Une contribution de Bruno Durand, Vice-Président des ventes Europe du Sud chez Sophos
À mesure que le paysage des cybermenaces se complexifie et que les attaques se multiplient, le secteur financier demeure une cible prioritaire des cybercriminels. En effet, les entités financières comptent parmi les plus exposées, notamment en raison des enjeux liés à leur activité et à leur caractère essentiel. Ainsi, selon les données du FMI, le secteur financier a subi plus de 20 000 cyberattaques, occasionnant près de 12 milliards de dollars de pertes. En réaction, les autorités européennes ont approuvé une nouvelle réglementation, le Digital Operational Resilience Act(DORA), qui définit une approche coordonnée et homogène en matière de cybersécurité pour les entités financières de l’Union européenne. En tant que règlement européen, il est directement applicable sur l’ensemble des États-membres de l’UE, sans nécessiter de transposition dans les législations nationales. Ainsi, DORA impose une exigence réglementaire unique et unifiée visant à renforcer la résilience numérique des institutions financières sur l’ensemble des États-membres de l’UE.
Alors que le règlement DORA doit entrer en application d’ici le 25 janvier 2025, il s’accompagne de défis complexes en matière de mise en conformité pour les entités financières, qui doivent rapidement adapter leurs infrastructures et leurs processus pour répondre à ses exigences. Pour ce faire, celles-ci ont besoin de s’entourer d’experts et de se doter de solutions adaptées afin de surmonter ces difficultés, de garantir leur conformité réglementaire et de réduire leur exposition aux risques en matière de cybersécurité. Néanmoins, en dépit – voire en raison de – ces multiples défis, les acteurs du secteur financier peuvent également tirer avantage de cette nouvelle réglementation afin de renforcer leur cybersécurité, tout en améliorant leur compétitivité.
Pour une cybersécurité financière plus cohérente et plus résiliente
L’un des objectifs principaux du règlement DORA consiste à créer un cadre réglementaire unique et cohérent qui facilite un fonctionnement homogène des équipes en charge de la cybersécurité des institutions financières dans l’ensemble de l’UE. En considérant les fournisseurs de solutions de cybersécurité comme des prestataires tiers critiques de services TIC, DORA met en place des pratiques de cybersécurité qui permettront aux entités financières de répondre efficacement et manière cohérente aux menaces de cybersécurité. De manière générale, les entités financières sont tenues d’adopter des systèmes de défense et de gestion des risques plus performants, de déployer des solutions robustes et de définir un plan de réponse aux incidents. Plus spécifiquement, DORA remédie à la fragmentation existante et à l’incohérence de plus en plus forte entre les différents États-membres dans le domaine de la résilience opérationnelle numérique, en partie grâce à la mise à niveau et à la consolidation des exigences de cybersécurité au sein d’une seule et même réglementation, à la création d’un cadre de supervision pour la coordination transfrontalière et à la mise en place de mesures de coopération avec les autorités de pays tiers, tout en gérant les risques relatifs à la cybersécurité.
Ainsi, DORA se présente comme une solution d’harmonisation réglementaire des législations existantes des États-membre, ce qui entraîne des bénéfices résiduels, notamment le renforcement de l’efficacité opérationnelle des équipes en charge de la cybersécurité d’institutions financières présentes dans plus d’un seul Etat-membre. En effet, une réglementation unique allège les contrôles exercés sur les institutions qui opèrent dans plusieurs pays de l’UE.
Afin de répondre à ces exigences réglementaires, les institutions financières ont tout intérêt à se tourner vers des partenaires qualifiés pour adapter leurs pratiques de sécurité aux nouvelles exigences, en particulier ceux qui bénéficient du statut de prestataires tiers critiques de services TIC. Cette simple démarche les aidera à intégrer les exigences complexes de DORA, sans fragmenter les efforts entre différents pays. En outre, faire appel à des prestataires tiers critiques de services TIC donnera aux entités financières la possibilité d’élaborer des stratégies de cybersécurité avancées qui dépassent les exigences minimales, leur permettant de tirer parti de cette réglementation pour se positionner comme des leaders de la résilience opérationnelle sur le marché et de gagner la confiance du secteur, de leurs clients et de leurs prospects.
De plus, DORA ne fait pas référence aux partenaires de cybersécurité de manière générale. Au contraire, le règlement définit des obligations contractuelles spécifiques pour les institutions financières, afin que celles-ci fournissent une description exhaustive des produits et des services de sécurité fournis par les prestataires tiers critiques de services TIC , qu’elles mentionnent l’endroit où ces services sont fournis et où les données sont stockées, qu’elles identifient la portabilité des données et des stratégies de sortie, qu’elles définissent un plan de continuité d’activité, qu’elles monitorent les incidents, qu’elles effectuent un audit de l’intégrité des systèmes et qu’elles bénéficient d’une visibilité sur les éventuelles externalisations ou sous-traitances par le prestataire, entre autres exigences. Au minimum, les entités financières sont tenues d’intégrer ces éléments contractuels spécifiques, afin que ceux-ci soient inclus dans leurs accords de produits et de services de cybersécurité.
Enjeux et solutions pour une mise en conformité efficace avec DORA
La mise en conformité avec la réglementation DORA comporte des défis pour la plupart des entités financières, dans la mesure où celles-ci sont dotées de systèmes informatiques historiques qui rendent difficile l’intégration de normes de cybersécurité complexes. De plus, la réglementation oblige à mettre en place des contrôles continus en matière de cybersécurité qui risquent de drainer les ressources financières et humaines des acteurs financiers. Ces difficultés démontrent bien la nécessité pour les institutions financières de s’appuyer sur des solutions techniques et des ressources externes avancées. Grâce aux compétences d’experts en cybersécurité, les entreprises peuvent optimiser leur mise en conformité, réduire les risques et répondre de manière plus efficace aux exigences de DORA.
Afin de surmonter les défis liés au règlement DORA, les institutions financières doivent mettre en place des solutions de cybersécurité proactives, à l’aide de solutions de détection et de réponse aux incidents rapides et efficaces qui sont très souvent proposées par des partenaires spécialisés dans le domaine. Elles doivent également renforcer la gestion des incidents et minimiser les risques liés aux fournisseurs tiers. En faisant appel à des experts de la cybersécurité, les entités financières peuvent mettre en place des systèmes de gestion de crise plus performants, tout en veillant à surveiller continuellement les solutions et la santé numérique de leurs fournisseurs. Les spécialistes en cybersécurité apportent une valeur ajoutée grâce à leur offre de solutions éprouvées, adaptées aux exigences de DORA et évolutives pour répondre aux besoins spécifiques et changeants du secteur financier.
C’est pourquoi, plutôt que de se concentrer sur les obstacles éventuels liés à la mise en conformité, les acteurs du secteur financier devraient saisir l’occasion de l’entrée en application de DORA pour renforcer leur cybersécurité et leur sérénité, en s’entourant notamment de partenaires experts, fiables et robustes qui leur permettront de renforcer leur cyberrésilience et de se préparer à faire face aux défis présents et futurs en matière de cybersécurité.
Ainsi, en termes de réglementation, le secteur financier européen entre dans une nouvelle ère, en établissant un standard unique pour l’ensemble de l’Union. La mise en conformité avec ce règlement s’accompagne d’une adhésion des entités financières aux nouvelles exigences légales. Plus encore, elle permet à ces institutions financières de transformer en profondeur leur manière de gérer les risques numériques. En s’associant à des partenaires experts qui peuvent réellement prétendre au statut de prestataires tiers critiques de services TIC, les entités financières ont l’occasion de faire de DORA un levier stratégique pour renforcer leur cybersécurité et accroître leur résilience dans un paysage des cybermenaces en constante évolution.
