Les nouvelles habitudes des consommateurs des services bancaires, combinées à l’augmentation de l’interconnexion des systèmes, transforment les services bancaires tels que nous les connaissons. La dématérialisation des services et des modes de paiement sont les fondements de ces mutations. Le secteur des services bancaires sera très différent dans un avenir proche.
Ces changements s’accompagnent d’un degré d’exposition au cyber-risque de plus en plus important et d’une perte de maîtrise de la sécurisation de l’environnement bancaire.
Comment accompagner le secteur bancaire dans la mise en place d’une cyber-résilience ? Quels sont les principaux enjeux ?
Le RGPD de la cyber-résilience des banques
Ces dernières années, les évolutions technologiques et la dématérialisation des transactions ont entraîné une profonde mutation du secteur bancaire. Transferts automatisés et internationaux, achats en ligne, paiements par mobile, portefeuilles numériques... la banque en ligne est devenue la norme. Cette tendance a été accélérée par la pandémie, qui a obligé les banques et leurs clients à communiquer de manière encore davantage dématérialisée et de plus en plus instantanée, en utilisant différents outils, canaux et applications. Cette mutation technologique a eu pour conséquence d’accentuer le cyber-risque. Pourtant, la banque doit rester le coffre-fort des données financières de ses clients. Il faut, de ce fait, le protéger.
Le règlement DORA a pour objectif d’établir un cadre global pour les institutions financières de l’Union européenne. Il vise à unifier la gestion des risques informatiques, qualifier les cyberincidents et imposer des tests d’intrusions approfondis des systèmes bancaires, afin de mettre en place une résilience du système.
La classification des risques, la protection et la restauration sont des volets déjà recommandés par l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Avec DORA, ils deviennent obligatoires et impliquent des sanctions, notamment des pénalités financières et astreintes journalières.
Une fois l’accord final paru, les organismes bancaires auront 24 mois pour se mettre en conformité. C’est un délai très court, les établissements doivent se pencher sur la question dès maintenant et s’appuyer sur les bonnes infrastructures informatiques pour accompagner ce changement.
Trois enjeux numériques majeurs
La gouvernance est le premier enjeu de la réglementation DORA : aujourd’hui, toutes les sociétés bancaires ont une politique de cybersécurité, avec une classification des risques. DORA va apporter l’uniformisation de ces deux points au niveau sectoriel et européen. L’objectif étant de sensibiliser, responsabiliser les dirigeants et d’imposer un suivi des plans de corrections des risques identifiés, avec une méthodologie de plus en plus affinée. De même, la réglementation DORA propose une qualification des incidents de cybersécurité et une communication de ces incidents aux autorités de surveillance.
La cyber-résilience, volet non encore suffisamment traité, constitue le deuxième enjeu. DORA impose un traitement de ce dernier et un test de résilience. Les organismes bancaires sont généralement prêts à faire face aux risques naturels comme les inondations ou les incendies dans les datacenters, avec des plans de reprise d’activité (DRP) solides. Ce chantier va prendre du temps, car les banques doivent comprendre que pour faire face à un cyber-risque, il faut identifier les applications vitales, définir leurs interactions avec les systèmes, assurer une sauvegarde fiable et protégée de ces applications, et construire un environnement sécurisé pour les restaurer en cas de crise.
Aujourd’hui, les tests de Disaster Recovery couvrent les risques physiques, mais ne couvrent pas les risques de cybersécurité. L’interconnexion des datacenters primaires et de repli, ainsi que la mise en commun des systèmes d’identification, les rend vulnérables. Ce qui veut dire qu’en cas de cyberattaque, les deux datacenters seront impactés. C’est pour cette raison que l’on parle d’une reconstruction dans une « bulle sécurisée », ou d’une sauvegarde des systèmes dans un coffre sécurisé, souvent externalisé et déconnecté des systèmes actifs.
Être cyber-résilient, c’est non seulement avoir la capacité de sauvegarder ces systèmes, mais aussi la possibilité d’assurer la fiabilité et la non-corruption de données sauvegardées : on parle de « cyber vault », mais aussi de sauvegardes immuables ou de sauvegardes externalisées. Être cyber-résilient, c’est être en mesure de restaurer le service. Le plus efficace étant d’automatiser ces restaurations d’un point de vue application, et de pouvoir le faire dans un environnement sécurisé.
Enfin, DORA prend en compte la multiplication des acteurs dans les transactions bancaires. Les transactions bancaires d’une entreprise ou d’un individu regroupent des informations sensibles et confidentielles. Elles sont traitées aujourd’hui en instantané, et sous la responsabilité des banques. Il est loin le temps où un agent fermait à clef le coffre-fort de la banque. Aujourd’hui, il est complètement ouvert et accessible par des milliers d’applications et systèmes qui interagissent avec le système bancaire.
Lorsqu’on parle de dématérialisation des échanges bancaires, on parle d’interactions applicatives, d’utilisation d’API (interfaces de programmation d’application), qui font des requêtes directement dans les bases de données des banques (demandes de transactions, accès à des données spécifiques...) en utilisant des supports de plus en plus nombreux. Ces nouvelles technologies, telles que les API, ne sont pas sans risques. En effet, on estime qu’elles seront des sources de vulnérabilités majeures dans les deux années à venir.
Assurer la continuité de service
Ces multiples couches d’interactions, impliquant les sous-traitants du secteur bancaire, augmentent le risque de sécurité. C’est pourquoi le règlement DORA ne prend pas uniquement en compte l’établissement bancaire, mais également le risque associé aux prestataires de services interagissant avec les systèmes bancaires.
L’enjeu est non seulement d’assurer la sécurité, mais aussi, grâce à la résilience, la continuité de service.
À l’instar de toutes les entreprises, la question à se poser n’est plus « Vais-je un jour être attaqué ? » mais plutôt « Quelles mesures adopter en cas de cyberattaque pour limiter les dégâts ? ». La cybersécurité et la cyber-résilience doivent plus que jamais aller de pair. Il faut non seulement être capable de détecter une attaque au plus tôt, de limiter ses impacts, mais aussi pouvoir assurer la continuité de service des systèmes vitaux de l’entreprise.
