Exigences DORA : comment les logiciels de gestion des exigences aident les institutions financières

Nous travaillons avec de nombreuses équipes du secteur des services financiers, et une chose est claire : la pression pour maintenir la stabilité en cas de problèmes techniques ou d'incidents cybernétiques est aujourd'hui plus forte que jamais.

Les dirigeants des institutions financières nous confient qu'ils ne s'inquiètent pas seulement des pannes du système. Ils s'inquiètent surtout de la preuve. La preuve que leurs processus, leurs contrôles et leurs registres résisteront à l'épreuve des audits.

C'est là que DORA change la donne. Elle établit un ensemble de règles communes définissant la manière dont les établissements financiers doivent se préparer aux incidents informatiques, y réagir et s'en remettre.

Cet article explique ce qu'est DORA, son importance pour chaque établissement financier, ce qu'il attend en matière de gestion des exigences, et comment un logiciel de gestion des exigences peut y contribuer.

Présentation de la loi sur la résilience opérationnelle numérique (DORA)

La loi sur la résilience opérationnelle numérique (DORA) est un règlement de l'Union européenne qui vise à protéger les réseaux et les systèmes d'information utilisés par les établissements financiers.

La directive DORA est entrée en vigueur en janvier 2023 et a été pleinement appliquée à partir de 2025. Ainsi, toutes les entreprises opérant dans le secteur financier en Europe, notamment les banques, les assureurs, les prestataires de services de paiement, les entreprises de technologie financière et les prestataires tiers de services TIC (technologies de l'information et de la communication) pour le compte d'organismes financiers, doivent se conformer aux exigences de la directive DORA. 

De plus, DORA n'est pas une simple note d'orientation, mais un ensemble de règles juridiquement contraignantes qui définit la manière dont les établissements financiers de l'UE doivent gérer les risques liés aux technologies de l'information et de la communication (TIC) et le signalement des incidents, réaliser des tests techniques et surveiller les prestataires de services TIC tiers afin de renforcer la stabilité et la résilience des systèmes financiers.  

La réglementation DORA oblige les équipes financières à s'appuyer sur des processus structurés, des registres précis et des justificatifs valables en cas d'audit. Les équipes ne peuvent donc pas se contenter de méthodes informelles et de politiques disparates.

Les cinq piliers de DORA

Le cadre DORA repose sur cinq piliers fondamentaux, chacun définissant des obligations claires pour les établissements financiers et leurs partenaires informatiques tiers. Ces piliers se complètent mutuellement et offrent une approche structurée de la gestion informatique qui apporte plus de clarté et un meilleur contrôle opérationnel.

Gestion des risques liés aux TIC

La gestion des risques liés aux technologies de l'information et de la communication (TIC) est un élément central de la conformité à la directive DORA, qui impose aux établissements financiers d'identifier, d'évaluer et d'atténuer de manière ciblée les risques liés aux TIC. Elle encourage les établissements financiers à mettre en place un cadre permettant de surveiller en permanence les systèmes TIC et d'élaborer des stratégies d'atténuation des risques. Son objectif principal est d'assurer la stabilité du système, de détecter les problèmes mineurs à un stade précoce et de prévenir les catastrophes ou les pannes.

Signalement d'incidents

Le « signalement des incidents » constitue le deuxième pilier de la directive DORA, qui vise à normaliser le processus de signalement des incidents au sein des organismes financiers européens. Il oblige les entités financières à établir des rapports transparents qui expliquent clairement la cause et les étapes reproductibles de tout incident lié aux technologies de l'information et de la communication. Cela est essentiel pour instaurer la confiance et expliquer clairement l'incident aux parties prenantes et aux autorités de régulation.

Tests de résilience opérationnelle numérique

DORA encourage les établissements financiers à vérifier leurs systèmes au moyen de tests réguliers, de tests d'intrusion axés sur les menaces (TLPT), de tests de résistance, etc. Ces tests permettent de s'assurer que leurs systèmes de reprise, leurs plans de secours et leurs contrôles techniques fonctionnent dans des conditions réelles.

Contrôle des prestataires informatiques tiers

En Europe, de nombreuses institutions financières font appel à des prestataires de services ICP tiers, et ce quatrième pilier de la directive DORA met l'accent sur la gestion des risques liés à ces prestataires externes. La directive DORA impose aux entreprises de surveiller ces partenaires avec le même soin que celui qu'elles accordent à leurs systèmes internes. Cela comprend l'examen des contrats, le contrôle des performances, l'évaluation des risques et la mise en place de stratégies de sortie appropriées. L'objectif est d'éviter toute interruption de service due à des problèmes liés aux prestataires.

Partage d'informations

Le cinquième pilier encourage les établissements financiers à partager des informations relatives aux cybermenaces et aux incidents de cybersécurité entre organisations de confiance. Ces échanges doivent respecter des règles convenues et emprunter des canaux sécurisés. L'objectif de ce partage d'informations est de sensibiliser aux incidents et d'améliorer la résilience collective.

Ce que DORA attend en matière de documentation et d'exigences

DORA accorde une grande importance à la manière dont les institutions financières définissent, suivent, documentent et gèrent leurs besoins en matière de technologies de l'information et de la communication (TIC). Voici ce qu'elle attend de toute organisation financière en matière de gestion des besoins :

• Exigences structurées : DORA attend des exigences bien définies et structurées. Chaque exigence doit être assortie de critères d'acceptation clairement définis.
• Liens de dépendance : chaque exigence doit être reliée à des exigences de niveau supérieur, à des tâches, à des cas de test ou à des étapes techniques qui permettent sa mise en production.
• Cadre documenté de gestion des risques informatiques : chaque établissement financier doit documenter son cadre de gestion des risques informatiques et conserver des traces des mises à jour de version, des personnes ayant approuvé les modifications, ainsi que de tous les autres éléments.
• Traçabilité des enregistrements : les auditeurs doivent pouvoir suivre un chemin clair, du risque à l'exigence, puis au contrôle et enfin au résultat du test. Cela signifie que l'ensemble de la chaîne doit rester cohérente et ne pas être stockée dans des fichiers distincts.
• Modèles standardisés : pour les documents, les rapports d'audit, les cas de test, les exigences, etc., les organisations sont tenues d'utiliser des modèles prédéfinis afin de garantir la cohérence de la gestion des exigences au sein des établissements financiers.
• Mises à jour en temps réel : dès qu'une exigence change, les exigences et les documents associés doivent être mis à jour afin d'assurer la cohérence de l'ensemble.
• Cartographie des fournisseurs: chaque prestataire externe doit se voir attribuer des exigences correspondant à ses missions, aux risques associés et à l'étendue de ses services. Cela permet d'assurer un contrôle efficace.
• Chaîne de preuves: les établissements financiers sont tenus de fournir une chaîne de preuves complète pour chaque incident. Ils doivent également consigner leurs plans, la manière dont ils les ont mis en œuvre et testés, ainsi que la façon dont ils ont préparé la documentation en vue d'un examen ultérieur.

Pour répondre aux exigences DORA mentionnées ci-dessus, les équipes ont non seulement besoin d'une stratégie bien structurée, mais aussi d'une plateforme de gestion des exigences. C'est ce dont nous allons parler dans la section suivante.

Comment un logiciel de gestion des exigences tel que Modern Requirements4DevOps facilite la mise en conformité avec la norme DORA

Modern Requirements4DevOps est un outil de gestion des exigences conçu pour les secteurs fortement réglementés, tels que l'assurance, la finance, le secteur bancaire, le secteur public, etc., qui s'intègre directement à Azure DevOps. Voici comment il permet de se conformer aux exigences DORA :

• Offre une source unique d'informations fiables : comme Modern Requirements4DevOps s'intègre directement à votre espace de travail Azure, vous disposez de toutes les fonctionnalités de gestion des exigences en un seul endroit et vous n'avez pas besoin de passer d'un outil à l'autre.
• Traçabilité entre les systèmes et les contrôles des risques : DORA attend des organisations qu'elles relient chaque exigence à des cas de test, aux tâches pertinentes et à l'ensemble du processus. MR4DevOps permet de créer des matrices horizontales et croisées en un seul clic et de visualiser les relations entre les éléments de travail existants.
• Gérer l'évolution des exigences réglementaires : DORA prévoit d'enregistrer chaque modification apportée aux exigences. La fonctionnalité de contrôle des versions de MR4DevOps aide les équipes à consulter l'historique des exigences ou à documenter les mises à jour. De plus, les versions de référence permettent aux équipes de comparer les anciennes et les nouvelles versions. Enfin, la fonctionnalité d'analyse d'impact aide à déterminer comment une modification apportée à un élément de travail particulier peut affecter d'autres éléments de travail existants.
• L'IA au service de la gestion des exigences : Copilot4DevOps s'appuie sur Modern Requirements4DevOps, un assistant IA dédié à la gestion des exigences. Il aide à rédiger les spécifications et les cas de test afin qu'aucune exigence ne soit omise. Il permet également une analyse des exigences basée sur l'IA, aidant ainsi les équipes à s'assurer que toutes les exigences informatiques sont conformes à la norme DORA.
• Un suivi des validations pour chaque modification: MR4DevOps propose une fonctionnalité de gestion des révisions qui enregistre la signature électronique des personnes chargées de valider les modifications ainsi que le calendrier de celles-ci. Cela répond aux attentes de DORA en matière de rôles clairement définis, de mises à jour traçables et de décisions vérifiables.
• Modèles uniformes pour les processus liés aux risques, aux tests et aux incidents : la fonctionnalité SMartDocs permet aux équipes de créer des documents dynamiques dans lesquels elles peuvent intégrer par glisser-déposer les exigences existantes. Ainsi, dès qu'une exigence change, le document est automatiquement mis à jour. Elle propose également des modèles prédéfinis pour gérer la conformité DORA, ce qui facilite la production de documents uniformes.
• Automatisation de la préparation aux audits et de la collecte des preuves : lors des tests ou de l'analyse des incidents, les fichiers justificatifs peuvent être joints directement à l'exigence ou au contrôle correspondant. Au moment de l'audit, les autorités de contrôle peuvent consulter l'ensemble des preuves dans une seule vue, plutôt que de devoir les rechercher dans plusieurs dossiers.

Ainsi, Modern Requirements4DevOps peut aider n'importe quelle institution financière à mettre son système informatique en conformité avec la norme DORA.

Si votre organisation se prépare à la mise en œuvre de la DORA ou cherche à renforcer ses contrôles opérationnels, c'est le moment idéal pour moderniser votre processus de gestion des exigences en profitant d'un essai gratuit de 30 jours de Modern Requirements4DevOps.