DORA : pour une gestion de crise plus structurée 

Si ces plans de surveillance, de continuité et reprise d’activité, et de gestion de crise se fondent en général sur de bonnes pratiques reconnues, ils ne sont ni systématiques ni homogènes à l’échelle sectorielle. En cas d’incident, les clients, les collaborateurs et les partenaires peuvent rester dans le flou concernant sa nature, ses impacts et la durée de sa résolution comme l’ont encore montré dernièrement des dysfonctionnements affectant les systèmes de paiement d’acteurs majeurs.  

Avec le règlement européen DORA (Digital Operational Resilience Act), la capacité de gestion de crise devient une obligation, poussant le secteur financier à se structurer sur les plans opérationnels et organisationnels. L’objectif est à la fois : 

• de renforcer la protection des parties prenantes au niveau de chaque établissement,  
• de renforcer la sécurité collective en ayant une visibilité accrue et plus précoce sur des incidents qui pourraient affecter tout le secteur,   
• de répondre à un besoin d’harmonisation rendu fondamental par le caractère transfrontalier et interdépendant des risques. Ce qui a notamment fait défaut lors de cyberattaques de grande envergure, telles que les rançongiciels NotPetya et WannaCry qui ont touché plusieurs milliers de sociétés dans le monde. 

DORA entend donc faire progresser les établissements financiers en matière de gestion de crise en ce qui concerne le partage d’information, la communication et la nécessité absolue de s’entraîner.  

Une remontée d’information formalisée.

DORA formalise la notification aux régulateurs nationaux en cas d’incident (en France l’ACPR, l’Autorité de Contrôle Prudentiel et de Résolution et l’AMF, l’Autorité des Marchés Financiers), en demandant à ce qu’un certain nombre d’éléments techniques standards soient systématiquement rapportés aux autorités européennes de surveillance. De cette manière, chaque acteur devient un capteur d’indicateurs de compromission (IoC), contribuant à accroître la connaissance des menaces (threat intelligence) et permettant de prévenir au plus tôt le reste de la place financière. 

Cette grille, dont le contenu attendu est précisé par les textes d’application, fait évoluer les rapports d’incidents que les entreprises produisaient jusqu’ici, souvent avec un prisme essentiellement technique et interne.

Outre les caractéristiques et les impacts techniques de l’incident, il faudra en effet être capable d’évaluer tout ce qu’il entraîne pour l’organisation et ses parties prenantes : coûts, impacts sur les opérations et les affaires, conséquences pour les clients et les collaborateurs… La DSI et les risques ne pouvant apprécier seuls l’étendue de ces répercussions, le règlement DORA pousse donc à ce que le risque numérique soit désormais pris en compte de façon globale et transverse au sein de toute l’organisation, sous l’œil et le patronage de la direction générale.

L’importance clé de la communication.

DORA met également l’accent sur l’importance de la communication en cas de crise. Le texte impose notamment de définir une stratégie dédiée et de désigner un responsable pour communiquer en cas de crise.  

Avec cette obligation, l’établissement qui ne communiquera pas, ou mal, en cas d’incident sera décrédibilisé auprès de ses pairs, des autorités de régulation et, surtout, du public.

Pour ne pas se retrouver dans cette situation, il est fondamental d’anticiper divers scénarios de crise et de préparer pour chacun d’eux des éléments de langage adéquats, de pré-rédiger des contenus et d’identifier les destinataires (clients, autorités, médias, personnel…) de la communication. On veillera aussi à adapter les messages à ces cibles tout en restant cohérent avec le positionnement et le discours usuel de la marque (à l’inverse, on sera aussi attentif à éviter dans la communication ordinaire de l’entreprise tout élément qui pourrait se retourner contre elle en cas crise).

Les organisations devront aussi veiller à disposer d’un outillage approprié et particulièrement robuste. Celui-ci doit en effet être imperméable à la crise pour que les acteurs clés puissent quoi qu’il arrive collaborer et diffuser leurs messages en interne et en externe.  

S’entraîner, une nécessité !

Aucune préparation n’est toutefois complète sans entraînement ni confrontation avec la réalité. L’ensemble de la procédure de gestion de crise devra donc être testée dans des conditions les plus proches possibles d’un véritable incident, et les acteurs devront s’exercer pour tenir efficacement leur rôle le moment venu.

Des enseignements devront être tirés de ces entraînements pour compléter et ajuster le dispositif afin d’éviter les mauvaises surprises. Enfin, l’implication et le sponsorship de la direction sont particulièrement importants pour que chacun soit mobilisé et contribue à ces efforts de préparation avec le sérieux qui s’impose.

Comme sur les autres aspects de la résilience face au risque numérique, le règlement européen DORA pourrait préfigurer pour le secteur financier en matière de gestion de crise ce que NIS2 demandera à l’ensemble des entreprises. Et, ici aussi, cela doit être moins perçu comme une contrainte que comme l’opportunité de structurer, renforcer et harmoniser les pratiques pour mettre en résonance protections individuelle et collective.