En complément de la directive NIS 2, le règlement DORA (Digital operationnal resilience act) remet une couche de cybersécurité dans le secteur de la finance. Pour protéger leurs actifs et les intérêts économiques des nations européennes, les institutions financières doivent renforcer leur résilience opérationnelle numérique.
Le secteur financier fortement concerné par les cybermenaces
Les cyberattaques se multiplient
Les cyberattaques ciblent massivement les infrastructures du secteur financier. Le risque cyber représente d’ailleurs aujourd’hui un risque majeur pour la stabilité financière. Dans son rapport sur l’Évaluation des risques du système financier parue en juin 2023, la Banque de France observe que « le système financier reste exposé à un niveau très élevé de risque de cyberattaques ». En cause, le contexte géopolitique et aussi l’intelligence artificielle qui ouvre la voie à des attaques très élaborées et donc plus difficiles à contrer.
La digitalisation ultra rapide des entreprises du secteur de la finance explique également cette exposition massive au risque cyber. En effet, si la numérisation des services bancaires a commencé très tôt, la sécurisation des systèmes d’informations ne s’est pas faite aussi rapidement. De plus, les collaborateurs des organisations bancaires utilisent plus largement des appareils mobiles et sont plus exposés aux risques de cyberattaques.
DORA en complément de NIS 2 pour la cybersécurité
En raison de ces nombreux risques et enjeux, l’Union Européenne a classifié le secteur bancaire comme hautement critique, dans le cadre de la directive NIS 2. Ainsi, les organisations vont devoir renforcer leur cybersécurité et former leurs décideurs. En complément, la réglementation DORA oblige les institutions financières à redoubler d’efforts pour mieux gérer leur risque cyber et gagner en agilité.
Les points clés de la réglementation DORA
Quelles organisations sont concernées ?
DORA concerne la plupart des organisations évoluant dans le secteur financier, comme :
- Les établissements de crédit,
- Les entreprises d’investissements, de paiement ou de monnaie électronique,
- Les sociétés de gestion,
- Les entreprises d’assurance et de réassurance,
- Les intermédiaires d’assurance et de réassurance.
Objectif : renforcer la résilience opérationnelle numérique
Mieux cartographier et gérer les cyber risques
À l’image de « l’approche tous risques » de la directive NIS 2, la réglementation DORA souhaite améliorer la connaissance des risques dans le secteur de la finance. Les établissements financiers doivent prendre en considération les risques inhérents à leurs opérations. Le règlement invite donc à les identifier et à quantifier leur niveau d’impact sur l’organisation, d’un point de vue interne et externe. De cette façon, les organisations auront une meilleure visibilité des mesures à mettre en place et se montreront plus agiles.
Cette gestion des risques permet également de rassurer l’écosystème de l’entreprise. C’est le cas des clients, dont les actifs et les données personnelles doivent être totalement protégés.
Les prestataires de services TIC visés par la réglementation
Les banques et institutions financières sont aujourd’hui dépendantes des technologies de l’information et de communication. Si elles ne sont pas suffisamment sécurisées, ces technologies exposent les données sensibles qu’elles font transiter.
Ainsi, dans le cadre de la réglementation DORA, le secteur financier devra se montrer résilient face aux perturbations opérationnelles liées à ces technologies. Les organisations seront en charge d’identifier et de classifier les risques liés au TIC et d’élaborer des processus de gestion des incidents.
Par ailleurs, des autorités de supervision réaliseront des contrôles sur la conformité des TIC aux mesures de gestion des risques. Des sanctions pourront donc être prononcées en cas de non-respect.
Choisir des prestataires qualifiés par l’ANSSI
L’Agence Nationale de la sécurité des systèmes d’informations (ANSSI) recommandent des produits et prestataires de services hautement sécurisés, grâce à son visa de sécurité. Elle accompagne ainsi les organisations évoluant dans des secteurs sensibles, comme la finance, à évaluer la fiabilité de solutions de communications.
En cas d’incident de cybersécurité, les équipes nécessitent de continuer à échanger dans un cadre hautement sécurisé. Cela permettra de garantir la continuité d’activité et d’assurer la résilience opérationnelle.
L’ANSSI propose d’ailleurs un guide sur la gestion opérationnelle et stratégique d’une crise cyber.
Visa de sécurité ANSSI : un gage de fiabilité
Depuis plus de 5 ans, Tixeo est la seule solution française de visioconférence sécurisée à être certifiée et qualifiée par l’ANSSI, grâce à son approche Secure By Design et sa technologie de chiffrement de bout en bout.
À quelle date entrera en application le règlement DORA ?
Depuis le 16 janvier 2023, le règlement DORA est entré en vigueur au sein de l’Union Européenne. La mise en œuvre de la réglementation s’opère donc dès maintenant. Le 17 janvier 2025 sera la date butoir pour transposer la réglementation au sein de tous les États membres.
Des campagnes de « cyber stress test » en prévision
Le système bancaire réalise régulièrement des tests de résistance, liés aux conjonctures sociétales et économiques. Bientôt, il pourra également être confronté à des « cyber stress test ». En effet, la BCE (Banque centrale européenne) a annoncé qu’elle prévoyait de tester la cyber résilience des institutions financières dès 2024. Cela se fera par le biais de stress test sur la cybersécurité. La hausse des cybermenaces, le télétravail et l’utilisation du cloud accroissent la gravité des cyberattaques et ont donc motivé cette initiative.
Un bon moyen pour les organisations du secteur de la finance de tester grandeur nature leur préparation à DORA.
À lire aussi :