Quelle évolution de la réglementation pour le secteur financier ?

Comment évoluent les règles élaborées par les instances nationales et européennes pour contribuer à renforcer la cybersécurité ?

Un cadre législatif évolutif

Le cadre législatif européen dans le domaine de la sécurité de l’information comprend quelques textes majeurs. Le texte générique est la directive NIS (Network Information Security ou SRI – sécurité des réseaux et de l’information) qui, depuis le 6 juillet 2016 [1] , vise à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union.

Aux côtés de cette directive, d’autres régulations spécialisées intègrent des obligations de sécurité, comme le Règlement eIDAS [2] , qui instaure un cadre européen en matière d’identification électronique et de services de confiance, afin de faciliter l’émergence du marché unique numérique. Il couvre notamment le sujet de la signature électronique.

De même, la directive concernant les services de paiement (dite DSP2 [3] ) organise la création d’un cadre juridique et de contrôle des acteurs émergents du marché des paiements. Sa transposition française [4] intègre, pour les prestataires de services de paiement, des obligations en matière de sécurité des services en ligne.

Gouvernance et sécurité des données

Le tableau ne serait pas complet sans évoquer le Règlement européen le plus médiatisé : le RGPD [5] . Ce règlement relatif à la protection des données personnelles, applicable depuis le 25 mai 2018, a renforcé les obligations des responsables de traitements.

Pour parfaire le dispositif législatif français, le RGPD a été complété par l’ordonnance du 12 décembre 2018 [6] et le décret du 29 mai 2019 [7] .

En pratique, les responsables de traitement doivent assurer une protection optimale des données et être en mesure de documenter leur conformité. Parmi les dispositifs créés par le RGPD et relatifs à la sécurité, figure la notification des violations de sécurité auprès de la CNIL. Dans son rapport annuel 2018, l’autorité a indiqué avoir reçu en 6 mois plus de 1 000 notifications de violations.

Les premières sanctions françaises sous le régime du RGPD ont été publiées en 2019, avec notamment l’amende de 50 millions d’euros infligée par la CNIL à l’encontre de Google [8] , pour ne pas avoir fourni assez d’informations sur le traitement de leurs données.

Un autre mécanisme issu du RGPD prévoit les actions de groupe [9] . Il s’agit du droit pour les particuliers de demander réparation en justice, lorsqu’ils sont en mesure de prouver qu'ils ont subi un dommage ou bien qu’ils considèrent que la violation de leurs droits nécessite une réparation financière par l'entreprise responsable. Les premières actions ont été lancées dès 2018, notamment par la Quadrature du Net [10] et plus récemment par l’UFC-Que Choisir [11] . Il est fort probable que ces actions collectives soient amenées à se développer [12] , notamment en cas d’incident de sécurité.

Afin de compléter le RGPD par la gouvernance des données non personnelles, le règlement européen sur la libre circulation des flux de données à caractère non personnel est paru le 14 novembre 2018 [13] . Ce règlement, entré en vigueur le 29 mai 2019, consacre la libre circulation des données. Il élimine notamment toute restriction géographique de stockage de données non personnelles sur le sol d’un État membre.

Par ailleurs, le principe de sécurisation de l’information est présent également dans la directive dite « Secret des affaires », publiée en juin 2016 [14] . Elle a été transposée en France par la loi du 30 juillet 2018 [15] , loi qui vise à protéger les informations ayant une valeur économique, à la condition que les entreprises en assurent la protection [16] .

Avec cette loi, il ne s’agit pas d’une obligation supplémentaire de protection de l’information. C’est davantage une opportunité pour l’établissement financier par exemple de protéger des informations secrètes ayant une valeur commerciale, à la condition que ces informations fassent l’objet de « mesures de protection raisonnables » [17] . Dans ce cas, l’obtention, l’utilisation ou la divulgation du secret d’affaires par un tiers sont considérés comme illicites et peuvent faire l’objet de recours civil.

Gestion de l’externalisation

L’externalisation représente naturellement l’un des pans de la sécurité du système d’information. Dans un contexte de cybermenace, les risques liés aux tiers doivent être traités à leur juste mesure [18] .

L’Autorité bancaire européenne (ABE) a publié le 25 février 2019 ses « Lignes directrices sur l’externalisation ». Dès leur entrée en vigueur, soit le 30 septembre 2019, les établissements assujettis auront un certain nombre de démarches à accomplir, afin d’être en conformité avec ces règles. Ils devront établir un registre des externalisations, les qualifier selon leur importance et évaluer les prestataires. Certaines de ces recommandations se rapprochent de celles applicables aux opérations de sous-traitance au sens du RGPD.

Sur le thème de l’externalisation, la CNIL a partagé en mars 2019 [19] les premières tendances, depuis le RGPD, sur la responsabilisation des sous-traitants informatiques. La CNIL, au travers de questionnaires écrits, s’est penchée sur les mécanismes mis en œuvre par les sous‑traitants pour répondre à leurs nouvelles obligations résultant de l’entrée en vigueur du RGPD : sécurité, précision du rôle des parties dans les contrats, transparence, traçabilité, assistance, etc. Au-delà des bonnes pratiques relevées, selon la CNIL, des marges de progression sont identifiées, notamment le fait que certaines sociétés interrogées ont mentionné n’avoir mis en place aucune procédure de gestion d’incident de sécurité.

Coopération du secteur financier

« Le secteur financier ne connaît pas de menace plus certaine que celle des cyber-risques » a rappelé François Villeroy de Galhau, Gouverneur de la Banque de France, lors d’une conférence de presse du 28 mai 2019 [20] .

Les établissements financiers sont incités à coopérer pour optimiser la sécurité de l’information. Lors de la conférence sur la cybersécurité organisée le 10 mai 2019 par la Banque de France, dans le cadre de la présidence française du G7, les intervenants ont répété un même message : la coordination et le partage d’informations sont devenus indispensables face aux cybermenaces.

L’ACPR et la Banque de France sont en première ligne des actions menées pour renforcer la cybersécurité du secteur financier. Dans ce contexte d’urgence, des mesures concrètes ont été mises en œuvre.

Les services de l’ACPR ont élaboré une définition et une catégorisation du risque informatique, afin d’en couvrir les différentes dimensions et de pouvoir le traiter dans sa globalité. Cette catégorisation [21] peut servir aux établissements placés sous son contrôle pour élaborer ou renforcer leur propre cartographie.

Plus largement, un exercice de simulation de cyberattaque internationale a été organisé en juin 2019 par la Banque de France.

Enjeu de souveraineté nationale

Au-delà du maintien de l’activité du secteur financier, la cybersécurité est un enjeu de souveraineté nationale. L’interdépendance des systèmes fait que le législateur renforce la coordination avec la puissance publique, afin d’élever collectivement le niveau de sécurité.

La France a été le premier pays à s’appuyer sur la réglementation pour définir un dispositif de cybersécurité de ses infrastructures d’importance vitale. Depuis la loi de programmation militaire (LPM) de 2013, certains acteurs financiers considérés comme opérateurs d’importance vitale (OIV) sont tenus de mettre en œuvre des systèmes de détection des événements. Leurs noms relèvent du secret-défense. La LPM 2019-2025 [22] comporte également des dispositions relatives au renforcement des capacités de détection des attaques informatiques.

Sur le plan européen, la directive NIS précitée vise à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union. Elle prévoit le renforcement de la cybersécurité par chaque État membre, en créant le concept d’opérateurs de services essentiels (OSE) et de fournisseurs de services numériques (FSN).

La loi de transposition française de cette directive, publiée le 26 février 2018 [23] , en précise le cadre. Parmi ces OSE, la liste des services essentiels [24] comprend notamment des banques, assurances, services financiers et infrastructures de marchés financiers. Les OSE, dont les noms relèvent également du secret-défense, ont été désignés individuellement par décret le 9 novembre 2018. Ces OSE doivent se conformer à un niveau national de règles de cybersécurité, incluant l’obligation de notifier les incidents.

L’objectif de cette notification pour l’ANSSI est de permettre une évaluation de la menace, de proposer une assistance adaptée et d’organiser une réponse collective aux attaques majeures, éventuellement entre différents États membres.

Convergence des règles internationales

Outre la coopération interne, la dimension internationale de la cybercriminalité implique d’harmoniser les législations nationales et de faciliter la coopération entre les États. Le ministre de l'Économie et des Finances, Bruno Le Maire, a appelé à « une plus grande convergence des règles » au niveau international, lors de la conférence sur la cybersécurité organisée le 10 mai 2019 par la Banque de France, dans le cadre de la présidence française du G7.

L’Union européenne veut devenir plus résiliente face aux cyberattaques et adopter des mesures efficaces. Ainsi, ce pan de la législation européenne se construit progressivement.

Pour renforcer la cybersécurité, le règlement européen Cybersecurity Act du 17 avril 2019 [25] poursuit un double objectif :

• la consécration de l’ENISA [26] , l’Agence européenne pour la cybersécurité afin de fournir une assistance aux États membres, pour développer leurs capacités de prévention et réaction aux attaques informatiques ;
• la définition d’un cadre européen de certification de cybersécurité pour des produits, services ou processus de cybersécurité. Les méthodes d’évaluation et les différents niveaux d’assurance de la certification seront harmonisés. Les certificats délivrés par les autorités nationales, comme l’ANSSI [27] , bénéficieront d’une reconnaissance mutuelle au sein de l’Union européenne.

Pour se mettre en conformité avec ces dispositions, les États membres disposent d’un délai de 2 ans à compter de la publication.

Quelles transformations législatives à venir ?

Les applications de l’intelligence artificielle, le recours à des cloud complexes, l’usage des cryptomonnaies et des objets connectés soulèvent de nouvelles questions relatives à la sécurité. Ces développements technologiques conjugués à l’internationalisation de la menace de cybercriminalité feront encore évoluer les règles juridiques nationales et européennes vers une obligation croissante de sécurisation des données.

Beaucoup de questions restent ouvertes. Les règles européennes inspireront-elles d’autres régimes législatifs dans le monde ? Quelle sera la place de la certification des produits et services de cybersécurité ? Comment évoluera la coopération judiciaire et pénale internationale pour la répression de la cybercriminalité ?

Aujourd’hui, pour les établissements du secteur financier, les obligations croissantes de sécurité de l’information et le renforcement des sanctions se traduisent par des contraintes et des coûts importants. Le défi est permanent pour les fonctions de RSSI ou CISO [28] , pour les départements de conformité et de gestion des risques et pour toutes les structures.

Au-delà de la pression réglementaire, la cybersécurité reste un enjeu majeur pour la protection des clients et la solidité même du secteur financier.