De l’intérêt du secteur financier
à se tenir prêt

Alors que la fréquence des cyberattaques se multiplie, le texte de l’accord provisoire du règlement DORA (Digital Operational Resilience Act), rendu public le 11 mai 2022 par la Commission européenne (CE), représente la plus importante initiative réglementaire de l’Union européenne en matière de résilience opérationnelle et de cybersécurité dans le secteur des services financiers et doit considérablement contribuer à la consolidation et à la mise à niveau des exigences à l’égard des entreprises du secteur financier.

Avec l’accélération de la numérisation, le secteur bancaire s’est, ces dernières années, rendu fortement dépendant à l’égard des technologies de l’information et de la communication (TIC). Dans un rapport publié en juin 2022, la Banque de France identifie le risque cyber comme un de ses risques structurels majeurs. On entend par « risque cyber » tout risque de perte financière, de perturbation ou d’atteinte à la réputation d’une organisation résultant d’une défaillance quelconque de ses systèmes informatiques.

En 2021, selon IBM, le secteur financier a subi plus de 20 % des cyberattaques et incidents à travers le monde, alors qu’il ne représente que 8 % du PIB mondial. Parmi ces cyberattaques, 21 % sont dites « indirectes », c’est-à-dire réalisées via l’intermédiaire de l’entreprise touchée : prestataire informatique, fournisseur de données, etc. SolarWinds est un bon exemple d’attaque par fournisseur ; 425 entreprises du classement Fortune 500 ont été impactées. Les hackers ont réussi à atteindre de nombreux organismes tels que l’Autorité bancaire européenne via le service de messagerie professionnelle Microsoft Exchange.

La Banque Centrale Européenne (BCE), dans sa publication des priorités prudentielles 2022-2024, identifie elle aussi le risque cyber comme majeur. Les insuffisances en matière de sécurité des fournisseurs informatiques et de cyber-résilience (désignant la capacité d’une entreprise à gérer une cyberattaque ou une violation de données tout en continuant à exercer efficacement ses activités) lui apparaissent comme une vulnérabilité forte pour le secteur financier. Elle souhaite donc intensifier les activités prudentielles autour des risques de dépendances à l’égard des fournisseurs TIC.

D’où le projet de règlement autour de la résilience opérationnelle numérique du secteur financier : DORA.

L’ambition de ce projet est de garantir la mise en place de protections nécessaires face aux risques des fournisseurs TIC, tels que les cyberattaques ou tout autre type d’incidents ou menaces, et de se protéger à l’égard de la dépendance du secteur financier vis-à-vis de ses fournisseurs. Ces mesures passeront par l’établissement d’un cadre européen complet et harmonisé pour l’ensemble des institutions financières. En effet, DORA couvrira un large panel d’institutions financières tels les établissements de crédits et de paiements, les compagnies d’assurance, les PSAN (Prestataires de services sur actifs numériques), les gestionnaires de fonds, ou encore les entreprises d’investissements.

Les fournisseurs de services tiers TIC (éditeurs de logiciels, fournisseurs cloud, fournisseurs de données...) travaillant pour le secteur bancaire font également partie du champ d’application de DORA. Certains ont déjà annoncé être en train de préparer sa mise en application, en travaillant en collaboration avec les différentes instances européennes, comme c’est le cas d’Amazon, via sa filiale Amazon Web Services, ou encore de Google, via Google Cloud.

Les exigences de DORA se répartissent en cinq domaines :

– la gouvernance et la gestion des risques liés aux TIC ;

– la gestion des signalements des incidents liés aux TIC ;

– les tests de résilience opérationnelle numérique ;

– la gestion des risques liés aux prestataires de services TIC ;

– le partage d’informations.

Il convient, pour les organismes, d’appliquer une série d’exigences spécifiques issues de ces divers domaines.

La mise en place de la gouvernance est le premier domaine majeur à initier dans une démarche de mise en conformité. Elle a pour objectif de définir clairement les rôles et responsabilités en matière de gestion du risque des fournisseurs TIC au sein des entreprises.

Une des exigences de ce domaine implique que les dirigeants soient dans l’obligation de suivre une formation dédiée aux risques informatiques et impacts sur les opérations adaptées au contexte.

Une seconde exigence est la mise en place d’un organe dédié à la gestion des risques TIC. Il appuiera l’identification des fournisseurs TIC critiques, la définition des politiques et les stratégies de traitement des risques.

Dans un second domaine, la gestion des incidents liés au TIC va permettre de standardiser l’approche de classification des incidents avec un langage commun au secteur financier.

Cette approche favorisera l’échange et le partage d’informations entre acteurs bancaires et donc les possibilités d’une montée en maturité globale du secteur dans la détection, réaction et remédiation face aux vulnérabilités ou incidents pouvant être rencontrés par un fournisseur.

Les programmes de tests d’intrusions ou bien la mise en place d’une gestion des risques liés aux fournisseurs TIC vont permettre de renforcer la détection de vulnérabilités. Les événements redoutés tels que début 2021 doivent être anticipés par les entreprises, d’autant plus dans un contexte où le Move to Cloud est de plus en plus adopté. L’observation des scénarios de continuité et reprise d’activités dès les phases de contractualisation va justement aider à prévenir les impacts de ces événements.

Le secteur financier doit se tenir prêt à transformer ses modèles opérationnels existants et commencer à planifier une feuille de route claire et adaptée aux différents enjeux de DORA.

Pour cela, les entreprises vont devoir réaliser un état des lieux de leurs modèles opérationnels afin de comprendre au plus vite leurs forces et potentielles lacunes en termes de résilience opérationnelle : pratiques de gouvernance des risques, dépendances fournisseurs, maturité et capacité à gérer les incidents et menaces, facultés à tester et concevoir des scénarios pertinents.

La mise en place de la gouvernance peut être construite sur le modèle du « Security by Design » au travers de l’implémentation d’un processus qui va prendre en compte les notions de risques des fournisseurs dans l’ensemble du cycle de vie contractuel avec ceux-ci : depuis les phases amont précédant la contractualisation jusqu’au suivi pendant la période contractuelle et au moment de sa sortie.

En amont de la contractualisation, l’évaluation de criticité du fournisseur sera primordiale afin d’identifier précisément les niveaux de dépendances et de risques attribués aux prestataires informatiques.

Lors de la phase de contractualisation, d’autres éléments pourront être observés tels que la sécurité des données personnelles, les droits d’accès, le lieu des datacenters, indicateurs liés à l’interruption ou la continuité d’activité...

Pendant toute la durée du contrat, la réglementation impose une démarche de suivi permanent d’évolution des risques, changements contractuels, indicateurs...

La mise en place de conduite du changement au travers d’un dialogue collaboratif entre les directions générales, les équipes cybersécurité, la DSI, les départements corporate (achats, finance, juridique...) et les métiers sera un levier pour la mise en conformité des entreprises à DORA.

Le but sera d’évaluer les scénarios de risques les plus critiques tout en sensibilisant l’ensemble des fonctions à ces scénarios et en responsabilisant le métier par rapport au système d’information.

DORA pourrait être une véritable réponse quant aux menaces technologiques auxquelles le secteur financier doit faire face. La mise en place des exigences du règlement sur une période de 24 mois sera néanmoins un véritable challenge pour les organisations, aussi bien au niveau des besoins de transformations des modèles opérationnels, de l’accompagnement du personnel, que des nouvelles dépenses qui vont être générées. Pour autant, au-delà de se mettre en conformité avec les exigences du règlement, le secteur financier doit percevoir DORA comme une véritable opportunité de développer sa résilience opérationnelle et d’inscrire les risques fournisseurs dans sa culture d’entreprise.