Gérer le risque cyber à l'heure des évolutions réglementaires et digitales

Dans un monde de plus en plus digitalis&eacute; o&ugrave; la dangerosit&eacute; des cybercriminels progresse sans cesse, les cyberattaques existeront toujours et continueront m&ecirc;me, sans doute, &agrave; cro&icirc;tre. En t&eacute;moignent des attaques propag&eacute;es &agrave; des &eacute;chelles jusque-l&agrave; in&eacute;dites en 2017, WannaCry et NotPetya, qui ont touch&eacute; des acteurs fran&ccedil;ais en provenance de l&rsquo;ext&eacute;rieur. Les Pouvoirs Publics prennent cette menace multiforme et changeante &ndash; qui pourrait d&eacute;sormais aussi provenir d&rsquo;&Eacute;tats et toucher la souverainet&eacute; nationale &ndash; tr&egrave;s au s&eacute;rieux et l&rsquo;Agence nationale de la s&eacute;curit&eacute; des syst&egrave;mes d&rsquo;information (ANSSI) la juge globalement encore sous-&eacute;valu&eacute;e. En charge de l&rsquo;application de la loi de programmation militaire (LPM) de 2013, l&rsquo;ANSSI impose pour l&rsquo;&Eacute;tat des obligations en mati&egrave;re de cybers&eacute;curit&eacute; aux op&eacute;rateurs d&rsquo;importance vitale (OIV), parmi lesquels les banques, soumises depuis le 1 er janvier 2017 &agrave; l&rsquo;arr&ecirc;t&eacute; Finances. La r&eacute;glementation &eacute;volue aussi &agrave; l&rsquo;&eacute;chelle europ&eacute;enne : la directive NIS ( Network and Information Security ), qui doit &ecirc;tre transpos&eacute;e au plus tard en mai 2018, cr&eacute;e le concept d&rsquo;op&eacute;rateur de services essentiels (OSE), voisin de celui d&rsquo;OIV ; un &laquo; Paquet Cyber &raquo; pr&eacute;sent&eacute; par la Commission en septembre dernier devrait renforcer la l&eacute;gislation. La cybers&eacute;curit&eacute; n&rsquo;est pas qu&rsquo;une question de conformit&eacute; r&eacute;glementaire. Pour l&rsquo;ACPR, elle est affaire de ma&icirc;trise des risques. L'ACPR va publier prochainement un document de r&eacute;flexion sur ses attentes en mati&egrave;re de risque informatique et m&egrave;ne, depuis 2015, des contr&ocirc;les d&eacute;di&eacute;s sur place et sur pi&egrave;ces. Les acteurs priv&eacute;s se saisissent &eacute;galement de plus en plus fortement du sujet, et les dirigeants y sont sensibilis&eacute;s au plus haut niveau. La banque est consid&eacute;r&eacute;e comme un secteur en pointe en mati&egrave;re de cybers&eacute;curit&eacute;. L&rsquo;approche s&rsquo;y fait d&eacute;sormais par les risques et concerne tous les m&eacute;tiers, au-del&agrave; du seul domaine informatique. L&rsquo;&eacute;volution de la r&eacute;glementation ouvre aussi de nouvelles questions, avec DSP 2 par exemple, qui organise depuis le 13 janvier l&rsquo;ouverture des syst&egrave;mes &agrave; des acteurs tiers. Se posent d&egrave;s lors des questions de s&eacute;curit&eacute; in&eacute;dites, en bonne partie r&eacute;solues par les standards techniques (RTS), et que les banques entendent bien assumer. Pour Gil Delille, responsable de la s&eacute;curit&eacute; informatique du groupe Cr&eacute;dit Agricole, les banques ont toujours su adapter leur cybers&eacute;curit&eacute; aux &eacute;volutions technologiques et vont continuer &agrave; le faire. Les nouveaux entrants, par la voix de J&eacute;r&ocirc;me Traisnel (Afepame), estiment aussi ajuster leur approche de la cybers&eacute;curit&eacute; aux &eacute;volutions digitales, comme &agrave; l&rsquo;arriv&eacute;e du paiement instantan&eacute;. Alors que l&rsquo;importance des donn&eacute;es personnelles ne cesse de cro&icirc;tre, le r&egrave;glement g&eacute;n&eacute;ral sur la protection des donn&eacute;es (RGPD) qui doit entrer en vigueur fin mai 2018 donne aussi de nouvelles obligations en la mati&egrave;re, notamment la nomination d&rsquo;un d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es (DPO). Il reste que si la cybers&eacute;curit&eacute; &eacute;volue avec les transformations r&eacute;glementaires, d&rsquo;une part, et digitales, d&rsquo;autre part, c&rsquo;est avant tout face &agrave; l&rsquo;ing&eacute;niosit&eacute; impr&eacute;visible des cybercriminels que la cyber-r&eacute;silience doit sans cesse &ecirc;tre repens&eacute;e.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Dossier

Cybersécurité des acteurs financiers

Gérer le risque cyber à l'heure des évolutions réglementaires et digitales

À retrouver dans la revue

Comptabilité/Trésorerie

Les enjeux de l’open finance : quelles opportunités pour le cash management ?

Métiers

Le potentiel de hausse des MNI
reste limité en 2024

Dette et déficit publics : comment éviter le précipice

Capital-investissement

« Plus de 35 milliards d’euros seront investis dans les fonds labellisés non cotés »

Dossier

Open finance,
la donnée en partage

Dossier

Consommation, toutes options comprises

Dossier

L’IA, artificielle et efficace

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Dossier

Cybersécurité des acteurs financiers

Gérer le risque cyber à l'heure des évolutions réglementaires et digitales

À retrouver dans la revue

Comptabilité/Trésorerie

Les enjeux de l’open finance : quelles opportunités pour le cash management ?

Métiers

Le potentiel de hausse des MNI reste limité en 2024

Dette et déficit publics : comment éviter le précipice

Capital-investissement

« Plus de 35 milliards d’euros seront investis dans les fonds labellisés non cotés »

Dossier

Open finance, la donnée en partage

Dossier

Consommation, toutes options comprises

Dossier

L’IA, artificielle et efficace

Le potentiel de hausse des MNI
reste limité en 2024

Open finance,
la donnée en partage