résilience se définissant comme la « capacité à fonctionner lors d’un incident et à revenir à l’état nominal par la suite. C’est l’aptitude à prévoir et limiter, en amont et au mieux, les impacts d’un accident sur l’état d’un système »1.

Les propositions de directive NIS2 dans sa deuxième version3, de directive relative à la résilience des entités critiques (Critical Entities Resilience - CER)4 ou encore de règlement sur la résilience opérationnelle numérique du secteur financier (Digital Operational Resilience Act - DORA)5, sont trois projets de textes prévus pour 2022, qui, chacun dans leur domaine, visent à imposer cette résilience à des entités particulières6.

Un focus sur le projet DORA semble utile à cet égard pour éclairer l’avenir, tant les obligations portant spécifiquement sur le secteur financier ont eu tendance à s’appliquer, quelques années après, à l’ensemble des entités économiques7. Et, comme les projets NIS 2 ou CER, il impose de prendre en compte aussi bien les conséquences organisationnelles et techniques que les contraintes purement juridiques, les trois étant liées.

" La gestion de la sécurité des SI et le contrôle des prestataires informatiques sont au cœur des exigences de DORA "

Certes, le projet DORA n’est pas révolutionnaire pour le domaine, tant il s’inscrit dans la continuité des orientations de l’ABE de 2019 sur la gestion des risques liés aux TIC et à la sécurité des établissements financiers, reprises par l’arrêté du 25 février 2021, ainsi que des « Principes pour une Résilience Opérationnelle » publiés en mars 2021 par le Basel Committee on Banking ­Supervision. Mais il n’empêche qu’en ayant pour objectif de garantir, directement ou indirectement, la sécurité du réseau et des systèmes d’information utilisés par les entités concernées pour délivrer les services attendus, il projette d’imposer, à un niveau encore rarement atteint, à la fois une gouvernance forte sur le sujet et un contrôle drastique des fournisseurs liés aux Technologies de l’Information et de la Communication (TIC).

À titre d’exemple, et dans la lignée du RGPD qui impose de ne faire appel qu’à des sous-traitants qui permettent de respecter le RGPD, l’article 25 du projet DORA prévoit que « les entités financières ne peuvent conclure des accords contractuels qu’avec des tiers prestataires de services informatiques qui respectent des normes élevées, adéquates et actualisées en matière de sécurité de ­l’information ».

Une étude exhaustive de ce texte très riche, notamment réparti en cinq domaines principaux (organisation de la gestion des risques liés aux TIC, gestion des incidents TIC, organisation et réalisation des tests de résilience opérationnelle, gestion des risques liés aux prestataires de services TIC ou encore partage des informations liées aux cybermenaces), nécessiterait une place que nous n’avons pas ici. Permettons-nous toutefois de noter quelques exemples de l’importance de ce projet de texte :

- Il permet une approche uniformisée des tests de résilience opérationnelle numérique à l’échelle européenne et une rationalisation des coûts pour les entités qui y sont soumises ;

- Outre le reste de l’article 5 imposant une gestion stricte, rigoureuse et ­effectuée au niveau de l’organe de direction de la gestion des risques informatiques, il est prévu que « les membres de l’organe de direction suivent régulièrement une formation spécifique afin d’acquérir et de maintenir à jour des connaissances et des compétences suffisantes pour comprendre et évaluer les risques informatiques et leur incidence sur les opérations de l’entité financière ». Former régulièrement tout le Comex non seulement à la compréhension, mais également à l’évaluation des risques cyber ? Le RSSI en a rêvé, DORA le ferait ;

- Le considérant 39, quant à lui, écrit tout haut ce que le reste du texte et le contenu des définitions semblent indiquer à bas bruit : « Bien que le présent règlement ne requière aucune normalisation de systèmes, d’outils ou de technologies informatiques ­spécifiques, il repose sur le recours approprié, par les entités financières, aux normes techniques (par exemple, ISO) (…) ». Le droit et la sécurité des SI (normes ISO 27 001 et consorts) sont donc intimement liés et ce lien sort renforcé par ce texte8 ;

- Il s’adresse directement à un très grand nombre d’entités du secteur financier, mais également aux « tiers prestataires de services informatiques ». Il est donc prévu que ce texte s’applique directement aux prestataires de Cloud, exemple parmi d’autres. C’est ainsi tout le chapitre V du texte (15 articles !) qui est consacré à la gestion des risques liés aux tiers prestataires de service informatique. En cela, le texte s’inscrit dans la droite ligne de la construction réalisée par le RGPD via son article  28 listant le contenu minimum des clauses devant figurer dans les contrats avec les sous-traitants de traitement de données personnelles. Mais en imposant des exigences contractuelles dont le degré de précision ferait rêver tout DPO normalement constitué. Même si, là encore, une analyse exhaustive serait utile, le seul contenu de l’article 279 (« principales dispositions contractuelles ») est éclairant : description « claire et exhaustive de tous les services et fonctions qui seront fournis par le tiers », indication de tous les lieux où services et fonctions sont fournis et les données sont traitées ou stockées, SLA complets, ou encore droit d’assurer un suivi permanent des performances du tiers, etc. Enfin, concernant les tiers prestataires critiques, ils entreraient directement sous le contrôle des autorités européennes de ­surveillance…

L’Union européenne a prévu de renforcer son cadre réglementaire concernant la sécurité et la résilience des systèmes d’information des entreprises, en réponse aux cyber-risques croissants. La France réfléchit pour sa part au « Cyberscore » des plateformes numériques grand public10. S’il est prévu que ces projets s’adressent à des entités précises, il y a fort à parier qu’un effet de « ruissellement » des exigences se crée à terme, les entreprises concernées l’imposant contractuellement à des entités a priori non concernées, lors d’appels d’offres. Il est donc urgent pour elles de comprendre ces textes et anticiper leurs éventuelles conséquences juridiques, ­organisationnelles et techniques. 

SUR L'AUTEUR. François Coupez est avocat à la Cour, fondateur du cabinet Level Up Legal. Certifié spécialiste en Droit des nouvelles technologies (CNB), ISO 27001 Lead implementer, 27701 Lead Implementer (niveaux avancés – LSTI) et DPO (CNIL - AFNOR et APAVE), il met sa double compétence en droit et sécurité des SI au service de nombreuses grandes entreprises depuis près de vingt ans, afin de les conseiller face à leurs contraintes réglementaires.

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

retrouvez l'intégralité du dossier Guide Innovation, Technologies & Propriété intellectuelle 2022

Retrouvez l'intégralité de notre guide Innovation, Technologies et propriété intellectuelle 2022 : interviews, portraits, classements et chroniques d'experts.
Sommaire
Trois nouveaux counsels chez De Pardieu Brocas Maffei

Trois nouveaux counsels chez De Pardieu Brocas Maffei

Plébiscitant la croissance interne, le cabinet indépendant De Pardieu Brocas Maffei élève Sandrine Azou, Côme Chaine et Thibaut Lechoux au rang de cou...

Deux nouveaux directeurs à l’AMF

Deux nouveaux directeurs à l’AMF

Maxence Delorme et Amélie du Passage accèdent respectivement à la direction des affaires juridiques et à la direction de l’instruction et du contentie...

Ayache se tourne vers la tech

Ayache se tourne vers la tech

Guillaume Seligmann et ses deux collaboratrices, Héloïse Masson et Laura Mallard, arrivent tout droit de Cohen & Gresser pour lancer le pôle techn...

Gide s’offre les services de Frédéric Mion

Gide s’offre les services de Frédéric Mion

Le géant français Gide accueille Frédéric Mion au sein de son bureau parisien. Il interviendra auprès des départements droit public, énergie, environn...

Joffrey Célestin-Urbain (Sisse) : "Bercy n’est pas dans une démarche punitive : nous sommes là pour aider les entreprises"

Joffrey Célestin-Urbain (Sisse) : "Bercy n’est pas dans une démarche punitive : nous sommes là pour...

Depuis le 1er avril, les entreprises confrontées à des demandes de discovery de la part d’autorités étrangères doivent désormais passer par le guichet...

Advant Altana renouvelle son comex

Advant Altana renouvelle son comex

Julien Balensi, associé depuis 2009 chez Advant Altana, intègre la gouvernance du cabinet. Il rejoint Mickaël d’Allende et François Muller qui siègent...

Retrouvez les classements issus du Guide Risk Management & Assurance 2022

Retrouvez les classements issus du Guide Risk Management & Assurance 2022

Après plus de trois mois d'enquête, la rédaction de Décideurs a le plaisir de vous partager ses classements des meilleurs professionnels en matière de...

Aston Avocats renforce sa pratique en droit social

Aston Avocats renforce sa pratique en droit social

Avocate spécialiste en droit du travail et de la sécurité sociale, Rosine de Matos est nommée counsel au sein du département social du cabinet Aston A...

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message