La résilience digitale opérationnelle est devenue une priorité stratégique pour les institutions financières, confrontées à une intensification sans précédent des cyberattaques. Ces menaces, de plus en plus sophistiquées et fréquentes, peuvent compromettre la stabilité des systèmes financiers et nuire à la confiance des clients et des parties prenantes. Dans ce contexte, la capacité d’une institution à gérer un incident informatique majeur ne se limite pas à la phase de survie initiale, mais s’étend à une reprise efficace et coordonnée des opérations, qui est cruciale pour restaurer l’ensemble des services impactés et assurer un retour à la normale pérenne.
La phase de reprise après un incident informatique, souvent négligée par rapport aux efforts de protection et de détection, est pourtant fondamentale. Elle nécessite une planification rigoureuse, des processus clairs et une coordination multidisciplinaire pour limiter l’impact sur l’organisation. Dans cet article, nous nous concentrerons sur les exigences et les pratiques liées à cette phase clé, notamment à travers le prisme du règlement européen DORA (Digital Operational Resilience Act).
Nous aborderons la nécessité de restaurer rapidement les systèmes d’information après la phase de survie, les défis liés à l’intégrité des données, le cas spécifique des ransomwares, ainsi que l’analyse post-incident pour renforcer la résilience future.
L’article 11 de DORA impose aux institutions financières de restaurer rapidement leurs opérations après un incident informatique majeur. Cette exigence s’applique à divers types de perturbations, qu’il s’agisse de cyberattaques, d’incidents de production ou de tout autre dysfonctionnement technologique significatif.
Les institutions financières doivent en effet minimiser les interruptions de service afin de préserver l’intégrité de l’organisation et la stabilité du système financier. Une interruption prolongée peut entraîner des conséquences en cascade, affectant non seulement l’institution concernée mais aussi ses clients, partenaires et, par extension, l’économie dans son ensemble. La rapidité du rétablissement intégral, objectif central de la phase de reprise, est donc cruciale pour protéger les intérêts de toutes les parties prenantes.
DORA renforce l’exigence de continuité des services en demandant aux institutions financières de disposer de plans de reprise régulièrement mis à jour et adaptés aux nouvelles menaces. Ces plans doivent être testés et améliorés de manière continue pour en garantir l’efficacité en cas de crise. Un plan de reprise bien conçu inclut l’identification des actifs critiques, la priorisation des étapes de rétablissement, les processus de restauration ou reconstruction éventuels et une coordination claire entre les équipes de réponse aux incidents.
Les données sur le délai moyen de récupération après une cyberattaque majeure, estimé à 24 jours selon Gartner, montrent que plus de 70 % des organisations prennent souvent plus de deux semaines pour retrouver un fonctionnement normal. Ces données montrent que les pratiques actuelles sont encore loin des exigences de DORA et que les institutions financières doivent renforcer leurs processus de reprise pour améliorer leur résilience.
La reprise complète des systèmes après une cyberattaque est une étape complexe. La principale difficulté réside dans la restauration et/ou reconstruction de tous les systèmes et serveurs liés à un même processus métier, tout en garantissant l’intégrité des données. Pour que le processus puisse fonctionner correctement, cette dernière est essentielle.
Si la restauration d’un serveur ou d’une base de données individuelle est aujourd’hui maîtrisée, restaurer un ensemble de serveurs tout en maintenant la cohérence entre eux reste un défi. Cela signifie s’assurer que les données sur chaque serveur sont bien synchronisées, afin que toutes les applications interconnectées fonctionnent de manière cohérente et puissent être utilisées efficacement par les équipes métiers. À titre d’exemple, une mauvaise synchronisation entre le système de gestion des paiements par carte bancaire et celui des données du compte peut générer des erreurs telles que des doubles paiements ou des transactions manquantes.
Malgré la multiplication des exercices de gestion de crise, les tests de restauration impliquant l’ensemble des applications d’un même processus métier, avec la participation des utilisateurs pour valider la cohérence des données, restent rares. La plupart des tests se limitent à des simulations techniques, donnant des résultats partiels qui ne permettent pas d’évaluer pleinement la résilience des processus critiques ni celle de l’organisation dans son ensemble.
Pourtant, DORA est clair sur ce point, et le régulateur insiste : il n’existe pas de solution miracle. Le succès réside dans la répétition et la rigueur des tests. Il est indispensable de tester, encore et encore, avec l’implication des équipes métiers, afin de garantir que l’institution peut exécuter cette phase de reprise rapidement et efficacement, y compris la restauration ou la reconstruction de ses infrastructures.
L’exemple de Maersk, une multinationale danoise spécialisée dans le transport maritime et la logistique, illustre l’impact potentiel des cyberattaques. En juin 2017, l’entreprise a été victime du ransomware NotPetya, qui a paralysé ses systèmes informatiques pendant plusieurs jours, perturbant le traitement des commandes et le transport de marchandises. Bien que Maersk ait réussi à reprendre partiellement ses opérations en dix jours, il lui a fallu plusieurs mois pour retrouver un fonctionnement complet.
Cet incident a montré à quel point une cyberattaque peut affecter même les entreprises dotées de ressources importantes. Bien que Maersk ne soit pas une institution financière, les répercussions sur les chaînes logistiques et l’économie mondiale ont démontré l’interconnexion des secteurs. Cela montre comment une attaque visant une seule entreprise peut provoquer des effets en cascade sur d’autres industries.
La rapidité de la phase de reprise, de la restauration à la reconstruction, est donc un élément clé de la résilience opérationnelle et ne doit pas être sous-estimée par les institutions financières. C’est peut-être cette phase qui permettra à une institution de limiter l’impact à long terme d’un incident.
Parmi les incidents majeurs, la reprise d’activité après une attaque de type ransomware pose un défi particulier. Ces logiciels malveillants chiffrent les données et bloquent l’accès aux systèmes jusqu’au paiement d’une rançon, rendant la reprise des opérations plus complexe et critique.
Lorsque l’attaque a commencé bien avant sa détection, un ransomware peut compromettre l’ensemble des moyens de reprise, des sauvegardes aux infrastructures, rendant ainsi les plans de secours inopérants. L’institution n’a alors plus aucun moyen de reprise. Il est donc crucial pour les institutions de développer des stratégies capables de protéger leurs plans de secours contre ce type de menace.
Pour relever ces défis, le secteur financier explore des solutions telles que les environnements de récupération isolés (ERI), qui reposent sur deux principes clés :
– isolation complète : un ERI est séparé physiquement et logiquement du réseau principal de l’entreprise. Il utilise des centres de données distincts et des réseaux segmentés, ce qui empêche la propagation des logiciels malveillants et assure la protection des données critiques ;
– restauration rapide des processus essentiels : les ERI permettent un rétablissement rapide des fonctions vitales, réduisant le temps d’interruption.
Or la mise en œuvre d’un ERI comporte des défis techniques et financiers importants. Sur le plan technique, il nécessite une infrastructure indépendante et hautement sécurisée, ainsi que des compétences spécialisées pour sa configuration et sa gestion.
Sur le plan financier, les coûts associés à l’implémentation d’un ERI constituent un autre obstacle. Ils comprennent des investissements initiaux pour l’acquisition de matériel, la mise en œuvre de logiciels spécifiques et potentiellement l’aménagement de locaux distincts. À cela s’ajoutent des frais de maintenance et de formation continue pour s’assurer que les équipes savent utiliser ces environnements et que les protocoles de sécurité sont régulièrement mis à jour. Ces coûts sont malheureusement souvent dissuasifs. Là où ils prennent sens par rapport aux dégâts possibles d’une attaque étendue, il est compliqué de les évaluer par rapport au risque correspondant.
Pour relever ces défis, deux axes sont généralement explorés :
– limiter l’ERI exclusivement aux applications vitales : en restreignant l’ERI à un nombre de fonctions essentielles très limité, identifiées à partir d’une analyse des processus critiques, l’institution réduit les coûts liés à cette mise en œuvre ;
– explorer des solutions innovantes et des partenariats : la recherche de nouvelles technologies et des collaborations interinstitutionnelles permettent de réduire les coûts de ces environnements et renforcer leur efficacité.
Les attaques de type ransomware constituent donc un cas particulier pour lequel des solutions émergent, mais qui nécessitent encore d’être éprouvées.
Après avoir abordé la phase de reprise et ses défis (notamment l’intégrité des données et les ransomwares), une dernière étape est attendue pour un retour complet à la normale : l’analyse post-incident. En effet, DORA impose aux institutions financières une obligation stricte d’analyse post-incident, spécifiée dans les articles 13 et 18. Cette exigence vise à documenter et analyser chaque perturbation majeure afin d’identifier les faiblesses structurelles et les vulnérabilités exploitables.
Cette analyse doit suivre plusieurs étapes : identifier les vecteurs d’attaque et les vulnérabilités exploitées, évaluer l’impact sur les opérations et les clients, et élaborer des mesures correctives. Chaque incident doit faire l’objet d’un rapport qui retrace le processus complet, de la détection initiale à la résolution.
L’article 6 de la norme technique de déclaration des incidents majeurs de DORA fixe des délais stricts pour la soumission des rapports :
– une notification initiale doit être faite dans un délai de quatre heures après la classification de l’incident comme majeur ;
– un rapport intermédiaire doit être soumis dans les 72 heures, même si la situation n’a pas évolué ;
– un rapport final doit être envoyé dans un délai d’un mois après le dernier rapport intermédiaire.
Si l’incident entraîne une perte de données personnelles, l’entité doit aussi notifier l’incident à l’autorité compétente, comme la CNIL en France, dans un délai de 72 heures, conformément à l’article 33 du RGPD. Si un risque élevé pour les personnes concernées est identifié, une notification individuelle doit également être envoyée conformément à l’article 34 du RGPD.
La mise en œuvre des obligations de déclaration présente des défis pour les institutions financières, notamment en raison de la rapidité et de la coordination nécessaires entre différents départements (juridique, informatique, conformité et direction). La hiérarchie de validation interne allonge le processus, rendant le respect des délais difficile.
De plus, la préparation des rapports intermédiaires et finaux mobilise des ressources sur une longue période, ce qui peut devenir complexe lorsque l’incident touche plusieurs entités affiliées.
Pour répondre à ces défis, une préparation en amont est essentielle. Cela inclut la définition claire des processus de déclaration, l’allocation précise des responsabilités de chacun et l’établissement de délais réalistes. L’utilisation d’outils de facilitation, tels que l’intelligence artificielle générative, peut également être envisagée pour automatiser certaines tâches et améliorer l’efficacité du processus de déclaration.
La phase de reprise et post-incident représente un défi majeur pour les institutions financières, mais elle constitue aussi une occasion de démontrer leur résilience et leur capacité à protéger les intérêts de toutes les parties prenantes. La résilience n’est pas un état final, mais un processus dynamique et continu. En surmontant ces défis, les institutions transforment chaque incident et chaque test en une opportunité de renforcer leur robustesse et d’assurer une continuité opérationnelle solide.
Les institutions financières doivent non seulement se préparer, mais aussi progresser sur deux axes essentiels : l’innovation et la collaboration. Aujourd’hui, les processus de restauration, de reconstruction et de tests récurrents restent largement manuels et manquent d’outils automatisés centrés sur la résilience. Des innovations sont à venir dans l’automatisation de la phase de reprise, permettant de réduire les coûts et de mieux répondre aux menaces émergentes.
Enfin, des partenariats stratégiques, avec le partage de ressources telles que des centres de données et des équipes spécialisées, permettraient aux institutions de réduire les coûts, d’améliorer l’efficacité et de bâtir des infrastructures résilientes et collectives pour faire face aux cybermenaces croissantes. n
