Rapport DORA sur les incidents ICT : ce que les entreprises de l'UE doivent savoir
Les trois autorités européennes de surveillance, l'ABE, l'EIOPA et l'ESMA, ont publié conjointement le premier rapport annuel sur les incidents majeurs liés aux ICT en vertu du règlement sur la résilience opérationnelle numérique (DORA). Le constat principal est frappant : environ un tiers des 3 383 incidents majeurs signalés par les entités financières de l'UE ont eu un impact transfrontalier, révélant à quel point les infrastructures partagées et les services externalisés ont tissé ensemble les profils de risque opérationnel des entreprises. Le rapport souligne également la menace croissante posée par les outils pilotés par l'IA très performants et appelle les entités financières à relever leurs normes de cybersécurité en conséquence.
Ce que DORA exige et pourquoi ce rapport existe
L'article 22(2) de DORA oblige les AES à publier chaque année un résumé des incidents majeurs liés aux ICT dans l'ensemble du secteur financier de l'UE. Chaque édition doit couvrir au minimum : le nombre d'incidents, leur nature, leur impact opérationnel et sur la clientèle, les mesures correctives prises et les coûts encourus. Ce premier rapport remplit cette obligation légale et établit la base de référence par rapport à laquelle les années futures seront mesurées.
Comment DORA définit un incident ICT majeur
En vertu de DORA, un incident lié aux ICT est tout événement unique non planifié, ou série d'événements liés, qui compromet la sécurité des réseaux et des systèmes d'information et affecte négativement la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données ou des services. Un incident ICT majeur est un incident qui a un impact négatif élevé sur les systèmes soutenant des fonctions critiques ou importantes. Cette distinction est importante pour la classification, les délais de notification et l'enregistrement des mesures correctives que les entreprises doivent tenir.
Principales conclusions du premier rapport annuel
Trois thèmes se dégagent des données.
L'exposition transfrontalière est déjà significative
Sur les 3 383 incidents majeurs enregistrés, environ un sur trois avait une dimension transfrontalière. Les AES attribuent cela aux infrastructures interconnectées et à l'utilisation commune de prestataires de services tiers partagés. L'implication est qu'une perturbation chez un seul fournisseur de technologie ou de cloud peut se propager simultanément à plusieurs entités financières dans différents États membres.
Les défaillances système et les événements externes génèrent le volume
Les causes dominantes étaient les défaillances système et les événements externes plutôt que les attaques délibérées. Cela renforce l'accent mis par les régulateurs sur la gestion des risques liés aux tiers, la supervision efficace des services externalisés et la mise en place dès le départ d'arrangements clairs en matière de réponse aux incidents et de remédiation avec les prestataires de services.
Les incidents de cybersécurité sont une part plus petite mais croissante
Les incidents liés à la cybersécurité représentaient environ 10 % du total. L'impact direct sur les clients et les transactions était généralement limité dans l'ensemble des données. Les AES considèrent néanmoins ce chiffre de 10 % comme une préoccupation prioritaire, notamment parce que les outils d'attaque pilotés par l'IA gagnent en capacité. Les entités financières sont tenues de répondre à cette menace croissante par des améliorations équivalentes de leurs défenses.
Ce que le rapport signifie pour les équipes de conformité
Les entreprises soumises à DORA, qui inclut les établissements de crédit, les entreprises d'investissement, les établissements de paiement, les prestataires de services sur crypto-actifs et une série d'autres entités réglementées, font face à des obligations concrètes que ce rapport renforce. Comprendre comment les règles de risque ICT de DORA affectent les flux de comptabilité crypto est désormais essentiel pour toute entreprise détenant ou traitant des actifs numériques.
Le risque lié aux tiers est le point de pression
La concentration des incidents transfrontaliers remontant à des infrastructures partagées indique exactement aux équipes de conformité et de gestion des risques où concentrer leurs efforts. Les arrangements contractuels avec les prestataires de services ICT tiers, le suivi des SLA, les stratégies de sortie et les évaluations du risque de concentration doivent tous être à jour et testés. Les régulateurs utiliseront les rapports annuels ultérieurs pour suivre si les entreprises ont agi.
Le paysage réglementaire plus large des actifs numériques dans l'UE évolue également rapidement. Les législateurs européens évaluent les cadres réglementaires pour la DeFi, le staking et les NFT, ce qui étendra les obligations de résilience opérationnelle au domaine des actifs numériques au fil du temps.
FAQ
Quelles entités doivent déclarer les incidents ICT majeurs en vertu de DORA ?
DORA s'applique à un large éventail d'entités financières de l'UE, y compris les banques, les entreprises d'investissement, les établissements de paiement et de monnaie électronique, les prestataires de services sur crypto-actifs, les entreprises d'assurance et certains prestataires de services ICT tiers désignés comme critiques. Chaque entité concernée doit classer, gérer et notifier les incidents ICT majeurs à son autorité compétente dans des délais définis.
En quoi un incident ICT majeur diffère-t-il d'un incident ICT standard en vertu de DORA ?
Un incident ICT standard est tout événement non planifié qui compromet la sécurité des réseaux et des systèmes d'information avec un effet négatif sur les données ou les services. Il devient un incident majeur lorsque l'impact négatif est jugé élevé et que les systèmes affectés soutiennent des fonctions critiques ou importantes de l'entité. La classification détermine les obligations de notification et le niveau de contrôle réglementaire qui s'ensuit.
Que signifie concrètement « impact transfrontalier » pour les entreprises ?
Un incident a un impact transfrontalier lorsqu'il affecte les opérations, les clients ou les services dans plus d'un État membre de l'UE, généralement parce que l'infrastructure sous-jacente ou le prestataire tiers concerné sert des entités dans plusieurs juridictions. Les AES utilisent cette classification pour évaluer le risque systémique et coordonner les réponses de surveillance entre les autorités compétentes nationales.
Quelles actions les entreprises doivent-elles entreprendre suite à ce rapport ?
Au minimum, les entreprises doivent examiner leurs registres de risques liés aux tiers ICT, vérifier que les critères de classification des incidents sont alignés sur les définitions de DORA, confirmer que les procédures et délais de notification sont documentés et testés, et évaluer si les contrôles de cybersécurité actuels sont calibrés pour les scénarios d'attaque assistés par l'IA. Les conclusions des AES sur les défaillances système soulignent également la nécessité d'une surveillance contractuelle et opérationnelle renforcée des services externalisés.
Les AES publieront-elles d'autres rapports DORA sur les incidents ?
Oui. L'article 22(2) de DORA impose un rapport annuel. Chaque édition successive s'appuiera sur la base de référence établie par cette première publication, permettant aux régulateurs et au marché de suivre les tendances en matière de volume, causes, propagation transfrontalière et efficacité des efforts de remédiation dans l'ensemble du secteur financier de l'UE.
Source : ESMA
