Conformité avec le règlement sur la résilience opérationnelle numérique (DORA)

Avant-propos

Le règlement sur la résilience opérationnelle numérique (ou DORA) est un cadre réglementaire appliqué à l’échelle de l’Union européenne (UE). Il vise à améliorer la résilience opérationnelle numérique des établissements de services financiers (FSI) qui exercent leurs activités au sein de l’UE. Ce règlement garantit que ces entités peuvent résister, répondre et rebondir face à tous les types de perturbations et de menaces liées aux technologies de l’information et de la communication (TIC). Le règlement DORA s’applique à un large éventail d’entités financières opérant au sein de l’UE, ainsi qu’aux prestataires tiers de services TIC critiques pour ces entités financières. Il est entré en vigueur le 17 janvier 2025.

Compte tenu du rôle de Genesys en tant que prestataire tiers de services TIC critiques, nous savons que notre mise en conformité avec le règlement DORA aide nos clients et partenaires financiers à répondre à leurs propres obligations réglementaires tout en renforçant leur résilience. Dans le cadre de ce modèle de responsabilité partagée, notre objectif est de clarifier notre approche et de démontrer notre capacité à maintenir efficacement la continuité et la sécurité de nos services.

Chez Genesys, l’engagement en matière de conformité remonte à loin, avec la création d’un groupe de travail sur la réglementation. Cette équipe pluridisciplinaire, soutenue par la direction, est chargée de surveiller les évolutions réglementaires et d’assurer la mise en œuvre de tous les contrôles nécessaires dans l’ensemble de notre entreprise. Le groupe de travail veille à ce que nos pratiques opérationnelles restent conformes aux exigences des réglementations applicables à mesure qu’elles évoluent, y compris le règlement DORA, afin de faciliter les parcours de mise en conformité de nos clients et partenaires.

Genesys respecte un cadre de sécurité et de conformité robuste, validé en permanence par le biais d’audits réalisés par des tiers indépendants. Ces audits servent à confirmer la sécurité, la confidentialité et la résilience de nos solutions. Genesys comprend les difficultés auxquelles les établissements de services financiers sont confrontés pour répondre aux exigences réglementaires. C’est pourquoi nous disposons d’un centre d’excellence (COE) pour les centres de contact en tant que service (CCaaS), composé de professionnels de la sécurité, de la confidentialité et de la conformité. Ils fournissent des directives structurées grâce à une collaboration étroite avec les différentes unités opérationnelles et parties prenantes. Genesys a également développé un addenda dédié aux services financiers (FSA), conçu pour répondre aux exigences de conformité de nos clients et des partenaires financiers concernés, y compris ceux liés par des contrats prestataires.

Genesys encourage les clients et partenaires désirant un engagement plus approfondi ou des conseils personnalisés à contacter leur chargé de clientèle ou leur Customer Success Manager pour une mise en relation avec le COE. Nos experts sont prêts à proposer des idées et des recommandations détaillées pour faciliter la mise en conformité avec les obligations du règlement DORA et améliorer la résilience globale de nos écosystèmes numériques.

Introduction

Cet article fournit un aperçu complet des principales exigences du règlement DORA et explique comment Genesys aligne ses activités sur ces principes. Il décrit les cinq piliers du cadre DORA (gestion des risques liés aux TIC, déclaration d’incidents, résilience opérationnelle, gestion des risques liés aux tiers, partage et supervision des informations) et leur intégration aux pratiques opérationnelles de Genesys. Ainsi, Genesys répond aux exigences du règlement DORA et aide ses clients et partenaires financiers à bénéficier d’un prestataire de services de confiance, engagé en faveur de la résilience opérationnelle, de la sécurité et de la protection des données.

Cet article détaille également les certifications, les programmes et la stratégie de conformité de Genesys. Enfin, il répond aux questions fréquemment posées concernant le règlement DORA.

Comprendre les cinq piliers du règlement DORA

Gestion des risques liés aux TIC : chez Genesys, nous utilisons des stratégies de pointe pour gérer les risques liés aux TIC, en veillant à ce que les données et les services de nos clients restent sécurisés et résilients face aux cybermenaces et aux perturbations opérationnelles.
Déclaration d’incidents : nos mécanismes de déclaration d’incidents sont robustes et nous permettent d’informer rapidement les entités concernées en cas de perturbation importante, ainsi que de fournir à nos clients des informations rapides et transparentes sur la résolution des incidents.
Résilience opérationnelle : la résilience est au cœur de la conception des services de Genesys. Nous avons adopté des tests de résilience complets, comme l’analyse de scénarios et un plan de continuité d’activité (PCA), et ce afin de fournir un service ininterrompu et une disponibilité de premier ordre même face à des défis imprévus.
Gestion des risques liés aux tiers : Genesys a adopté une approche proactive de la gestion des risques au sein de sa chaîne d’approvisionnement. Nous aidons nos sous-traitants et prestataires tiers à s’aligner sur nos initiatives de conformité afin de favoriser une intégration transparente des stratégies de résilience.
Partage et supervision des informations : dans le cadre de notre engagement en faveur de l’excellence opérationnelle, nous maintenons un dialogue continu avec les entités financières et collaborons avec les parties prenantes pertinentes afin d’améliorer la supervision et le partage des informations essentielles, et ainsi, renforcer la résilience.

Réponse de Genesys aux principales exigences du règlement DORA

Garanties contractuelles

Exigence : les contrats entre les sous-traitants et les entités financières doivent inclure les définitions claires des services TIC fournis et les conditions dans lesquelles la sous-traitance en aval est autorisée. Ces contrats doivent également préciser les obligations des sous-traitants en matière de conformité avec le règlement DORA.
Réponse de Genesys : Genesys se considère comme un sous-traitant de services TIC critiques. En tant que tel, l’entreprise a examiné et actualisé ses contrats pour s’assurer qu’ils répondent aux obligations énoncées dans le règlement DORA. Cela inclut la définition de la portée des services, l’identification des obligations des sous-traitants et des clients, telles que les droits d’audit et les tests d’intrusion, ainsi que la description des processus de surveillance et d’audit de conformité tout au long de la chaîne de prestation de services.

Tests d’intrusion fondés sur la menace (TLPT)

Exigence : le règlement DORA exige que certaines entités financières réalisent régulièrement des tests TLPT pour vérifier la résilience de leurs systèmes TIC contre les cybermenaces sophistiquées. Ces tests sont essentiels pour identifier les vulnérabilités et améliorer la stratégie de sécurité globale.
Réponse de Genesys : Genesys dispose d’un vaste programme de tests d’ intrusion pour sa plateforme Genesys Cloud, laquelle permet aussi aux clients de demander des tests supplémentaires en fonction de leurs besoins.

Gestion de la chaîne d’approvisionnement

Exigence : le règlement DORA exige transparence et responsabilité dans l’ensemble de la chaîne d’approvisionnement, en particulier lorsque des services critiques sont sous-traités. Les entités financières doivent avoir la garantie que tous les sous-traitants de la chaîne d’approvisionnement respectent les normes définies dans le règlement.
Réponse de Genesys : Genesys dispose d’un programme complet de gestion de la chaîne d’approvisionnement qui inclut des procédures de due diligence pour la sélection et l’intégration des sous-traitants, ainsi qu’une surveillance continue et des audits réguliers.

Cadre de gestion des risques liés aux TIC

Exigence : le règlement DORA exige la mise en place d’un cadre résilient de gestion des risques liés aux TIC, qui englobe toutes les fonctions critiques. Ce cadre doit être dynamique, capable d’évoluer au rythme des menaces émergentes et suffisamment complet pour couvrir tous les aspects du secteur des TIC.
Réponse de Genesys : nous avons amélioré notre cadre de gestion proactive des risques, qui identifie, évalue et atténue en permanence les risques. Cela inclut l’examen, la mise à jour et la vérification régulières de nos politiques de gestion des risques, ainsi que l’intégration de la Threat Intelligence et des meilleures pratiques dans nos processus.

Obligations de déclaration des incidents

Exigence : le règlement DORA exige que les incidents majeurs liés aux TIC soient déclarés rapidement aux entités financières concernées. La réglementation spécifie les délais et les informations nécessaires à fournir dans ces rapports.
Réponse de Genesys : Genesys dispose d’un système avancé de détection et de réponse aux incidents qui garantit leur identification, leur classification et leur signalement rapides. Ce système est intégré à des opérations de sécurité plus étendues au sein de Genesys, afin de garantir une communication rapide et le respect des délais de déclaration stipulés dans le règlement DORA.

Certifications et programmes de conformité

Genesys s’engage à respecter les normes les plus strictes en matière de sécurité, de confidentialité et de résilience opérationnelle. Afin de soutenir nos efforts de conformité et de fournir des garanties à nos clients, nous avons obtenu et maintenons en permanence un grand nombre de certifications, et participons aussi à des programmes de conformité reconnus, lesquels sont décrits dans le tableau ci-dessous.

Certification/Programme de conformité

Description

Conformité au RGPD

Reflète la conformité de Genesys à la réglementation de l’UE, qui exige que les données personnelles soient traitées avec précaution et transparence.

Garantit que Genesys respecte un niveau de sécurité de base pour le cloud computing utilisé par les prestataires de services cloud professionnels, les auditeurs et les clients cloud.

ISO/CEI 27001 : Système de gestion de la sécurité des informations (ISMS)

Garantit que Genesys respecte une approche systématique de la gestion des données sensibles, dont des contrôles de sécurité robustes.

ISO/CEI 27017 : Code de pratique pour les contrôles de sécurité des informations pour les services cloud

Fournit des contrôles de sécurité supplémentaires spécifiques au cloud que Genesys met en œuvre pour garantir la prestation sécurisée des services cloud.

ISO/CEI 27018 : Protection des informations à caractère personnel (ICP) dans les clouds publics

Se concentre sur la protection des données personnelles dans les environnements cloud pour garantir que Genesys se conforme aux réglementations en matière de protection des données.

Payment Card Industry Data Security Standard (PCI DSS)

Garantit que Genesys se conforme aux normes de sécurité des données et des transactions des titulaires de carte pour les services de traitement des paiements.

SOC 1 : Service Organization Control 1

Garantit l’efficacité des contrôles internes de Genesys liés aux déclarations financières.

SOC 2 Type II : Sécurité, disponibilité et confidentialité

Apporte une validation approfondie de la sécurité et des contrôles opérationnels fournis par Genesys au fil du temps.

SOC 2 : Service Organization Control 2

Garantit que les services de Genesys répondent à des normes rigoureuses en matière de sécurité, de disponibilité, d’intégrité du traitement et de confidentialité des données, ainsi que de protection de la vie privée.

Ces certifications et programmes de conformité font partie intégrante des opérations de Genesys Cloud et démontrent notre engagement en faveur de la sécurité, de la confidentialité et de l’excellence opérationnelle. Pour plus d’informations sur cet engagement, rendez-vous ici : Conformité Genesys et Sécurité Genesys.

Stratégie de conformité intégrée de Genesys

Dans le cadre de la stratégie de conformité intégrée de Genesys, nous alignons les exigences du règlement DORA sur nos programmes de conformité existants en intégrant ses piliers fondamentaux dans nos processus opérationnels. Cette approche garantit que la conformité n’est pas traitée comme une fonction distincte, mais bel et bien intégrée à nos pratiques métiers, afin de respecter de manière proactive les normes du règlement DORA tout en assurant la résilience de nos opérations.

Approche unifiée de la gestion des risques

Genesys a adopté une approche large de la gestion des risques qui inclut les cadres réglementaires en développement tels que le règlement DORA, la directive NIS2 et la loi européenne sur l’IA. Notre approche unifiée intègre les risques liés aux TIC, la gouvernance de l’IA, la continuité des activités, la reprise après sinistre et les mesures de cybersécurité au sein d’une même stratégie cohérente. Cela favorise la résilience et l’innovation et contribue à protéger nos services contre l’évolution des risques selon les différents cadres réglementaires.

Déclaration centralisée des incidents

Notre système de déclaration des incidents répond aux obligations du règlement DORA et s’aligne sur d’autres réglementations telles que la directive NIS2. Cela permet une communication efficace avec nos clients et partenaires et garantit que les incidents sont signalés et traités rapidement.

Meilleure gestion des sous-traitants

Notre processus de gestion des sous-traitants comprend une due diligence basée sur les risques, des mesures de conformité contractuelles et des audits conformes aux profils de risque identifiés. Cette approche assure un suivi continu des performances et de la conformité des sous-traitants, afin que toutes les parties impliquées dans la prestation de services critiques respectent les normes les plus strictes.

Formation et sensibilisation

Nos programmes de formation sont régulièrement mis à jour pour prendre en compte les évolutions réglementaires. Tous nos collaborateurs reçoivent une formation qui met l’accent sur l’importance de la sécurité et de la confidentialité, notamment en présentant les cadres réglementaires applicables et les responsabilités associées. Les collaborateurs de Genesys ont accès aux connaissances nécessaires pour assurer la conformité dans leurs opérations quotidiennes et leurs prises de décision.

Coordination organisationnelle

La collaboration entre les équipes Genesys permet une compréhension unifiée de nos obligations au regard des réglementations telles que le règlement DORA tout en garantissant une action coordonnée. Cet effort collectif élimine les silos et garantit que toutes nos équipes suivent les mêmes règles. Des réunions interfonctionnelles régulières et des mises à jour du système nous permettent de rester flexibles face aux changements réglementaires afin d’instaurer une culture de la conformité proactive et d’améliorer nos opérations dans tous nos services et dans toutes les régions.

Au-delà du règlement DORA : considérations relatives à la directive NIS2 et à la loi européenne sur l’IA

Même si le règlement DORA constitue le sujet principal de cet article, il est indispensable de mentionner la directive NIS2 et la loi européenne sur l’IA à venir, lesquelles imposent des exigences comparables et complémentaires à celles de DORA.

NIS2 : afin d’améliorer la cybersécurité dans certains secteurs critiques au sein de l’UE, la directive NIS2 partage plusieurs objectifs avec le règlement DORA, notamment en matière de gestion des risques de cybersécurité et de déclaration des incidents. Nous surveillons l’adoption de la directive NIS2 dans les différents pays de l’UE et intègrerons les éventuelles évolutions à notre cadre plus large de gestion des risques, le cas échéant.

Loi européenne sur l’IA : la loi européenne sur l’IA introduit des réglementations sur l’intégration et l’utilisation de l’IA, en particulier pour les systèmes d’IA à haut risque. Pour Genesys, cela signifie que les services pilotés par IA doivent être conformes aux exigences de la loi sur l’IA, notamment en matière de gestion des risques, de transparence et de supervision humaine. Genesys suit de près le développement de la loi européenne sur l’IA afin de garantir l’alignement avec les exigences du règlement DORA, tout en maintenant l’intégrité des opérations et la confiance vis-à-vis des mesures de conformité. Pour en savoir plus, rendez-vous ici.

Avantages

En savoir plus sur le règlement sur la résilience opérationnelle numérique (DORA)
Découvrir comment Genesys se conforme au règlement DORA
En savoir plus sur nos certifications et nos programmes de conformité

Règlement DORA : foire aux questions

Qu’est-ce que le règlement DORA ?

Où trouver le règlement DORA, ainsi que les directives, les normes techniques réglementaires (RTS) et les normes techniques d'exécution (ITS) qui l'accompagnent ?

Le texte complet du règlement DORA est accessible sur le site web de l’Autorité européenne des assurances et des pensions professionnelles. Les directives, les normes techniques réglementaires (RTS) et les normes techniques d’exécution (ITS) sont disponibles sur le site web de l’Autorité bancaire européenne et également ici.

À quels types d'entreprises ou de prestataires le règlement DORA s'applique-t-il ? ?

Le règlement DORA s’applique à un large éventail d’entités financières qui exercent leurs activités au sein de l’UE, y compris des établissements de crédit, des sociétés d’investissement, des compagnies d’assurance et des prestataires de services de cryptoactifs, ainsi que des prestataires tiers de services TIC pour ces entités financières (ci-après dénommées « les entités »).

Quelles sont les principales exigences du règlement DORA ?

Les cinq piliers du règlement DORA sont les suivants :

Gestion et gouvernance des risques : les entités doivent identifier, classifier et atténuer les risques numériques en établissant des cadres de gestion des risques pour gérer les perturbations liées aux TIC. Les entités doivent également dispenser une formation aux TIC obligatoire et régulière à leurs collaborateurs et au personnel clé des prestataires tiers de services TIC.
Déclaration d’incidents : les entités doivent signaler les incidents majeurs liés aux TIC à l’autorité compétente ou, dans le cas de prestataires tiers de services TIC, aux établissements de services financiers affectés. Les entités doivent se conformer aux exigences réglementaires en matière de déclaration.
Tests de résilience : les entités doivent effectuer des tests réguliers et complets des systèmes TIC, y compris pour vérifier la sécurité du réseau et la résilience opérationnelle.
Gestion des risques liés aux tiers : les entités doivent gérer les risques associés aux prestataires tiers de services TIC, notamment à l’aide de stratégies solides concernant l’externalisation des services TIC. En outre, les établissements de services financiers doivent s’assurer que les prestataires tiers de services TIC appliquent une due diligence pour leurs sous-traitants et surveillent l’ensemble de leur chaîne de sous-traitance.
Partage d’informations : le règlement DORA encourage les accords de partage d’informations entre les établissements de services financiers, afin d’améliorer la résilience opérationnelle numérique grâce à la diffusion d’informations et de renseignements sur les cybermenaces.

Quel est l'impact du règlement DORA sur les prestataires tiers de services TIC potentiellement critiques comme Genesys et ses partenaires ?

En vertu du règlement DORA, les établissements de services financiers sont tenus de gérer les risques associés à l’utilisation de prestataires tiers de services TIC critiques. En tant que prestataires de services TIC pour ces établissements de services financiers, Genesys et ses partenaires doivent s’assurer que leurs services sont résilients, sécurisés et conformes aux exigences du règlement DORA. Il est néanmoins important de noter que même si les organismes de réglementation pourraient qualifier Genesys de prestataire dit « critique », auquel cas nous serions directement soumis à la réglementation, il revient aux établissements de services financiers qui utilisent un service d’en déterminer le niveau général de criticité. Chez Genesys, nous avons entrepris un effort à l’échelle de toute l’entreprise pour nous conformer aux exigences du règlement DORA. Nous considérons cette conformité comme impérative pour maintenir la confiance et travailler avec les établissements de services financiers qui exercent leurs activités au sein de l’UE.

Quelles sont les sanctions en cas de non-conformité au règlement DORA ?

Jusqu’à 1 % du chiffre d’affaires quotidien d’un prestataire tiers de services TIC critiques lors de l’exercice comptable précédent. D’autres sanctions sont possibles :

Amendes : pénalités financières proportionnelles à la gravité de la non-conformité.
Restrictions opérationnelles : limitations ou restrictions des activités de l’entreprise jusqu’à la mise en conformité.
Atteinte à la réputation : perte de confiance et de crédibilité auprès des clients et des partenaires, pouvant entraîner une baisse d’activité.

Comment le règlement DORA s'articule-t-il à la loi européenne sur l'IA, à la directive NIS2 et aux autres réglementations en vigueur en matière de confidentialité ?

Consultez notre Trust Center pour en savoir plus sur la façon dont Genesys s’adapte aux réglementations et directives applicables.

Quel est l'impact sur les modèles directs et indirects de Genesys ?

Le règlement DORA s’applique aux clients au sein de l’UE/EEE, quel que soit le modèle d’approvisionnement. Genesys s’engage à aider ses clients (et les partenaires revendeurs de ces clients) à se conformer au règlement DORA.

Quelles sont les dernières actualités concernant le règlement DORA ?

Les autorités européennes de surveillance (AES), à savoir : 1) l’Autorité bancaire européenne (ABE) ; 2) l’Autorité européenne des assurances et des pensions professionnelles (AEAPP) ; et 3) l’Autorité européenne des marchés financiers (AEMF), ont préparé et publié un ensemble de documents stratégiques pour faciliter l’application du règlement DORA. Ces documents stratégiques comprennent des directives, des normes techniques réglementaires (RTS) et des normes techniques d’exécution (ITS) qui décrivent comment les entités concernées doivent se conformer au règlement DORA.

Le premier ensemble de documents stratégiques a été publié le 17 janvier 2024 et le second, le 17 juillet 2024. Des RTS supplémentaires ont également été publiées le 26 juillet 2024. Les établissements de services financiers et certains prestataires tiers de services TIC travaillent activement à l’établissement de processus et de procédures internes conformes au règlement DORA. Cela implique l’intégration de ses principes dans les cadres opérationnels existants et la préparation aux évaluations continues réalisées par les organismes de réglementation.

Genesys est-il susceptible d'être désigné comme prestataire tiers de services TIC critiques en vertu du règlement DORA ?

On ignore si Genesys sera désigné comme prestataire tiers de services TIC critiques au regard du règlement DORA. En effet, DORA donne aux autorités compétentes le pouvoir de désigner des prestataires de services critiques, mais ce processus reste encore à déterminer. Quelle que soit la désignation officielle, Genesys prend des mesures proactives pour s’assurer que ses services sont prêts à être traités comme critiques ou importants, conformément aux définitions fournies dans ce règlement, par ses clients de services financiers. Dans cette optique, Genesys a conçu ses contrats et offres de services conformément aux exigences définies pour les fonctions critiques ou importantes.

Chez Genesys, comment prenons-nous en compte le règlement DORA pour améliorer nos pratiques et proposer les meilleurs services ?

Nous surveillons en permanence les évolutions et les exigences du règlement DORA, ainsi que son interprétation et son application par les organismes de réglementation compétents. Nous prenons des mesures proactives pour garantir la conformité à cet environnement réglementaire en constante évolution. Début 2023, nous avons créé un groupe de travail à l’échelle de l’entreprise avec le soutien de la direction. Cette équipe surveille les évolutions réglementaires en cours et met actuellement en œuvre d’autres améliorations de nos services (cloud et logiciels) ainsi que des contrôles d’entreprise.

Ce groupe de travail aide Genesys à se conformer au règlement DORA et offre un accompagnement structuré à nos clients des services financiers dans leur propre parcours de mise en conformité. Toutes les unités opérationnelles et parties prenantes de Genesys soutiennent cette équipe qui s’assure de consulter les clients et les partenaires de Genesys concernant les principales exigences techniques du règlement DORA dans le cadre de l’utilisation des services Genesys.

En ce qui concerne les services basés sur le cloud de la plateforme Genesys Cloud, Genesys respecte un certain nombre de cadres avancés de contrôle de la sécurité et de la conformité, disponibles ici. Dans le cadre de ce programme, nous ajoutons sans cesse de nouvelles attestations tierces pour certifier notre conformité. Genesys a également créé une équipe dédiée d’experts en sécurité, confidentialité et conformité : le centre d’excellence (COE) pour les centres de contact en tant que service (CCaaS). Pour contacter ces experts, rapprochez-vous de votre équipe commerciale ou de votre Customer Success Manager.

Renforçons la résilience ensemble

S’adapter au paysage complexe du règlement DORA nécessite une approche stratégique et intégrée. L’engagement de Genesys en matière de conformité implique non seulement de respecter les exigences réglementaires, mais aussi d’améliorer notre résilience opérationnelle, de protéger nos services et de conserver la confiance de nos clients. Grâce à nos certifications, nos programmes de conformité et notre stratégie de conformité unifiée, nous nous positionnons idéalement pour continuer à fournir des services sécurisés et fiables aux entités financières au sein de l’UE.

Pour obtenir des conseils supplémentaires sur votre stratégie de conformité ou pour en savoir plus sur la manière dont Genesys peut soutenir votre résilience opérationnelle, veuillez contacter votre équipe commerciale ou votre Customer Success Manager. Vous pouvez également consulter le Genesys Trust Center pour en savoir plus.

Avis de non-responsabilité

Cet article a été publié à titre d’information uniquement et ne doit pas être interprété comme un conseil juridique. Son contenu est susceptible d’être modifié en fonction de l’évolution de notre approche et de notre réponse au fil du temps. Genesys ne fournit aucune garantie ni déclaration quant à l’exactitude, l’exhaustivité ou la pertinence des informations présentes dans cet article. La mise en conformité avec le règlement DORA, la directive NIS2 et la loi européenne sur l’IA est un processus complexe qui peut nécessiter un accompagnement juridique. Genesys ne saurait être tenu responsable des erreurs, omissions ou mesures prises suite à la lecture de cet article. Les lecteurs sont encouragés à consulter un conseiller juridique professionnel pour répondre à leurs préoccupations spécifiques et pour assurer leur conformité totale avec les lois et réglementations en vigueur.