Le secteur financier figure parmi les cibles préférées des cybercriminels. Selon le Fonds monétaire international, près d'un cinquième des cyberattaques récentes visaient des entreprises financières, les banques étant les plus ciblées. Pour aider les institutions financières à résister à ces menaces, l'UE a introduit la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act ou Dora), qui s'appliquera à partir du 17 janvier 2025.
Dora vise à renforcer la sécurité des entités financières, traditionnelles ou non, notamment les banques, les entreprises d'investissement, les établissements de crédit, les cabinets d'audit, les agences de notation, ainsi que les fournisseurs de services de crypto-actifs et les plateformes de financement participatif (crowdfunding). Par extension, le règlement s'applique aux fournisseurs de services tiers qui travaillent avec ces entités financières, comme les opérateurs de datacenters et les fournisseurs de cloud.
Explorons Dora
En termes simples, cette réglementation a deux objectifs : offrir un cadre complet pour la gestion des risques dans le secteur financier et harmoniser les réglementations en matière de gestion des risques dans l'ensemble de l'UE, car les règles applicables aux organisations financières varient d'un pays à l'autre. L'harmonisation est l'une des plus grandes réussites de Dora, qui « va simplifier les choses pour tout le monde à long terme », estime Joel Brandon, responsable des ventes pour la région EMEA chez ProcessUnity, éditeur spécialiste de la gestion des risques et de la conformité.
La législation donne aux entités financières la possibilité de se mettre l'accent sur le renforcement de leur résilience face aux cyber-menaces, ajoute-t-il. Elle encouragera les organisations à améliorer leur posture de sécurité globale et à favoriser la collaboration. « Ce que nous apprécions vraiment dans Dora, c'est l'opportunité qu'elle offre aux entités concernées de se concentrer sur les perturbations des TIC et l'impact qu'elles pourraient avoir non seulement sur leurs propres activités, mais aussi sur l'écosystème plus large dans lequel elles opèrent », analyse Joel Brandon.
Toutefois, se conformer au texte d'ici à janvier 2025 est tout sauf une sinécure, et le calendrier apparaît difficile à respecter pour de nombreux RSSI. Si beaucoup ont fait des efforts pour se préparer, il reste encore beaucoup de travail à accomplir. Une petite enquête de McKinsey, réalisée en mars 2024, a révélé que cinq des 16 cadres et responsables de programmes interrogés doutaient de pouvoir respecter le délai fixé par Dora, et que seuls cinq d'entre eux étaient confiants dans leur capacité à se conformer au règlement dans les temps.
Des exigences dans 4 domaines
En plus d'intensifier leurs efforts, les entités financières doivent donc définir leurs priorités. « De nombreuses entreprises ne réalisent pas à quel point la conformité à Dora peut être complexe, d'autant plus que le texte implique la collaboration d'un grand nombre de parties différentes de l'organisation, reprend Joel Brandon. Nous constatons que nos clients sous-estiment souvent les ressources et le temps nécessaires, notamment pour la gestion des risques liés aux tiers et la mise en place de systèmes efficaces de signalement des incidents. »
Le texte sur la résilience opérationnelle numérique fixe des exigences dans quatre domaines clés : la gestion des risques, la réponse aux incidents, les tests de résilience opérationnelle et la gestion des risques liés aux tiers. En outre, il encourage les entités financières à partager les informations relatives aux cybermenaces, même si cet aspect n'a pas de caractère obligatoire.
La première des exigences, la gestion des risques et la gouvernance, fait reposer la responsabilité sur les épaules de l'organe de direction. Il stipule que les membres du conseil d'administration, les dirigeants exécutifs et les cadres supérieurs doivent définir des stratégies solides de gestion des risques et s'assurer de leur mise en oeuvre. En outre, Dora exige que tous les décideurs se tiennent au courant des derniers risques cyber. En cas de non-respect de ces obligations, les membres du conseil d'administration et les dirigeants peuvent être tenus personnellement responsables.
Répertorier et classifier les incidents
Dans ce contexte, le rôle des RSSI, qui consiste à fournir aux parties prenantes des informations sur les tendances en matière de sécurité, devient de plus en plus important. Ils doivent offrir des informations claires à des publics non techniques et s'assurer que tout le monde comprend les risques encourus. A la fois un défi, mais aussi une opportunité de faire prendre conscience de l'importance de leur rôle dans l'organisation. « Une fois que les membres du conseil d'administration et les autres dirigeants seront tenus pour responsables, ils prendront la sécurité plus au sérieux », explique Sagie Dulce, vice-président de la recherche chez Zero Networks, spécialiste de la protection des réseaux.
La règlementation exige également que les entités financières « identifient, suivent, enregistrent, catégorisent et classent les incidents liés aux TIC en fonction de leur priorité et de leur gravité et en fonction de la criticité des services touchés », peut-on lire dans le document. L'impact d'un incident est déterminé sur la base de plusieurs critères, dont le nombre et l'importance des clients affectés, la durée de l'incident, son étendue géographique, les pertes potentielles de données, la criticité des services affectés et, enfin, les coûts et pertes directs et indirects.
Trois natures de notifications d'incidents
Lorsque des incidents critiques se produisent, les organisations doivent, par ailleurs, en informer les autorités compétentes. Trois notifications sont prévues : une initiale qui reconnaît l'incident, un rapport intermédiaire suivi de notifications mises à jour chaque fois que de nouvelles informations sont disponibles pour expliquer comment l'incident est géré, et un rapport final qui examine la cause de l'incident, son impact réel et les mesures d'atténuation prises par l'organisation.
Un autre aspect essentiel du texte réside dans l'obligation de tester régulièrement les systèmes. Les évaluations de vulnérabilité et les tests basés sur des scénarios d'incidents doivent être effectués une fois par an, tandis que les tests de pénétration basés sur des menaces peuvent, eux, être réalisés tous les trois ans.
Dora s'attaque aux risques liés aux tiers
Mais ce qui est remarquable dans ce texte, c'est qu'il ne s'applique pas seulement aux entités financières, mais également aux fournisseurs de services tiers. Or, selon l'enquête de McKinsey, la gestion des risques liés aux tiers est l'un des domaines dans lesquels les organisations financières éprouvent le plus de difficultés. Plus de la moitié des cadres et des responsables de programmes interrogés dans le cadre de cette étude ont déclaré qu'il s'agissait de l'un des éléments de Dora les plus complexes à mettre en oeuvre. Le RSSI joue un rôle clé à cet égard, car il aide les employés à évaluer les cybermenaces de la supply chain IT et veille à ce qu'ils comprennent les conséquences d'un engagement avec tel partenaire sur la sécurité de l'information.
Les entités financières qui n'ont pas de programme dédié aux risques liés aux tiers devront en mettre un en place. « Nous allons assister à une surveillance beaucoup plus stricte et à moins de vérifications préalables basées sur une liste d'exigences à cocher. Et cette attention s'étendra tout au long du cycle de vie d'un contrat, dit Joel Brandon. Nous nous attendons à ce que l'accent soit mis davantage sur les clauses de sécurité, les droits d'audit, les mécanismes de reporting, ainsi que sur des clauses de résiliation strictes, permettant aux organisations de mettre fin plus facilement à des relations contractuelles en cas d'incidents. »
Priorités absolues à l'approche de janvier 2025
Dora commençant à s'appliquer dans six mois seulement, les organisations qui opèrent dans le secteur financier doivent accélérer leurs efforts, et les RSSI doivent s'assurer qu'ils mettent en oeuvre toutes les politiques de sécurité requises par la loi. « Six mois, c'est un délai très court », observe Wayne Scott, responsable des solutions de conformité réglementaire chez Escode, une entité du groupe NCC spécialisée dans la sécurisation des codes source. Dans l'idéal, les entités réglementées devraient avoir déjà effectué un grand nombre de tests de scénario d'incidents, avec un pourcentage élevé de tests réussis ».
Les RSSI travaillant pour des petites ou moyennes entreprises, qui n'ont pas suffisamment investi dans la cybersécurité, seront confrontés à de nombreux défis. Selon Wayne Scott, un bon point de départ consiste à effectuer une analyse d'écarts afin de déterminer dans quels domaines les contrôles existants répondent aux exigences de Dora et dans quels domaines il faut investir. L'échéance approchant à grands pas, il n'est pas réaliste de viser une conformité à toutes les obligations dans les délais impartis ; mieux vaut commencer par se concentrer sur les plus critiques.
Bien entendu, à ce stade, la cartographie de l'environnement est cruciale. Les organisations doivent « s'assurer qu'elles peuvent répondre aux questions fondamentales, comme savoir qui a accès à quoi, que l'on parle des collaborateurs en interne ou des tiers, dit Sagie Dulce. Elles doivent effectuer des tests de pénétration complets et disposer d'une certaine forme de journalisation et de surveillance. »
Rapatrier ou externaliser en cas de panne
Les RSSI doivent également se pencher sur les systèmes existants qui pourraient avoir besoin d'être mis à niveau pour répondre aux exigences du texte. Cette mise à niveau peut s'avérer difficile et coûteuse à ce stade, mais elle permettra théoriquement à l'organisation d'être plus sûre à long terme.
Les entités financières doivent également affiner leurs plans de sortie de crise. Selon Dora, les plans de sortie doivent être complets, « suffisamment testés et révisés périodiquement ». « Ces plans doivent être testés de succès, ils doivent montrer clairement que l'entité réglementée peut rapatrier la gestion d'un service défaillant en interne [si ce service est externalisé, NDLR] ou, à l'inverse, en confier la gestion à un tiers, ajoute Wayne Scott. Il faut également établir clairement si des solutions de dépôt de code entièrement testées ont été mises en place. »
Dora ne cite pas directement le dépôt de code auprès d'un tiers neutre (les solutions dites escrow) comme une composante des plans de sortie de crise. « Dora est agnostique sur le plan technologique et ne peut citer aucune solution, reconnaît Wayne Scott. Mais il y a une raison évidente pour laquelle des organismes comme la PRA, l'OCC, la RBI et le MAS citent tous le séquestre de code : cette solution fonctionne. »
Conformité et technique avancent de concert
Quelles que soient les priorités fixées par une organisation, une équipe pluridisciplinaire au sein de laquelle le personnel technique joue un rôle central, doit être mise en place et les RSSI devraient plaider en ce sens. Car, ainsi, les mesures de conformité et de sécurité ont une bonne chance d'avancer de concert. Selon Beltug, la plus grande association belge de DSI et de responsables des technologies, se concentrer uniquement sur une approche descendante de la conformité, sans impliquer le personnel technique, pourrait créer des problèmes à terme.
Selon Joel Brandon, une fois que l'on aura « bien compris le champ d'application de Dora, il sera plus facile de constituer une équipe interne composée des services concernés, tels que la sécurité informatique, la conformité, les approvisionnements et le service juridique ».
Les erreurs à éviter
Les RSSI doivent également être attentifs aux pièges les plus courants. La plus grosse erreur qu'ils pourraient commettre est peut-être « d'aller trop lentement, de rendre les choses plus compliquées qu'elles ne le sont et de ne pas prendre de conseils extérieurs », selon Rois Ni Thuama, expert en cyber-gouvernance et en conformité aux risques. Joel Brandon, de ProcessUnity, ne dit pas autre chose : « l'erreur principale est de s'attaquer aux sujets trop tard ou de délibérer trop longtemps sur les mesures à prendre ».
Les RSSI doivent également être conscients des chevauchements entre Dora et d'autres exigences. Une erreur fréquente consiste à penser que le texte sur la résilience couvre entièrement la directive NIS2, ce qui est faux. « La directive NIS2 est prioritaire dans les domaines où Dora ne contient pas d'exigences spécifiques », indique ainsi Beltug. Les États membres de l'UE doivent adopter la directive NIS2 avant le 17 octobre de cette année.
Les organisations financières ont également tendance à sous-estimer certains risques : la défaillance des fournisseurs, la détérioration des services et le risque de concentration. Wayne Scott estime que les accords de licence devraient être modifiés pour inclure des exigences relatives aux plans de sortie en urgence d'un fournisseur. Toutefois, cela pourrait s'avérer difficile à réaliser étant donné l'échéance qui approche. « Les négociations contractuelles prennent du temps, conclure ces négociations dans le timing prévu risque d'être difficile », reconnaît-il.
L'impact mondial de Dora
Le Digital Operational Resilience Act devrait être un texte marquant tant au sein de l'Union européenne qu'à l'échelle mondiale. Si elle s'avère efficace, la réglementation pourrait être reproduite dans d'autres parties du monde, ce qui permettrait aux banques et aux autres entreprises financières d'être mieux préparées aux incidents liés à la technologie.
« Les régulateurs américains ont clairement indiqué leur penchant pour Dora et ont fortement laissé entendre que les États-Unis peuvent s'attendre à des discussions réglementaires similaires dans un avenir assez proche », dit ainsi Wayne Scott. Joel Brandon juge que Dora pourrait, en fin de compte, rendre le secteur financier mondial plus sûr, en empêchant les entités financières de perdre de l'argent à la suite d'incidents liés à la technologie. « Il s'agit de mettre en place un ensemble de règles unifiées pour tous les pays, ce qui devrait permettre de mieux gérer les risques liés aux services technologiques externes », résume-t-il
Et Dora pourrait même avoir un impact sur d'autres secteurs. « Ces changements réglementaires devraient s'étendre en dehors des services financiers, principalement aux secteurs de l'énergie et des communications », pense Wayne Scott. Au fur et à mesure que les effets d'entraînement de Dora deviennent plus évidents, il pourrait être utile pour d'autres secteurs de se préparer à des changements réglementaires similaires. Comme le dit Rois Ni Thuama, « Dora n'est que le début de changements indispensables ».
Dora : quels impacts pour les RSSI
0
Réaction
Le règlement de l'UE visant à renforcer la résilience des organisations financières aux cyberattaques s'appliquera à partir du 17 janvier 2025. Il incombe aux RSSI de s'assurer que leurs organisations sont en conformité avec le nouveau règlement.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Commentaire