Dans les discussions avec des dirigeants de grandes institutions financières et de systèmes critiques, un thème revient toujours création : la disponibilité des systèmes d’information. En effet, leur indisponibilité est une constante source de stress, chaque minute d’arrêt représentant des pertes financières considérables, avec la possibilité d’aller encore bien au-delà dans les conséquences. Imaginez un hôpital incapable d’accéder à des dossiers médicaux...
DORA est le « nouveau gardien de la résilience ». Adopté le 14 décembre 2022, le règlement Digital Operational Resilience Act est un cadre législatif ambitieux, conçu pour renforcer la résilience opérationnelle numérique des institutions financières. Parmi ses objectifs principaux figurent le fait d’empêcher qu’une faille localisée ne se propage dans l’ensemble du système financier, la mise en place d’un cadre cohérent pour tous les États membres, et la garantie d’une préparation optimale via des tests de continuité de service et d’intrusion. Évidemment, c’est une contrainte pour les entreprises contraintes de se conformer à ces nouvelles exigences, souvent coûteuses et complexes.
Une solution de secours activable rapidement
Sur quel allié peuvent donc s’appuyer les acteurs du secteur banque et assurance pour surmonter ces défis et accélérer leur conformité à DORA ? Un cloud de confiance, qualifié SecNumCloud par l’ANSSI offrant offre sécurité, flexibilité et évolutivité ! C’est une réponse de choix, et ce pour plusieurs raisons majeures.
Les banques et les assurances ont déjà réalisé des investissements considérables dans leurs datacenters et, grâce à leurs équipes d’experts, elles effectuent régulièrement des tests de résilience et de continuité des services. Elles ont aussi pris soin de veiller à ce que leurs données sensibles restent confinées dans leurs infrastructures locales, en raison des impératifs de confidentialité et de sécurité. Cela implique parfois de doubler la taille de l’infrastructure, ce qui est perçu comme l’une des principales sources de coûts et de dépenses.
Cependant, imaginez maintenant une banque confrontée à une panne majeure dans son datacenter principal. Sans un plan B, elle court le risque d’un arrêt total de ses activités, avec des conséquences dramatiques : pertes financières massives et une perte de confiance irréversible de la part de ses clients. C’est là qu’un cloud de confiance devient un allié précieux. Il permet à la banque de sécuriser ses données critiques et de garantir leur accessibilité sans compromettre leur confidentialité, tout en restant conforme aux exigences légales de protection des données, notamment en Europe.
La preuve avec cette grande compagnie d’assurance qui avait intégré un cloud de confiance comme solution de sauvegarde. Lors d’une cyberattaque, l’entreprise a pu transférer ses opérations critiques sur le cloud de confiance en un temps record, limitant ainsi les interruptions à moins d’une heure. En conséquence, les clients n’ont ressenti aucune perturbation, ce qui a renforcé leur confiance dans la résilience de l’entreprise face aux risques technologiques.
Ainsi, bien que les investissements dans les datacenters traditionnels restent importants, le recours à un cloud de confiance offre aux institutions financières une solution flexible et complémentaire pour assurer la continuité des services, réduire les coûts d’infrastructure et garantir la sécurité des données. Cela permet également d’optimiser les ressources tout en répondant aux exigences strictes en matière de confidentialité et de résilience opérationnelle. Adopter un cloud de confiance permet de passer d’un modèle basé sur des investissements lourds à un modèle plus flexible de dépenses d’exploitation. Cela réduit les coûts initiaux tout en permettant une évolutivité rapide. À la clef : une économie allant jusqu’à 30 %.
À l’abri des regards étrangers
Deuxièmement, les tests de résilience, notamment les tests de plan de continuité des services obligatoires sous DORA pour certaines entités, sont essentiels pour simuler des cyberattaques et identifier les vulnérabilités au sein des infrastructures d’une organisation. Bien qu’indispensables pour évaluer la robustesse des systèmes, ces tests génèrent des données particulièrement sensibles. Détails sur les failles de sécurité, les risques d’intrusion et autres vulnérabilités peuvent, si elles sont mal gérées, exposer l’organisation à des menaces externes.
Il est donc crucial que ces données soient stockées et analysées dans un environnement sécurisé et contrôlé. C’est ici que le cloud de confiance joue un rôle primordial, en aidant les institutions financières à garantir que ces informations restent strictement confinées au sein de l’Union européenne, à l’abri des lois extraterritoriales qui pourraient potentiellement compromettre la confidentialité et la sécurité des données sensibles. Les législations étrangères autorisent les autorités de certains pays à accéder aux données stockées, même lorsque celles-ci se trouvent sur des serveurs situés en Europe. Le cloud de confiance protège donc les données critiques en veillant à ce qu’elles ne soient jamais soumises à de telles lois extraterritoriales.
Un autre avantage clé du cloud de confiance est qu’il permet de créer un environnement sécurisé pour l’exécution des tests de résilience. Dans cet environnement, les résultats des tests sont collectés et analysés rapidement, offrant ainsi aux équipes de sécurité la possibilité de corriger les failles identifiées de manière efficace et immédiate. L’accès restreint à ces informations sensibles, dans un environnement protégé, empêche toute fuite ou exploitation malveillante, garantissant ainsi une gestion optimale des vulnérabilités.
En outre, cette approche permet non seulement de renforcer la sécurité globale des systèmes, mais aussi de respecter scrupuleusement les exigences réglementaires imposées par DORA, notamment en matière de confidentialité et de gestion des risques. En stockant les résultats des tests dans un cloud de confiance, les institutions financières peuvent démontrer leur conformité tout en s’assurant que les informations sensibles sont protégées contre toute intrusion ou violation de la sécurité.
L’accès des prestataires dûment contrôlé
Enfin, l’article 26 de DORA impose une surveillance stricte des prestataires de services externes, notamment ceux qui ont accès aux systèmes et aux données sensibles des institutions financières. Cela inclut la gestion des risques liés à la dépendance envers des fournisseurs, ainsi que la nécessité d’assurer que les tiers respectent les normes de sécurité et de confidentialité élevées. Le recours à un cloud de confiance qualifié SecNumCloud, constitue une solution particulièrement avantageuse pour maîtriser ces risques. Un cloud de confiance permet de garder un contrôle total sur la chaîne des sous-traitants, en veillant à ce que chaque prestataire ait des accès clairement définis et strictement contrôlés. Contrairement aux solutions de cloud public ou non de confiance, où il peut être difficile de vérifier qui accède à quelles données et sous quelles conditions, un cloud de confiance assure une infrastructure et des services gérés au sein d’une chaîne de confiance complète, de bout en bout.
En optant pour un cloud qualifié SecNumCloud, les institutions financières bénéficient d’une plateforme de cloud rigoureusement auditée par l’ANSSI. Cette qualification garantit que le cloud respecte des exigences strictes en matière de sécurité, notamment en ce qui concerne la gestion des accès et la protection des données sensibles. SecNumCloud impose des critères de sécurité très élevés, assurant que les données des institutions financières sont protégées contre toute intrusion, tout en permettant de suivre de manière transparente et traçable les accès aux informations. En d’autres termes, avec un cloud de confiance, vous avez l’assurance que les données sensibles restent sous le contrôle de la législation européenne, tout en étant protégées par des mécanismes de sécurité avancés.
Le contrôle renforcé des accès est un autre avantage clé du cloud de confiance qualifié SecNumCloud. En utilisant des outils de gestion des identités et des accès (IAM) du cloud de confiance, les institutions financières peuvent limiter les accès aux données en fonction des rôles et des responsabilités des utilisateurs et des prestataires. Par exemple, il est possible de définir que certains prestataires externes n’ont accès qu’à des informations spécifiques et qu’ils ne peuvent effectuer que des actions préalablement autorisées. Cette approche granularisée réduit le risque de violations de sécurité et permet aux entreprises de mieux gérer la relation avec leurs prestataires.
DORA est une opportunité pour moderniser les infrastructures et renforcer la confiance. Le cloud de confiance qualifié SecNumCloud est l’allié parfait pour aider les banques et compagnies d’assurance à relever ce défi, en assurant non seulement leur conformité à DORA, mais aussi en transformant leurs systèmes pour un avenir numérique résilient et sécurisé.
