La technologie atteint les acteurs bancaires et financiers de plusieurs façons : non plus subie, elle constitue le plus souvent une opportunité à saisir : l’intelligence artificielle, la blockchain, la numérisation croissante, la « tokénisation », voire le métavers constituent les composantes les plus récentes d’une longue évolution du secteur. Dans le même temps, cette interdépendance avec la technologie peut affecter leur résilience, et provoquer des conséquences en chaîne souvent graves pour les clients: fuite et effacement des données, impossibilité d’accès aux services bancaires de base, etc.

Réponse réglementaire

Le Règlement DORA (1) offre ainsi une réponse règlementaire à ce risque, renforcé par l’essor de la digitalisation, des offres de produits en ligne et – surtout – la « sophistication » plus grande des cyber-attaques. Compte tenu de ces risques à portée systémique, il est apparu fondamental d’harmoniser les exigences des Etats membres – certains étant soumis à des règles nationales, telles que le celles issues du règlement général de l’AMF – et permettre une transparence des informations sur le menaces cyber.

Plus de vingt mille institutions (banques, assureurs, établissements de paiements, etc.) sont concernées par ce texte! Viendront les rejoindre de très nombreux prestataires de services de technologie de l’information et de la communication (TIC). Parmi ceux-ci figureront les « TIC critiques » identifiés et supervisés comme tels, alors qu’ils ne l’étaient le plus souvent que par le prisme de l’externalisation. Nombre d’établissements, ou leur groupe, à la fois clients des prestataires et eux-mêmes TIC, relèveront d’ailleurs des deux catégories.

Obligations très larges

Les obligations mises à la charge des établissements sont très larges. Ainsi, la menace cybernétique conduit à un régime de déclaration d’incidents majeurs liés aux technologies. De même, des tests de résilience opérationnelle voire de pénétration informatique sont prévus. Un volet du Règlement couvre spécialement la gestion et le suivi du risque de prestataires tiers requérant une supervision plus granulaire qu’en régime d’externalisation. Il s’ensuit une revue corollaire de la cartographie des risques et de l’ensemble des procédures de gestion des différentes classes de risques.

La gestion des risques de technologie nécessite la mise en œuvre d’un grand nombre de mesures d’ici à l’entrée en application effective du texte en 2025 : il en est ainsi de la mise en place d’un registre recensant les différents prestataires et contrats entrant dans le champ du Règlement, distinguant les services critiques des autres, aux côtés de l’actuel registre des activités externalisés. De même, l’édiction d’un cadre contractuel contraint les acteurs à devoir ajuster leurs modèles et à négocier les clauses concernées, potentiellement génératrices de doublons avec les clauses d’externalisation.

Cadre pour le partage d'informations

L’une des mesures les plus remarquées du Règlement demeure cependant l’élaboration d’un cadre pour le partage d’informations entre institutions financières sur les menaces cybernétiques. Celui-ci, dont on attend les mesures d’exécution précises, est destiné à permettre de mieux détecter, anticiper et de se défendre contre de telles menaces. Des déclarations d’incidents l’accompagnent.

DORA s’intègre en réalité dans la stratégie même de l’établissement. C’est sa direction qui approuve ainsi le plan de continuité et de reprise des activités, la politique contractuelle et les risques induits, le suivi des incidents, l’approbation et l’ajustement des exigences budgétaires qu’il lui reviendra d’allouer, la mise en œuvre systématique des leçons qu’elle retire des incidents, les obligations de formation y compris bien entendu de la direction elle-même, le pilotage des impacts en fonds propres (en fonction des mesures de réduction du risque opérationnel notamment), etc.

Principe de précaution

On peut, par ailleurs, plus classiquement, percevoir en DORA une nouvelle manifestation de l’essor du principe de précaution dans notre droit. La mise en œuvre des obligations issues de ce règlement, dont la violation est sanctionnée disciplinairement et civilement en vertu des régimes nationaux de responsabilité civile, nécessite pour les établissements concernés d’ajuster au fil de l’eau les activités et produits à leur niveau de connaissance sur les risques technologiques. Se trouve cependant posée la question connexe de l’assurabilité des risques technologiques, dont l’élévation chronique du coût soulève le débat de la charge finale de l’imputabilité des dommages. Le véritable enjeu de la résilience ne se situe-t-il cependant pas là ?

(1) Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (« DORA » ou Digital Operational Resilience Act en anglais).