À retenir

Composé de 5 piliers d'exigence, le Digital Operation Resilience Act (DORA) entrera en vigueur le 17 janvier 2025.
Ce règlement formalise un cadre unique et détaillé en matière de résilience opérationnelle numérique pour les entités financières.
Les prestataires TIC travaillant pour le secteur financier sont également visés par ce règlement. Des leviers de conformité existent pour répondre à cet enjeu.

Le règlement DORA (Digital Opération Resilience Act) formalise un cadre unique et détaillé en matière de résilience opérationnelle numérique pour les entités financières. Il se compose de 5 piliers d’exigence  :

  1. Formaliser un cadre de gestion des risques;
  2. Contrôler la résilience;
  3. Surveiller les prestataires;
  4. Gérer les incidents;
  5. Partager l'information

À travers son troisième pilier d'exigence, ce règlement a une portée bien au-delà des acteurs du secteur financier, en intégrant des exigences auprès des prestataires TIC (Technologie de l'Information et de la Communication) travaillant pour le secteur. Les entités financières doivent en effet s'assurer non seulement de leur résilience opérationnelle mais également de celle de leur prestataire TIC. Cela représente un volume considérable d'organisations. 

En effet, selon une enquête de l'Autorité de contrôle prudentiel et de résolution (ACPR) de 2023, 96% des assureurs ont recours à de l'externalisation de fonctions critiques ou importantes. 

Dans ce cadre, les prestataires TIC travaillant pour les entités financières devront fournir des garanties et/ou de l'assurance en matière de résilience opérationnelle numérique. Cet enjeu est aujourd'hui un des facteurs de préoccupation majeure pour 50% des Responsables Sécurité des Systèmes d'Information (RSSI). 

 

DORA: Quels leviers de conformité pour les prestataires ?

La certification ISO 27001 et l’attestation SOC2 sont à cet effet des moyens de répondre à ce nouvel enjeu. Elles correspondent en effet à deux des normes de sécurité et de conformité les plus rigoureuses, conçues pour démontrer aux clients que leurs données sont protégées et que les risques sont maîtrisés.

Ces dernières confirment, auprès des parties prenantes d’une organisation, la mise en place d’un cadre de gestion des risques impliquant des opérations de contrôle des mesures de sécurité en place, un suivi des prestations, ainsi qu’une gestion des incidents à l’état de l’art ; à l’instar des principaux piliers d’exigence de DORA.
 

La certification ISO 27001 : essentielle pour la gestion des risques

La certification ISO 27001 offre la garantie de la mise en place d’un système de management robuste au sein d’une organisation permettant de maîtriser les risques liés à la disponibilité, l’intégrité et la confidentialité des données.

La démarche de certification est normée mais impose un travail conséquent de formalisation (politique, procédure, etc.), de suivi et de mise à jour dans le temps. Elle nécessite entre six mois et un an pour sa mise selon la complexité des organisations et implique un certain nombre d’audits à fréquence régulière.
 

L’attestation SOC2, un audit axé sur la sécurité des données

De son côté, l’attestation SOC2 (norme américaine formalisée par l’AICPA - American Institute of Certified Public Accountants) est un rapport d’audit à destination d’une société utilisatrice des services sous-traités ; focalisée sur les contrôles spécifiquement associés à la sécurité (disponibilité, intégrité, confidentialité et le respect de la vie privée) sur le processus supporté par le prestataire.

Si l’obligation de formalisation est moins prégnante que pour la certification ISO 27001, la fourniture de preuve auditable dans le temps est en revanche beaucoup plus forte. Elle suppose ainsi des processus formalisés et/ou industrialisés. L’audit d’attestation SOC2 dure entre un et trois mois et doit-être renouvelée tous les ans pour une attestation de type 2 (le SOC2 type 1 fournit un rapport d’assurance sur le design du dispositif de sécurité mis en place avec des tests unitaires, alors que le SOC2 fournit un rapport d’assurance sur une durée de 6 à 12 mois avec des tests par échantillonnage sur la période).
 

ISO 27001 et SOC 2 : des différences ?

Ces deux normes sont ainsi assez similaires et surtout complémentaires. 

Selon un mapping de l’AICPA3, 80% recouvrement existe entre les 2 normes. Par ailleurs, les coûts liés à leur obtention et maintien sur une période de 3 à 5 ans sont assez similaires. Alors le choix entre les deux normes peut être difficile pour une organisation. 

 

DORA : Quel choix opérer entre ces deux garanties de sécurité ?

Les entités financières étant plus proches des normes anglosaxonnes, l’attestation SOC2 aura plus de pertinence auprès de ces dernières. Néanmoins, l’obtention d’une attestation SOC2 suppose la mise en place préalable d’un SMSI (Système de Management de la Sécurité des Systèmes d’Information) donc l’implémentation du référentiel ISO 27001 ou d’une autre norme de SMSI internationale (ex : NIST - National Institute of Standards and Technology).

Ainsi, dans l’idéal, la combinaison d’une certification ISO27001 et d’une attestation SOC2 nous paraît l’idéal pour répondre aux enjeux DORA. 

Néanmoins ces démarches normatives ayant un budget non négligeable, pour les plus petites structures, la mise en place d’un SMSI basé sur ISO27001 (sans certification) et l’obtention d’une attestation SOC2 est une démarche acceptable. 

Les experts sécurité de l’équipe IT et Risk Advisory, dédiés à l’accompagnement sur ces normes, se tiennent à votre disposition pour vos projets de certification ISO 27001 et/ou d’attestation SOC2.
 

Les experts RSM accompagnent les entreprises de tous les secteurs dans l'évaluation et la maîtrise des risques de fraude et d’escroquerie. Nous avons la capacité de vous proposer des solutions rapides et efficace en matière de prévention : diagnostic flash, formation des collaborateurs, sécurisation des processus.

Découvrez l'offre de services Risk Advisory.