Les usages bancaires numériques se sont fortement développés depuis le début des années 2000 et l’apparition des banques en ligne puis des néobanques. La progression du paiement mobile en est l’illustration.
S’ils facilitent la vie des consommateurs, ces services reposent sur de nombreuses interconnexions qui représentent un risque cyber accru. Qu’il s’agisse de vérification d’identité ou de sécurisation des transactions, le secteur financier doit donc muscler sa cybersécurité.
Harmoniser les pratiques de cybersécurité d’un écosystème très réglementé
Après la crise financière de 2008, l’Union européenne a restructuré le secteur et uniformisé ses pratiques pour éviter de nouvelles faillites. À l’époque, le risque informatique est peu pris en compte dans les réformes adoptées, en comparaison d’autres types de risques. En se concentrant sur la résilience opérationnelle liée au numérique, la DORA s’inscrit dans la suite logique de ces réglementations.
Bien sûr, certains acteurs de ce secteur financier très réglementé par ailleurs, étaient déjà concernés par d’autres cadres réglementaires comme la directive NIS au niveau européen ou par législation nationale en matière de cybersécurité (ex. : Loi de Programmation Militaire en France).
Or, le risque lié aux technologies numériques augmente sans que la maturité cyber des acteurs ne gagne en homogénéité. C’est d’autant plus vrai que les nouveaux entrants comme les jeunes pousses crypto prolifèrent sur le marché. D’où la nécessité d’une nouvelle réglementation qui prenne en compte tous les types d’attaques, harmonise les réactions, etc.
Au printemps 2021, l’Autorité bancaire européenne a par exemple subi une cyberattaque sur ses serveurs Microsoft Exchange qui l’a contrainte à mettre hors ligne son système de messagerie. Mais le cyberrisque ne concerne pas que les grandes entreprises ou institutions.
Fin 2016, le chercheur en sécurité Vincent Haupert avait ainsi exposé plusieurs failles, corrigées depuis, dans l’application mobile de la néobanque allemande N26. Ces vulnérabilités lui avaient notamment permis de réaliser une attaque « man-in-th-middle », porte ouverte à diverses opérations dont la modification de récipiendaire de virement !
C’est pourquoi la DORA prévoit des adaptations pour les microentreprises et intègre la dimension systémique du risque cyber : les entreprises prestataires font ainsi partie intégrante du référentiel, à l’image de ce qui a été fait avec le RGPD.
En quoi consiste la DORA ?
La DORA vise en effet à renforcer la résilience du secteur financier aux incidents liés aux technologies du numérique. À la différence d’une directive européenne que chaque pays transpose dans le droit national, cette loi à la vision très large s’appliquera de la même façon à l’ensemble du secteur financier européen.
Elle repose sur 5 piliers que sont :
- La gestion des risques liés aux technologies du numérique
- Les rapports d’incidents en lien avec ces technologies
- Les tests de résilience opérationnelle numérique
- La gestion des risques liés aux technologies du numérique par des tiers
- Le partage d’informations et de renseignements
« La notification en cas d’incident sera peut-être le point le plus déstabilisant pour les acteurs concernés. En effet, le risque fait partie intrinsèque du secteur, il y a une vraie culture de la conformité. En revanche, partager ces informations ne fait pas encore partie des codes pour tout le monde. »
Quel impact pour les entreprises du secteur ?
Un tel règlement, qui s’impose à toutes les structures du secteur de façon uniforme, représente un avantage pour les acteurs multinationaux qui opèrent dans différents pays européens puisque son adoption suppose l’harmonisation des pratiques.
Chez Advens, nous abordons cette nouvelle réglementation en restant fidèles à notre principe de fonctionnement multiréférentiel. Cette approche globale de la conformité permet d’identifier des synergies et de capitaliser sur l’existant.
Par exemple, en cas de violation de données chez un client, il est possible de concevoir un processus commun pour notifier la CNIL (NIS) et l’autorité compétente vis-à-vis de la DORA.
À l’inverse, l’application unitaire de chaque règlement crée des inconvénients au niveau opérationnel (redondance, inefficience, etc.)
« Le règlement DORA étant presque finalisé, nous avons d’ores et déjà intégré ses exigences à nos démarches de résilience face aux risques opérationnels et cyber. Dans une optique de mutualisation, nous travaillons avec les DSI, les RSSI mais aussi les directions du risque opérationnel et financier pour inclure cette réglementation dans les processus de conformité déjà existants. »
En impliquant les tiers prestataires de service, la DORA introduit une vraie logique d’écosystème dans la cybersécurité du secteur financier européen.
L’objectif ? Harmoniser les pratiques et améliorer la résilience opérationnelle. Son application constitue donc une étape importante qui peut néanmoins s’inscrire dans une démarche conformité existante grâce à l’expertise d’un spécialiste comme Advens.