Cette analyse se penche sur la Circulaire FINMA 2023/1 et la DORA (Digital Operational Resilience Act), les examinant du point de vue d'une entité financière suisse mettant activement en œuvre des mesures pour se conformer à la Circulaire.
L'objectif est d'identifier les lacunes de conformité restantes avec la DORA, une loi européenne significative détaillant les exigences de sécurité pour les réseaux et les systèmes d'information dans le secteur financier et les fournisseurs de services informatiques tiers critiques.
Les domaines clés partagés par les deux réglementations comprennent les mesures générales de protection, la détection et la surveillance, la gestion des incidents, la continuité des activités et la reprise après sinistre, la résilience opérationnelle, la gestion des risques liés aux tiers, et des réglementations spécifiques pour les entités financières plus petites.
Les mesures générales de protection dans les deux cadres soulignent l'importance de sécuriser les données pendant la transmission ou le stockage et de prévenir l'accès, la modification ou la destruction non autorisés.
La DORA introduit des exigences supplémentaires, telles que la mise en place de mécanismes d'authentification forte, le déploiement de clés cryptographiques pour les informations sensibles, et l'application régulière de correctifs logiciels et de mises à jour système.
Les obligations de détection et de surveillance dans la DORA nécessitent l'établissement de mécanismes de contrôle multicouches, des tests réguliers des processus de détection, et l'affectation de ressources suffisantes pour surveiller l'activité des utilisateurs, les anomalies des technologies de l'information et les incidents, en particulier ceux liés aux menaces cybernétiques.
Les exigences en matière de gestion des incidents comprennent le maintien d'un plan de gestion de crise, des tests réguliers, et la conservation de dossiers accessibles des activités avant et pendant les événements perturbateurs. Des examens post-incident sont mandatés pour évaluer l'efficacité du plan de réponse aux incidents, en mettant l'accent sur la promptitude, l'analyse médico-légale, l'escalade des incidents, et la communication, entre autres facteurs.
Les obligations de continuité des activités et de reprise après sinistre impliquent d'avoir un Plan de Continuité des Activités (PCA) régulièrement examiné et testé.
La DORA stipule également la maintenance de capacités informatiques redondantes pour garantir que les besoins commerciaux peuvent être satisfaits en cas de perturbation.
La résilience opérationnelle impose des tests annuels sur tous les systèmes informatiques soutenant les fonctions critiques selon la DORA. De plus, des exigences spécifiques sont détaillées pour les dépositaires centraux de titres et les contreparties centrales, y compris des évaluations de vulnérabilité avant le déploiement de nouvelles applications ou composants d'infrastructure.
Dans le domaine de la gestion des risques liés aux tiers, la DORA spécifie des dispositions contractuelles relatives aux droits de résiliation, aux descriptions de niveau de service, et aux exigences en matière de sous-traitance.
Les deux ensembles de réglementations offrent une flexibilité pour les entités financières plus petites. La Circulaire FINMA 2023/1 propose des exceptions pour certaines banques et sociétés de valeurs mobilières, tandis que la DORA exempte des organisations spécifiques mais leur impose un cadre simplifié de gestion des risques informatiques.
En conclusion, tandis que la Circulaire FINMA 2023/1 adopte une approche de haut niveau, la DORA fournit des spécifications détaillées. Les entités conformes à la Circulaire peuvent avoir abordé la plupart des aspects de la DORA, mais une revue approfondie est nécessaire pour assurer une conformité totale.
Vous souhaitez en savoir plus?
Contactez KP Genève et bénéficiez de notre expertise ainsi que de notre réseau.
