Une réglementation qui vise à renforcer la résilience au sein de l'Union européenne face à la recrudescence des cyberattaques.

Homogénéiser les bonnes pratiques en matière de gestion du risque cyber pour les entreprises du secteur financier entre tous les pays de l’Union Européenne : voilà l’objectif de la directive DORA. Prévention, avertissement, tests pratiques, contrôle des tiers, elle permettra de leur assurer une bonne capacité de résilience numérique en cas de coup dur. Explications. 

À partir de janvier 2025 la directive européenne Digital Operational Resilience Act (DORA) s’appliquera aux 27 États membres de l’Union européenne. Son ambition est de renforcer les capacités de résilience numérique des acteurs de la finance : établissements de crédit, entreprises d’investissements, établissements de paiement, de monnaie électronique, sociétés de gestion, sociétés d’assurance et de réassurance... En effet, avec l’automatisation des tâches, la numérisation des processus, l’introduction des intelligences artificielles et une utilisation accrue du cloud, la cybersécurité est devenue une préoccupation majeure du secteur. Pour la seconde année consécutive, le risque cyber est la première préoccupation des entreprises en Europe et dans le monde au même niveau que le risque d’interruption des activités et loin devant le risque lié aux catastrophes naturelles ou au changement climatique.
Les acteurs de la finance et leurs partenaires, notamment les tiers, sont de fait, de plus en plus exposés aux cybermenaces, qu’il s’agisse des tentatives d’hameçonnage (phishing) des rançongiciels, du vol de données sensibles ou des intrusions dans les systèmes. Comment mieux les préparer à contenir une cyberattaque et comment faire pour qu’elles puissent poursuivre leurs activités si l’attaque a impacté lourdement leurs systèmes ? Par la mise en place pour les entreprises du secteur financier d’un système informatique (SI) résilient qui doit intégrer les risques liés au tiers, la réalisation de tests réguliers pour éprouver les plans de reprise d’activité (PRA), les plan de continuité des activités (PCA) afin de s’inscrire dans un cercle vertueux d’amélioration continue.

Pallier le manque d’harmonisation européenne 

Malgré la publication des guidelines de l’EBA (EBA / GL / 2019/ 02) et de l’EIOPA en 2020 relatifs aux risques liés aux TIC et à l’outsourcing, le régulateur a constaté des disparités dans les moyens mis en œuvre dans les différents pays de l’UE pour lutter contre les cyberattaques. Sur ce sujet « la France n’était d’ailleurs pas en retard, elle était précurseur car la Loi de programmation militaire de 2013 qui a contraint certaines entités à atteindre un niveau minimal de cybersécurité, selon Eric Cissé, compliance lead pour la France chez Accenture. Mais l’expert souligne que c’est pour pallier ce manque d’harmonisation entre les pays de l’UE que ce règlement concernant les acteurs du secteur financier a été prise. Le régulateur a constaté des carences liées à la gouvernance, au cloud et aux risques liés aux tiers, ces derniers sont souvent le maillon faible et leur importance est parfois vitale pour l’intégrité d’une entreprise.
L’incendie, qui a ravagé un hébergeur de données dans le cloud il y a 3 ans, est une parfaite illustration de ce qu’il ne faut pas faire afin de préserver ses données et sa résilience.
« Admettons que cet hébergeur ait eu la mauvaise idée de placer les sauvegardes de données et leurs doubles sur des serveurs qui se trouvent dans le même bâtiment et que celui-ci soit dévasté par un incendie. C’est une catastrophe ! ». Ce scénario s’est malheureusement produit en 2021 et l’objectif de DORA est de prémunir les entreprises de l’EU contre certains risques cyber qui étaient parfois ignorés ou mal maîtrisés. Force est de constater que les incohérences, ou les chevauchements des réglementations nationales mettaient en péril la stabilité du secteur financier.

Une directive à cinq piliers 

Disposer d’une réglementation solide est une chose, l’appliquer aux spécificités particulières de chaque entité en est une autre. Eric Cissé explique que « la première étape consiste à identifier le périmètre d’applicabilité de DORA et d’effectuer une analyse d’écart entre l’existant et les exigences du règlement. Ensuite, nous construisons avec le client un plan d’action pragmatique qui tient compte des projets en cours ou futurs qui peuvent contribuer à la démarche de mise en conformité ». « Les articles de DORA ne sont pas toujours faciles à décliner en mesures organisationnelles ou techniques pour certaines entités financières. Notre rôle est de proposer des assets « prêts à l’emploi » via une application qui permettent d’évaluer le niveau de conformité pour chaque exigence, de formuler des recommandations prioriser, d’établir un plan d’action et une feuille de route ce qui limite la mobilisation des équipes du client pendant le projet et réduit d’autant la durée de la prestation ».
Pour renforcer la résilience des acteurs de la finance, ce règlement s’appuie sur cinq piliers. Le premier, porte sur la responsabilité de la direction dans la gestion du risque lié aux systèmes informatiques. Pour y répondre, l’entité financière doit mettre en place une gouvernance qui engage la responsabilité de la direction dans l’appréciation du risque et des moyens mis à disposition des équipes opérationnelles pour mener à bien leur mission. Cette implication au plus haut niveau de la direction doit garantir un niveau élevé de résilience en cas de coup dur le plan de remédiation doit être mis à jour et amélioré régulièrement en fonction du second pilier dédié à la gestion du risque TIC. La gestion des incidents TIC s’effectue désormais via une classification imposée par DORA et le dépôt de notifications aux autorités compétentes en cas d’incident majeur ou de cyberattaque importante s’impose aux acteurs du secteur financier. Il s’agit de transmettre ces informations aux différentes autorités de surveillance européenne (ESMA, EBA, EIOPA). Elles vont alors évaluer la criticité de l’incident. Pour Eric Cissé, ce point est primordial puisqu’il permet aux autorités de prendre les mesures nécessaires pour éviter que cet incident se reproduise et affecte d’autres entreprises du secteur. Enfin, cette obligation de notification aux autorités s’accompagne d’une obligation aux clients, ce n’est pas sans rappeler l’article 34 du RGPD.

Des tests de résiliences identiques pour tous les pays 

Plus dédié à la prévention du risque cyber, le troisième pilier est technique. Il s’agit de mettre en place des tests d’intrusion basé sur la menace selon le référentiel TIBER-EU. Cela permet de mettre en évidence d’éventuels points faibles et d’apporter les corrections nécessaires. Ces tests de résilience doivent être effectués une fois par an par des sociétés indépendantes. En écho aux notifications, et c’est le quatrième pilier, les entreprises du secteur doivent également partager entre elles leurs retours d’expérience concernant des vulnérabilités détectées ou des cybermenaces.

« L’entreprise doit pouvoir auditer son prestataire » 

Enfin, la réglementation insiste également sur la nécessité de se préserver des risques issus d’un tiers de services de solutions informatiques ou de communication. Eric Cissé détaille : « Cela passe par des clauses précises dans les contrats sur la sécurité des données, de leur sauvegarde et de leur accès. Mais pas seulement, car l’entreprise doit pouvoir auditer son prestataire pour vérifier qu’il tient bien ses promesses en matière de gestion du risque cyber, à défaut l’entreprise peut demander à accéder aux rapports SOC 2 Type 2 qui précisent la description et la conception des contrôles, mais aussi l’évaluation de l’efficacité opérationnelle de ces contrôles ».
DORA contribuera à renforcer la stabilité du secteur financier, à harmonier les bonnes pratiques en Europe et à augmenter la résilience du secteur financier face au risque systémique que sont les cyberattaques.


Télécharger la publication "Le risque cyber - État des lieux, rôle de l’assurance et prévention"ici