Le challenge
Dans le cadre de l’entrée en vigueur de DORA, ce fonds d'investissement a sollicité l'expertise de KPMG afin de l'accompagner dans la réalisation d'une analyse d’écarts avec les exigences DORA, et à l'élaboration de la feuille de route de conformité pour ses deux entités européennes situées en France et au Luxembourg. Cependant, ayant également des opérations aux USA et UK, le client a jugé opportun :
- D’identifier par ailleurs les réglementations en matière de cybersécurité et de résilience opérationnelle numérique similaires à DORA, existantes ou à venir, pour les entités du périmètre ;
- D’évaluer son niveau de conformité ;
- D’enrichir sa feuille de route de conformité DORA par des actions spécifiques aux réglementations locales sans doublonner, accompagnée d’une estimation des coûts de la remédiation.
Approche KPMG
1. Validation du scope, cartographie et mapping réglementaire
- Définition et validation de la portée, du calendrier et des livrables ;
- Identification exigences réglementaires DORA, et des textes applicables dans les pays du périmètre : CSSF Luxembourg, UK FCA handbook avec un focus sur les sujets liés à la résilience opérationnelle numérique, US SEC CSF for Investment Advisors et NYDFS DFS 500 ;
- Mapping des exigences pour identifier les “communes” et les “spécifiques”; Préparation des matrices d’évaluation et planification des entretiens avec les parties prenantes.
2. Analyse des écarts
- Écarts avec DORA ;
- Réalisation d'entretiens et d'ateliers avec les parties prenantes ;
- Analyse des données et documents collectés, identification et qualification des principaux écarts ;
- Présentation et discussion des écarts identifiés avec les parties prenantes après chaque évaluation ;
- Écarts avec les autres réglementations applicables.
En ne retenant que les exigences spécifiques, nous avons déroulé la même approche exécutée pour DORA (entretiens, ateliers avec les parties prenantes, analyse de données et de documents), ce qui a permis d’accélérer la production des évaluations et l’identification des recommandations spécifiques devant compléter les recommandations DORA pour atteindre la conformité.
3. Rapport et Feuille de Route
- Consolidation des résultats de l'évaluation des écarts en mettant en évidence les principaux risques et proposition de recommandations communes (transverses) et spécifiques (locales) ;
- Formalisation de la feuille de route chiffrée (estimations des coûts du “build” et du “run”) ;
- Échange avec le client pour validation ;
- Formalisation de la synthèse et présentation au Management Committee de nos conclusions, de la feuille de route et des enveloppes budgétaires estimées pour la mise en conformité de l’entreprise.