Les banques espagnoles dans les starting-blocks

Le projet de règlement de la Commission européenne DORA (Digital Operational Resilience Act) est accueilli en Espagne avec la plus grande bienveillance : « DORA représente sans aucun doute une immense opportunité pour atteindre un niveau homogène de résilience opérationnelle digitale dans le secteur financier européen où il existe des différences importantes entre les institutions », explique une source à la Banque d’Espagne, « la résilience n’est pas une option mais une nécessité et DORA sera un outil très utile pour avancer sur cette voie ». Au-delà même de la résilience opérationnelle au sens large, c’est l’importance de se prémunir contre les cyberattaques qui anime les grands acteurs bancaires : « Le secteur financier mettait déjà en œuvre la directive NIS (Network and Information System Security) destinée à assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne, explique, sous couvert d’anonymat, l’un des mastodontes bancaires espagnol. Spécifique au secteur bancaire, DORA est une norme plus complète que NIS. »

Selon le Rapport national de Sécurité 2021 publié par le gouvernement espagnol, le pays a ainsi enregistré 10 831 incidents cyber en 2021 sur les opérateurs critiques, les services essentiels ou stratégiques, aussi bien privés (675) que publics (10 153), un chiffre en légère baisse par rapport à 2020, avec quelque 13 000 cyberattaques. Parmi les secteurs stratégiques les plus touchés figurent l’administration (32 %), le secteur financier et fiscal (23 %) et les transports (29 %).

« Les incidents cyber affectant le secteur financier sont principalement liés à la fraude en ligne, à une échelle et avec des effets moindres, nuance Vicente Moret, Counsel au sein du cabinet Andersen à Madrid. Tout au long de l’année 2021, aucun incident grave ou critique affectant les entités bancaires n’a été détecté. » Selon l’expert, le secteur financier espagnol est l’un des plus matures en matière de sécurité digitale : « Les banques espagnoles ont réalisé une transformation digitale en profondeur au cours des dix dernières années et pour cette raison, la sécurité a été l’un des postes qui a attiré le plus d’efforts et d’investissements », explique-t-il.

Pour autant, ces établissements ne baissent pas la garde et saluent certains bénéfices apportés par DORA : « Il est très positif que, dorénavant, tous les rapports d’incidents soient centralisés au niveau européen », estime l’un des principaux acteurs de la banque espagnole, « cela facilitera la gestion des incidents et permettra aux institutions et aux superviseurs de partager les informations pertinentes en même temps, ce qui est un outil très efficace pour accroître la résilience aux cyberattaques ». Le secteur salue aussi le principe de la supervision directe des prestataires de services critiques qui « devrait contribuer à rendre plus agiles les processus d’externalisation en diminuant en partie la charge à laquelle sont confrontés actuellement les établissements financiers, à l’image des procédures d’audit et l’inspection des prestataires critiques », selon le même établissement.

Les prises de contact entre les banques et les fournisseurs technologiques se multiplient depuis quelques mois. En mai, le prestataire de sécurité informatique Tarlogic réunissait lors d’un événement à Madrid l’ensemble des banques espagnoles, la Banque d’Espagne et des représentants de la BCE pour évoquer les enjeux de TIBER (Threat Intelligence-Based Ethical Red Teaming) et DORA  : « Les prestataires de services critiques vont gagner en importance en introduisant des exigences très spécifiques et prescriptives applicables aux tiers critiques qui fournissent aux institutions financières des services liés aux technologies de l’information et de la communication (TIC), tels que les plateformes cloud, l’analyse des données et l’audit des services », analyse Jessica Cohen, directrice cyber intelligence et risque mondial au sein de Tarlogic, « cela impliquera très probablement d’augmenter le nombre d’institutions qui devront se soumettre à des tests de pénétration fondés sur la menace (TLPT) de manière obligatoire et périodique et, sans aucun doute, une demande plus importante qu’aujourd’hui en termes de coordination entre toutes les parties prenantes impliquées ».

Selon Richard Harmon, VP spécialisé dans les services financiers chez Red Hat, qui travaille avec un certain nombre d’établissements du secteur, l’évolution de la relation avec les parties tierces pourrait aussi, à terme, avoir un impact sur le nombre de fournisseurs : « Les établissements financiers travaillent beaucoup en silos – financement et investissement (BFI), banque privée, asset management, etc. – et cette réglementation va sans doute avoir pour effet de rationaliser le nombre de fournisseurs technologiques externes et d’approcher le secteur avec une vue beaucoup plus holistique. »

Pour l’heure, l’adaptation des banques à cette nouvelle réglementation ne semble pas présenter de difficultés particulières : « Les banques espagnoles semblent dans une position plutôt confortable pour mettre en œuvre DORA », poursuit Richard Harmon, « ce qui ne signifie pas qu’elles sont complètement prêtes : les deux prochaines années devraient permettre l’introduction d’un certain nombre d’ajustements ». Dans un article publié au printemps dans Business Insider Espana, CaixaBank, le numéro un bancaire domestique, soulignait que les « éléments obligatoires en termes de résilience, de cybersécurité et de gouvernance informatiques introduits par DORA étaient des questions qui, pour des entités comme elle – qui sont des infrastructures critiques – faisaient déjà partie de son quotidien et se développaient et évoluaient en permanence ».

Signe de leur préparation, les institutions financières opérant en Espagne peuvent se soumettre volontairement, depuis le début de l’année, à des tests avancés de cyber-résilience, dans le cadre de TIBER-ES, une adoption locale de TIBER-EU, premier cadre à l’échelle de l’Europe pour l’élaboration de tests contrôlés et sur mesure contre les cyberattaques sur les marchés financiers. « Les banques espagnoles travaillent depuis un certain temps à l’amélioration de leur résilience opérationnelle, résume une source à la Banque d’Espagne. En ce sens, Dora ne représente pas un changement radical mais une consolidation des travaux en cours. »

Selon la banque centrale, les établissements se concentrent à l’heure actuelle sur le renforcement des mécanismes de gouvernance et de contrôle interne en matière technologique et mettent davantage l’accent sur les tests de résilience opérationnelle informatique : « Il ne faut pas oublier qu’en vertu de DORA, certaines banques seront tenues de se soumettre régulièrement à des tests de résilience avancés, semblables à ceux effectués dans le cadre de TIBER », rappelle une source à la Banque d’Espagne.

Les établissements de crédit tenteraient aussi, à l’heure actuelle, de déterminer l’étendue « des nouvelles responsabilités directes et légales des membres de la direction telles qu’établies par DORA », selon Vicente Moret. En vertu du projet de réglementation, l’organe de direction est en effet tenu de conserver un rôle déterminant dans le pilotage du cadre de gestion des risques informatiques. Le chemin reste néanmoins encore long : les banques disposent d’une période de mise en œuvre de 24 mois allant de la fin de cette année à la fin 2024.