La réglementation européenne DORA doit permettre aux acteurs de la finance d’améliorer la résilience numérique. C’est pour eux l’opportunité de placer la prévention des risques cyber au cœur de leur transformation.
Cette chronique partenaire est proposée par Luc Declerk, managing director de Board of Cyber.
Depuis le 1er janvier, le monde de la finance est entré dans l’ère DORA.
Sous cet acronyme se cache le « règlement européen sur la résilience opérationnelle numérique » et la directive associée, un ensemble de règles adopté par le Conseil de l’Union européenne en novembre 2022.
Il s’agit d’un cadre réglementaire innovant qui s’attaque aux risques posés par la profonde transformation numérique des services financiers, l’interconnexion croissante des réseaux et des infrastructures critiques et la multiplication de cyberattaques très sophistiquées à l’encontre des acteurs financiers.
DORA définit un certain nombre d’exigences pour uniformiser et harmoniser la gestion des risques liés aux technologies de l’information et de la communication ainsi qu’à la sécurité des réseaux et des systèmes d’information au niveau de l’UE.
Autrement dit, les entités financières de l’Union devront s’assurer qu’elles sont en mesure de résister, de répondre et de se rétablir face à toute perturbation grave de leurs systèmes d’information.
Une attitude proactive
Ce nouveau cadre réglementaire a une portée considérable.
Par le nombre d’acteurs concernés d’abord : environ 22 000 au sein de l’UE, dont les banques bien sûr, mais aussi des acteurs moins matures en matière de sécurité comme les gestionnaires d’actifs, les fonds d’investissements ou un certain nombre de nouveaux acteurs du monde de la finance.
Par la démarche ensuite : il s’agit de faire évoluer une approche centrée sur la prévention des risques et la limitation des pertes vers une attitude pro-active, en partant du principe que des incidents, même les moins probables, vont se produire et qu’il faut être prêt à les traiter, à assurer la continuité des opérations et surtout éviter l’effet domino sur d’autres acteurs.
La finance est, en effet, un univers très interdépendant, mais aussi très dépendant de l’industrie IT. La défaillance sécuritaire d’un acteur peut déstabiliser l’ensemble du secteur et se transformer en risque systémique.
Piloter les risques liés aux tiers
En outre, la vulnérabilité des acteurs financiers en cache une autre : celle de leurs prestataires de services IT et de leurs fournisseurs en général.
C’est un problème d’une grande complexité compte tenu du nombre et de la diversité de ces « acteurs tiers ».
Or, DORA demande aux entités financières de prendre en compte ce risque, d’opérer une surveillance des fragilités IT sur les tiers et de corriger toutes les vulnérabilités.
Cela implique un double processus : une évaluation du risque cyber dès la phase de sélection d’un prestataire de services ou d’un fournisseur et une surveillance tout au long de la relation, quotidienne pour les services les plus critiques, régulière pour ceux qui présentent un risque moindre.
Pour les auteurs de cyberattaques, le fournisseur est souvent le cheval de Troie qui leur permet de pénétrer au cœur des systèmes et c’est d’autant plus vrai dans l’industrie financière.
Il est donc indispensable que les acteurs de la finance disposent d’outils de notation cyber, simples à utiliser, « user friendly », automatisés, qui leur permettent d’évaluer les risques liés aux tiers qui sont en relation avec leurs services et infrastructures IT.
Cette démarche est nécessaire pour construire une véritable résilience pour soi-même mais aussi et surtout pour les autres et pour être conforme aux exigences de DORA.
À lire aussi : La cybersécurité doit devenir une évidence dans les due diligence
