Menu
En ce début 2024, les systèmes d’information jouent un rôle critique au sein des institutions financières françaises. Véritables épines dorsales des banques, assurances et autres prestataires de services d’investissement, ils véhiculent quotidiennement des volumes colossaux de données hautement stratégiques.
Toutefois, à mesure que la dépendance technologique du secteur financier s’est accrue, les cyber menaces qui pèsent sur ses infrastructures critiques n’ont cessé de croître en sophistication comme en capacité de nuisance. Au point de faire peser un risque systémique sur la stabilité financière.
C’est dans ce contexte qu’a émergé la réglementation DORA au niveau européen, introduisant de nouvelles obligations pour le secteur financier en matière de gestion des risques technologiques. Tour d’horizon d’une réglementation qui entrera en application au 16 janvier 2025.
Le 14 décembre 2022, les législateurs de l’Union européenne ont adopté un dispositif réglementaire ambitieux visant à accroître la résilience opérationnelle des infrastructures numériques du secteur financier.
Composé d’un règlement (2022/2554) et d’une directive (2022/2556), ce paquet législatif innovant comporte des exigences uniformisées pour améliorer la gestion des cyber-risques auxquels sont confrontés les établissements financiers. En pratique, ces nouvelles règles contraignantes imposent aux acteurs financiers de renforcer leurs défenses technologiques et organisationnelles face aux cybermenaces croissantes.
Cette initiative stratégique s’inscrit dans le cadre de la politique de la Commission en matière de services financiers numériques. À mesure que l’industrie financière adopte les innovations technologiques pour son fonctionnement, la nécessité de garantir sa stabilité et la protection des consommateurs s’accroît.
D’où la volonté européenne de favoriser la transformation numérique tout en mitigeant les risques d’incidents.
Surnommé « règlement DORA » (pour Digital Operational Resilience Act), en référence au concept de résilience numérique opérationnelle, ce texte fondateur introduit donc de nouvelles règles contraignantes concernant la sécurité des réseaux et SI.
À noter également que ce règlement vient actualiser les législations sectorielles existantes (CRD IV, DSP2, IORP2, MiFID 2…) pour les aligner avec la réglementation DORA.
Le règlement DORA s’applique à une large palette d’acteurs financiers au sein de l’Union.
Sans être exhaustif, sont notamment concernés par ces nouvelles obligations :
De plus, le règlement DORA s’impose également aux fournisseurs de services technologiques opérant dans le secteur financier au niveau communautaire. Cela inclut les éditeurs de logiciels, les hébergeurs d’infrastructures critiques, les prestataires cloud et autres acteurs numériques contribuant au fonctionnement du système financier de l’UE.
Ainsi, la très grande majorité des institutions financières et des sociétés tierces partenaires sont soumises aux nouvelles exigences européennes en matière de résilience cyber des services essentiels. Une extension considérable du périmètre réglementaire qui témoigne de la volonté des autorités communautaires de ne laisser aucun maillon faible dans la chaîne de valeur numérique du secteur financier.
En amont, le texte oblige les institutions financières et prestataires concernés à cartographier précisément les risques numériques qui pèsent sur leurs systèmes d’information et à évaluer leur criticité.
Sur cette base, ils doivent définir et mettre en œuvre une stratégie globale d’atténuation des menaces ainsi que des plans de continuité d’activité.
Au cœur du règlement DORA se trouve l’harmonisation des processus de notification des incidents cyber affectant les entités financières.
Concrètement, ces dernières ont désormais l’obligation de définir et de mettre en œuvre une procédure interne de gestion des incidents liés à leurs systèmes d’information et à leurs réseaux.
Celle-ci doit permettre de détecter, qualifier et traiter tout incident ou cybermenace significatif. Sur la base de critères d’impact clarifiés prochainement par les autorités de régulation européennes, les établissements financiers devront classer ces événements par ordre de gravité.
Les incidents cyber majeurs devront être systématiquement notifiés aux autorités compétentes nationales, à l’aide d’un formulaire standardisé. Cette remontée d’informations régulière en cas d’incident grave vise à permettre une réaction coordonnée face aux crises systémiques.
Par ailleurs, les entités régulées pourront également partager volontairement des renseignements sur les cybermenaces, y compris lorsque celles-ci n’ont pas occasionné d’incidents techniques.
L’objectif est de permettre une meilleure compréhension des risques émergents à l’échelle du secteur financier.
Les entités financières dans leur ensemble ont également l’obligation de mettre en place un programme structuré de tests technologiques visant à évaluer la résilience opérationnelle de leurs systèmes d’information.
Ce dispositif complet doit intégrer différents types d’analyses, simulations, audits et outils pour tester aussi bien les composantes technologiques que les processus organisationnels.
L’objectif est d’éprouver la capacité de l’institution à maintenir ses activités critiques en cas de scénarii de crise cyber.
A minima, l’ensemble des applications et infrastructures numériques qui soutiennent des fonctions essentielles doivent faire l’objet d’une certification annuelle. Et ce, idéalement par des équipes d’audit indépendantes, qu’elles soient internes ou externes.
Par ailleurs, toutes les vulnérabilités ou défaillances remontées grâce à ces tests doivent être classifiées et donner lieu à des mesures correctives priorisées. La mise en œuvre des plans d’action sera revue de manière systématique.
En outre, les régulateurs pourront exiger (article 26) que certains établissements financiers d’importance vitale réalisent tous les 3 ans des tests d’intrusion de type TLPT (Threat-Led Penetration Testing). Une méthode sophistiquée centrée sur les cybermenaces les plus sérieuses et actuelles.
On l’a esquissé, les exigences s’appliquent également aux fournisseurs technologiques externes, avec une responsabilité conjointe de l’institution financière.
Celle-ci doit s’assurer contractuellement que ses partenaires respectent les obligations réglementaires. Pour ce faire, les entités financières doivent, entre autres :
Enfin, le texte prévoit des mesures pour favoriser les échanges d’informations entre acteurs publics et privés sur les menaces, les incidents et les mesures de protection.
L’objectif est de permettre une meilleure compréhension des risques à l’échelle du secteur financier européen.
Le règlement européen sur la résilience opérationnelle numérique va s’appliquer de manière contraignante dans tous les États membres de l’UE à compter du 17 janvier 2025.
D’ici là, la Commission continuera de publier des textes d’application visant à préciser certaines modalités techniques du règlement. Sur la base des recommandations déjà formulées par les autorités de régulation financière européennes, ces futurs actes délégués constitueront le second niveau de cette nouvelle législation.
Quant à la directive complémentaire, elle devra être transposée en droit national par chaque pays d’ici la date butoir, afin d’assurer la cohérence du cadre réglementaire.
Aussi, malgré l’entrée en vigueur dans un an, il est recommandé que les entités financières concernées ainsi que leurs partenaires initient dès à présent leur mise en conformité. Une analyse approfondie des nouvelles exigences et de leurs impacts tant opérationnels que stratégiques est indispensable.
Ce calendrier réglementaire contraint impose aux acteurs financiers de préparer et d’engager sans attendre le renforcement de leur résilience numérique, conformément aux obligations établies par le règlement DORA.
Au-delà du respect du règlement DORA, les institutions financières sont tenues de se conformer à un certain nombre de règles élémentaires en matière de sécurité numérique.
En France, l’Autorité des Marchés Financiers (AMF) impose aux acteurs de mettre en œuvre les recommandations essentielles de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).
Ces mesures d’hygiène informatique visent à garantir une protection de base face aux cybermenaces les plus répandues et faciles à contrer techniquement.
On peut notamment citer :
Bien que relevant du bon sens, l’application rigoureuse de ces mesures élémentaires permet déjà de se prémunir contre une grande partie des attaques informatiques courantes et d’éviter des sinistres numériques aux conséquences néanmoins critiques.
Les bases de la sécurité du numérique constituent ainsi le socle à partir duquel construire une solide résilience digitale conformément au règlement DORA.
Forte de notre expérience en cybersécurité et des recommandations des institutions de référence (ANSSI, AMF, etc.), Kincy se positionne comme votre partenaire pour structurer votre démarche de résilience numérique de bout en bout :
La sécurité parfaite n’existant pas, l’objectif est de vous donner les moyens de réagir efficacement en cas d’incident majeur et de permettre une reprise rapide de l’activité.
En traitant le sujet de manière pragmatique et sur-mesure, Kincy fait de la conformité DORA un accélérateur de maturité globale.
Pour parer à l’accélération des risques cyber et renforcer la stabilité financière de l’Union Européenne, les législateurs ont ainsi décidé de hausser sensiblement le niveau d’exigence en matière de résilience numérique. L’adoption du règlement DORA crée donc un nouveau cadre contraignant applicable à l’écosystème financier dans son ensemble dès 2025.
Dorénavant, les dirigeants des institutions financières comme leurs homologues des entreprises technologiques sous-jacentes devront impérativement ériger la gestion du risque cyber comme une fonction stratégique de premier plan.
La mise en œuvre du règlement fondateur s’annonce donc délicate et source de bouleversements profonds des doctrines et organisations en place. Un accompagnement par des spécialistes rompus aux exigences du secteur apparaît dès lors incontournable pour transformer avec succès ce défi réglementaire en un projet créateur de valeur.
Pour accompagner votre mise en conformité réglementaire ou évaluer votre niveau actuel de maturité cyber, les experts de Kincy sont à votre disposition. Contactez-nous dès aujourd’hui pour un diagnostic personnalisé.
12 Rue Pascal Xavier Coste
13016 Marseille
Tél : 09 71 09 00 00
115 Avenue Georges Clémenceau,
98714 Papeete -Polynésie Française
Tél : (+689) 87 03 53 53
En savoir plus sur la réglementation ?
