À cette date, les acteurs financiers, au sens large, devront répondre aux nouvelles obligations conçues autour de 5 piliers pour favoriser leur résilience numérique et celle du système financier dans son ensemble. Une échéance assez proche, pour laquelle les actions doivent être entreprises dès aujourd’hui.
En 2008, la crise financière a fortement secoué la planète, bien plus que les précédentes grandes crises de ce type, tel le jeudi noir de 1929. En cause : l’interconnexion du système financier international et la présence de très grands acteurs sur de multiples marchés. Dans un effet domino, la défaillance des uns peut rapidement entraîner celle des autres. L’hyperconnexion numérique des banques fait peser aujourd’hui un risque encore plus critique car en cas de défaillance du système d’information d’un acteur majeur, l’effondrement du système financier serait quasi instantané - et surtout d’une ampleur encore inédite.
C’est tout l’objectif du Digital Operational Resilience Act (DORA) concernant les aspects numériques des institutions financières et les tiers intervenant dans leurs processus. Au total, pas moins de 22 000 acteurs seraient concernés par cette réglementation. Son principe : garantir la résilience opérationnelle numérique de ces acteurs et donc la continuité de leurs activités dans un secteur 100 % digitalisé, soumis à des cybermenaces permanentes.
Pour répondre aux obligations édictées par la réglementation DORA, les institutions financières et leurs tiers intervenants doivent mettre en place une série de mesures, que l’on peut regrouper en 4 grandes thématiques, autour de leurs Technologies de l’information et de la communication (TIC), et les documenter. Au 17 janvier 2025 au plus tard, tout doit être prêt pour ces quelque 22 000 entreprises.
Le premier pilier de la construction DORA est le plus important : l’ensemble des éléments suivants vont en découler. C’est aussi l’un des plus complexes car il requiert une approche holistique à travers une connaissance fine de l’entreprise, de ses métiers et de ses processus (notamment les plus critiques), et surtout de l’architecture technologique qui la compose (systèmes et applications supportant les processus).
Une fois ce premier dispositif constitué, le règlement DORA le complète par une obligation de contrôle, qui peut être opéré en continu ou à des fréquences préétablies. Ces contrôles très fins relèvent des aspects métiers et procéduraux, ils comprennent aussi la couche technologique, jusqu’à la moindre application impliquée dans un processus critique. Si la plupart des institutions financières disposent déjà de ce genre de contrôles, il est à noter que des contrôles IT spécifiques au règlement DORA seront indispensables pour garantir la conformité du SI à cette nouvelle législation.
Plus globalement, la collaboration entre les équipes Risques et Contrôles et l’IT devra être d’autant plus étroite.
Conscient de la complexité croissante des systèmes d’information financiers et de la multiplicité d’acteurs, d’applications et d’infrastructures qui les composent, le législateur européen a étendu les obligations de prudence aux services tiers intervenant sur les architectures : les partenaires métiers (nativement soumis à DORA) mais aussi et surtout les partenaires technologiques.
Les éditeurs d’applications, fournisseurs de cloud et autres ESN seront également contraints par le nouveau règlement européen. Notamment sur le niveau de service (SLA) et de sécurité qu’ils proposent. En interne, la question sera aussi de définir la présence d’un tiers de substitution en cas de défaillance ou d’attaque à son encontre.
La concentration de services auprès d’un seul et même tiers peut d’ailleurs constituer un risque en soi : que se passe-t-il si le principal (voire le seul) fournisseur de services cloud est attaqué ? Raison pour laquelle il peut être intéressant pour les institutions financières d’élaborer une stratégie multi-fournisseurs pour limiter les risques (et les dégâts) en cas d’attaque ou de défaillance du tiers concerné.
Pour le secteur financier, la prise de conscience des risques n’est pas nouvelle. La continuité d’activité et la menace d’un effet domino ont conduit la majorité des institutions à concevoir des plans de continuité d’activité sur leurs processus. Des solutions utiles, si ce n’est vitales, à condition qu’elles soient régulièrement testées pour s’assurer de leur pérennité et de leur bon fonctionnement le moment venu.
Testées, mais aussi mises à jour : la cybersécurité est en effet une discipline vivante, qui doit constamment évoluer face à des cybermenaces, elles-mêmes extrêmement évolutives. Un plan d’investissement continu et une véritable agilité constituent pour les institutions financières une nécessité afin de conserver des dispositifs de cybersécurité à l’état de l’art, et les prémunir contre les malveillances les plus modernes.
Enfin, le règlement DORA, au même titre que le RGPD il y a quelques années, institue une nouvelle obligation pour les acteurs du secteur financier : la tenue d’un registre d’incidents pour assurer une piste d’audit fiable en cas de contrôle. Mais pas seulement : en cas d’incident majeur, ce registre permettra de prouver que des actions ont précédemment été mises en œuvre pour assurer la résistance du SI et la résilience opérationnelle de l’organisation.
En parallèle, les incidents majeurs devront être déclarés aux autorités de contrôle. Outre l’identification d’éventuels risques de propagation, il s’agit avant tout de constituer une base de connaissances sur les attaques, les malveillances ou encore les menaces. Base à partager avec les acteurs du secteur afin d’identifier les bonnes pratiques à déployer pour en limiter l’incidence.
Un partage clair et lisible, qui vaut aussi en interne, en posant un cadre de communication compréhensible par la majorité des collaborateurs. Car il faut bien comprendre que la résilience des institutions est l’affaire de tous. En particulier de la Direction générale, de la Direction des risques (souvent fusionnée avec le département continuité d’activité), de la Direction des systèmes d’information (DSI) ou Direction de la sécurité des systèmes d’information (DSSI), ou encore du Département des achats.
Si le sujet reste éminemment technique sur le fond, les conséquences d’un incident ne se limitent pas à l’interne du fait d’une propagation potentielle. Résistance du SI et résilience de l’entreprise sont même des sujets hautement stratégiques qui s’invitent aujourd’hui dans les comités de direction, d’autant que la responsabilité pénale des dirigeants peut être recherchée malgré la technicité du sujet. Dès lors, mieux vaut prévenir que guérir et se tenir prêt pour l’échéance de janvier 2025.