• Auteur/autrice de la publication :
  • Temps de lecture :7 min de lecture
  • Post category:Cybersécurité
You are currently viewing Le projet de règlement DORA : un cadre sur la résilience opérationnelle informatique pour les institutions financières
Réalisé par C. Ege Ulas

Par le projet de règlement « Digital Operational resilience of the financial sector » (DORA), prévu pour fin 2022, l’Union européenne a pour ambition de permettre aux services financiers de suivre la progression des nouvelles technologies. Ainsi, l’objectif du projet de règlement DORA est de mettre au point la résilience opérationnelle informatique et numérique de l’ensemble des institutions financières, autrement dit le but ultime de ce projet est de renforcer la cybersécurité d’un secteur à part entière : la finance.

Complexification de la gestion des risques cyber

Dans la société d’aujourd’hui, l’individu est devenu tributaire du numérique. Le numérique se trouve désormais dans tous les secteurs d’activités, y compris la finance. L’usage du numérique a une double conséquence, d’une part les innovations facilitent et améliorent le quotidien de l’homme, mais d’autre part l’ère du High-Tech et du tout numérique présentent également un côté obscur. En effet, ces dernières années sont marquées par une amplification des cyberattaques avec l’avènement de la pandémie, de l’invasion d’Ukraine par la Russie et les élections présidentielles. L’importance des systèmes d’informations ou SI dans les systèmes bancaires expose les acteurs des services financiers à un risque, en l’occurrence cyber. Dans ce contexte, il est primordial, surtout pour le secteur bancaire et financier, d’assurer la cybersécurité.

Une cyberattaque est une atteinte à un SI réalisée dans un but malveillant. Il existe un très grand nombre de moyens d’action et les techniques de ces attaques sont de plus en plus variées et sophistiquées. Ces actes malveillants peuvent être classés en deux grandes catégories. D’une part, les attaques dites directes, réalisées à partir de l’ordinateur des hackers. D’autre part les attaques indirectes réalisées à partir d’un ordinateur intermédiaire, tel que celui d’un prestataire externe, afin de masquer l’identité du cyber malveillant. Face à cette situation, la gestion des risques cyber se complexifie. Il est alors nécessaire d’encadrer la gestion de risque opérationnel du secteur des services financiers par un règlement. En d’autres termes, le projet DORA cerne le risque « de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d’évènements externes » (Basel Committee on Banking Supervision).  

La naissance de DORA

Face à cette nécessité, la Commission européenne a adopté le « digital financial package » le 24 septembre 2020. Depuis, le législateur européen s’est engagé à assurer un cadre sur la résilience opérationnelle informatique pour les institutions financières. D’où est né le projet « Digital Operational resilience of the financial sector », qui s’appliquera aux acteurs du secteur financier tels que les établissements de crédit, les établissements de paiement, les prestataires de services de financement participatif… La notion de « résilience » mérite d’être soulignée. Il faut savoir qu’un évènement qualifié de crise cyber par une organisation peut être qualifié d’un incident pour une autre. Ce qui distingue ces deux structures est le degré de maturité cyber, en d’autres termes le niveau de préparation. C’est ce qu’on appelle la résilience.

Les 5 piliers prévus par le projet de règlement DORA

Le chemin vers la résilience prévu par le projet de règlement DORA passe essentiellement par cinq idées fondamentales. Primo, le législateur européen prévoit un dispositif de gestion et de surveillance. Secundo, le projet met en place un processus de déclaration des incidents afin de faire face aux crises cyber. De plus, d’après Pascal Steichen, fondateur et CEO de SECURITYMADEIN.LU, la résilience n’est pas une situation stable mais « s’acquiert et se maintient uniquement via une démarche régulière et adaptive ». C’est la raison pour laquelle, M. Steichen présente une approche dite « 3C : Connaissance, Catégorisation, Construction ». Dans le but d’avoir suffisamment de connaissance concernant les fragilités d’un SI, le mot clé est de « tester ». Voilà pourquoi le projet de règlement DORA impose aux acteurs financiers d’effectuer des évaluations de robustesse, dit autrement des tests de résilience. Outre les contrôles de vulnérabilités internes, il est primordial, surtout pour le secteur financier, de surveiller au-delà de ses propres frontières. Pour renforcer la résilience opérationnelle informatique des acteurs financiers, le faiseur de loi européen a introduit un moyen de supervision des prestataires de services « critiques ». Dernièrement, le projet DORA repose sur un partage d’information liés aux menaces cyber entre les institutions financières, à la manière des Information Sharing and Analysis Centers (ISAC). Cela permet un renforcement considérable de la posture cyber de tout un secteur d’activité, la finance et par conséquent des États membres de l’Union européenne.

Selon le ministre des Finances de la Slovénie Andrej Šircelj, « la finance numérique est un élément de plus en plus important du paysage économique européen. Il est essentiel de créer un environnement stimulant pour les entreprises innovantes tout en atténuant les risques pour les investisseurs et les consommateurs ». Il poursuit son propos en précisant que l’accord conclu le 24 septembre 2020, le « digital financial package » comprenant le projet de règlement DORA, établit un « juste équilibre ». En matière de finance, la cybersécurité est primordiale car la finance sonne avec la confiance. Néanmoins, malgré une dimension technique, stratégique et même géopolitique, certains experts mettent en évidence une ignorance de la règlementation DORA par les personnes concernées. Cependant, il est plus que nécessaire pour les institutions financières de se soumettre au plus vite aux exigences cyber sécuritaires afin d’assurer l’intégrité du système financier européen.

 

Sources :