par Pauline Langlès | 20 Déc 2022 | Réglementation
Rédaction WEB : JUST DEEP CONTENT
La mise en place du règlement DORA devrait prendre forme en 2023. Les établissements financiers sont-ils prêts ? Comment se mettre en conformité ?
Le 27 novembre 2021, le Groupe Adélaïde (Groupe comprenant notamment le courtier Génération) était victime d’une attaque ransomware, rendant certains de ses services essentiels inopérants pendant plusieurs jours.
Plus récemment, les données personnelles de 50 000 clients de la banque en ligne Revolut ont été exposées à la suite d’une attaque cyber opérée le 11 septembre 2022.
Adresses électroniques, noms complets, codes postaux et numéros de téléphone, ce sont tout autant de données exposant ainsi ces clients à de potentiels futurs préjudices notamment l’usurpation d’identité.
Ces attaques ne sont qu’un extrait de la pléthore de tentatives constatées dans le monde, et dont le nombre croît chaque jour.
Le rapport « RISK2030 : Cartographie des Risques et des Opportunités des entreprises françaises à l’Horizon 2030 » confirme cela en considérant dans son « podium des risques » que la cyber-malveillance est au premier rang. Ces risques cyber, touchant les Systèmes d’Information (SI) de tout type d’entreprise, pourraient avoir un impact important sur la résilience des banques et la stabilité financière. Que se passerait-il si, tout comme pour la mutuelle Génération, la plupart des services d’une grande banque internationale était inopérant pendant un laps de temps prolongé ? C’est à ce titre que les régulateurs bancaires catégorisent aujourd’hui les risques cyber comme un risque systémique.
C’est un point que LesEchos fin 2018 notifiait déjà à travers cette citation :
« Aux yeux des gendarmes financiers, les hackers pourraient représenter un danger aussi important pour la stabilité financière que les « Subprimes » il y a dix ans ».
C’est dans ce contexte que la France considère que les Grandes Banques Françaises dites systémiques sont des Opérateurs d’Importance Vitale (OIV) au sens de la loi de Programmation Militaire. Elles sont dans ce cadre assujetties à une obligation renforcée de protection de leur Système d’Information à Importance Vitale (SIIV) contre les risques cyber.
Cette obligation a d’ores et déjà commencé à les préparer au renforcement réglementaire qui s’ensuit aujourd’hui avec l’avènement de plus en plus prégnant du risque cyber.
Car le ton est au renforcement sur le sujet de la cyber résilience, et cela s’est traduit en septembre 2020 par la publication par la Commission Européenne d’un Projet de Loi sur la Résilience Opérationnelle Digitale, ou le « Digital Operational Resilience Act (DORA) ».
Rappel : DORA : qu’est-ce que c’est ?
DORA est une réglementation à venir permettant d’adresser les risques liés aux Technologies de l’Information et de la Communication (TIC), terme assez large regroupant l’ensemble des outils, services et techniques permettant la création et le traitement (collecte, enregistrement, transmission …) des informations via différents canaux : l’informatique en général, Internet, la radio-télévision et les télécommunications.
Quand il est fait référence à ces technologies, il s’agit également de nouvelles technologies liées à l’information et la communication (NTIC) regroupant les outils à la croisée de l’informatique, la télécommunication et l’audiovisuel tels que les smartphones, ou encore le Cloud. C’est donc un terme assez large qui a pour but de regrouper la gestion de l’ensemble des risques liés au digital.
Que faut-il entendre par gestion des risques liés au digital ? Que demande la réglementation ?
Le projet peut être grossièrement divisé en quatre piliers principaux :
DORA s’adresse à qui ?
Cette réglementation sera applicable à toutes les entités financières réglementées par la Commission Européenne, et, seront aussi dans le périmètre toute institution ayant des opérations en Union Européenne.
Les prestataires de TIC considérés comme « critiques » tomberont aussi dans l’escarcelle du règlement DORA, fait peu commun dans le cadre des précédents projets de loi touchant principalement les acteurs financiers.
Quand le règlement DORA commence-t-il à s’appliquer ?
Pas d’annonce officielle pour le moment, mais, au vu de l’avancement des travaux du régulateur, la publication définitive de la loi devrait être en 2023, pour une entrée en vigueur en 2025 selon l’ACPR.
Pour en savoir plus :
Règlement DORA : la résilience opérationnelle informatique sans frontières
Avec ce durcissement réglementaire se posent plusieurs questions : Comment se conformer à ce projet de loi, en tant qu’institution financière ? Aussi, quels sont les facteurs clés de succès pour la mise en œuvre de DORA par les services financiers ?
SOMMAIRE
Les risques informatiques et cyber sont multiples et vont en s’accroissant. Les établissements financiers n’ont pas à ce jour le même niveau d’appréhension et de gestion de ces risques.
Comprendre les principaux risques auxquels un acteur financier est exposé est capital pour pouvoir les anticiper et apprendre à les gérer (à travers des mesures de prévention, audit & contrôle, ou encore d’acceptation du risque).
La prise en considération des différents événements de portée internationale et disruptifs auxquels nous avons dû faire face ces dernières années est capitale pour appréhender la tendance qui s’observe depuis quelques années, et qui est confirmée par 77% des Responsables des Risques d’entreprises interrogés dans le cadre d’une étude sur la gestion des risques (Global Risk Management Study 2021 – In a World of Risk, Pace Comes From Preparation). Les risques identifiés sont de plus en plus complexes, interconnectés, et émergent de plus en plus vite.
Les tensions géopolitiques, les changements climatiques ainsi que les évolutions technologiques sont les facteurs initiaux qui ont par la suite été exacerbés par des événements tels que le télétravail, les pénuries de matières premières, le nombre d’attaques cyber en hausse … Sans surprise, ces événements mettent les risques opérationnels au cœur des préoccupations, et c’est d’ailleurs un point mis en exergue par cette étude : les risques opérationnels sont considérés comme ayant le plus augmenté ces dernières années, bien au-delà des risques Tiers, réglementaires …
Cela se confirme concrètement par la tendance haussière du nombre de cyber-attaques entre 2020 et 2021 par exemple : selon une étude sur la cyber-résilience (State of Cybersecurity Report 2021 | 4th Annual Report), il était constaté en moyenne 270 attaques par entreprise en 2021, soit une augmentation de 31% par rapport à l’année précédente.
Avec l’avènement des nouvelles technologies, de plus en plus adoptées par les entreprises, les fonctions risques rencontrent des difficultés croissantes à évaluer et analyser les risques associés à cette disruption. Par conséquent, cette tendance haussière du nombre de cyber-attaques ne devrait malheureusement pas se tarir.
Où en sont les acteurs du marché des services financiers face à la montée des risques « cyber » ? Ont-ils la même maturité, et donc la même résilience, quant à la gestion des risques liés à l’adoption des nouvelles technologies, et, de façon plus générale, à la gestion des risques opérationnels IT ?
Aujourd’hui, il semblerait que la maturité des acteurs du secteur financier soit assez disparate (si l’on met en perspective la maturité des acteurs du Tier 1 au regard d’acteurs de plus petite taille).
On peut cependant les classer dans quatre grandes catégories :
Selon le profil, des métriques très différentes concernant le nombre d’attaques cyber et la capacité des entreprises à les contrer et en gérer les impacts sont constatées.
Selon la même étude sur la cyber-résilience, seulement 17% des attaques déboucheront sur une violation du Système d’Information (SI) pour un « Champion de la Cyber », tandis que plus d’une attaque sur deux causera une violation du SI pour un « Risk Taker » de la Cyber.
Contre toute attente, concernant les « Business Blockers », le taux de transformation du nombre d’attaque en violation concrète de leur SI est supérieur à celui des « Cyber Champion » (25% des attaques causeront des violations pour les « Business Blockers », contre 17% « Cyber Champion »).
Aligner les enjeux business avec ceux de la cybersécurité est donc capital pour être durablement cyber-résilient.
Mais alors qui sont ces Cyber Champions ? Existe-t-il une tendance sectorielle relative à ces « Maestro » de la cyber résilience ?
Selon les études précitées, le secteur le plus représenté parmi ces champions du risque TIC est celui de l’assurance à hauteur de 13%.
Pour autant, aucune autre tendance ne semble se dégager pour le moment : 42% des champions de la cyber se trouvent dans la catégorie « Autres », signifiant ainsi qu’ils appartiennent à un nombre tel de secteurs diversifiés qu’ils ne peuvent être quantifiés. Ainsi, le caractère disparate de la maturité du secteur financier se confirme.
A contrario, une tendance géographique semble se profiler : les Etats-Unis et le Japon semblent concentrer près de la moitié des Cyber Champions interrogés dans le cadre de l’étude réalisée.
Face à l’augmentation des risques opérationnels IT, et compte tenu de la disparité de maturité de chaque établissement en ce domaine, quelle stratégie mettre en œuvre pour parvenir à une mise en conformité aux exigences DORA ?
Si le projet de règlement DORA ne consacre aucun nouveau principe, il créé une volonté de tendre vers une résilience opérationnelle, ayant pour objectif de maitriser durablement les risques cyber tant liés à son propre système d’information qu’à ceux des tiers liés.
Ainsi, se mettre en conformité avec cette réglementation suppose au préalable de bien connaître sa stratégie de gestion des risques puis de définir une feuille de route centrée sur 3 grands facteurs de succès.
Chaque entité financière doit comprendre et évaluer son exposition aux risques. Pour ce faire, plusieurs facteurs doivent être pris en compte :
Cette analyse doit être réalisée par typologie d’attaque (phishing, déni de service (DOS), smurf …) et doit être décliné pour l’ensemble des sous-traitants de l’entité financière pour obtenir une vision à 360° de son exposition au risque.
Source : Accenture
Une fois cette évaluation d’exposition aux risques cyber réalisée, l’entité financière doit s’interroger sur son niveau de maturité :
En tout état de cause, ce diagnostic est à réaliser en tenant compte des différentes évolutions réglementaires, actuelles et à venir, mais aussi au regard des meilleures pratiques de place.
Cette évaluation complète, incluant le diagnostic de l’existant, doit être présentée à l’organe décisionnel afin qu’il puisse arbitrer sur les optimisations et/ou développements à opérer dans le cadre de son dispositif de lutte contre les risques cyber, permettant ainsi d’acter l’ambition de résilience opérationnelle que poursuivra l’entité.
L’entité financière doit donc définir une roadmap afin de se mettre en conformité par rapport aux exigences de résilience opérationnelle portées par la réglementation DORA au regard des pratiques de place ou de celles de ses pairs (à taille et activités similaires) et de son niveau de maturité.
Pour être en mesure de définir cette roadmap correctement, il est impératif, de bien analyser et comprendre son existant, et cela à travers 3 grandes catégories :
Cette compréhension de la situation actuelle permettra de définir l’effort nécessaire pour atteindre le point cible, notamment sur les plans budgétaires, humains et planning.
Il est à noter que les banques dites systémiques, considérées comme des Opérateurs d’Importance Vitale (OIV) au sens de la Loi de Programmation Militaire, sont d’ores et déjà assujetties à des obligations de protection de leurs Système d’Information (similaire au projet de règlement DORA ) : porter les enjeux SI au plus haut niveau de l’entité, mise en place d’un système de journalisation pour chaque SIIV (Système d’information d’importance vitale), mise en place d’une organisation de gestion des incidents de sécurité informatique etc.
La définition et la mise en œuvre de ce point cible ne représentera pas les mêmes enjeux entre les entités financières déjà conformes à la Loi de Programmation Militaire et celles qui ne le sont pas.
Les processus métiers constituent les fondements de la gestion des risques : une mauvaise définition et/ou compréhension de ces derniers mettraient en échec les 2 autres aspects que sont les outils et l’humain.
En effet, l’outillage arrive en support des processus (à des fins d’optimisation des processus, de consolidation, de traçabilité des process …), et l’humain, quant à lui, va venir mettre en œuvre les processus définis.
La compréhension des processus métiers existants est donc primordiale.
Cette compréhension passe par l’analyse des politiques du groupe, des procédures déclinées selon les métiers (si nécessaire), et des modèles opérationnels cibles (ou « Target Operating Model », servant d’accompagnement opérationnel aux parties prenantes), en lien avec les processus clés relatifs à la gestion des risques TIC.
Une fois ces éléments analysés, comprendre le lien avec les outils existants (s’il y en a) et l’implication de l’humain dans le processus sera d’autant plus simple, permettant de localiser les lacunes par rapport à ce process : Est-ce le process lui-même ? Les outils associés sont-ils assez performants par rapport à l’ambition du process métier défini ? L’acculturation par rapport à la politique de cyber-résilience du Groupe a-t-elle été correctement faite ?
En mettant cette bonne compréhension des processus existants au regard de la cible, définie en fonction des ambitions et de la réglementation, il est possible de formaliser une analyse d’écart.
Ainsi, les plans d’actions vont naturellement découler de ces écarts et seront échelonnés dans le temps (selon la priorité des actions, les interdépendances associées …) afin de définir une roadmap.
Exemples de plans d’actions à anticiper dans le cadre du projet de loi DORA :
Analyser l’outillage existant venant en support aux processus métiers définis est important pour :
Globalement, vis-à-vis du projet de loi DORA, les outils peuvent couvrir les besoins suivants (liste non-exhaustive) :
Aussi, certains acteurs de la place proposent des solutions clés en main pour la couverture des risques cyber. Ils s’inscrivent également dans une démarche de gestion holistique des risques (solutions de gestion des risques intégrée (Integrated Risk Management solution – IRM), proposant à la fois des modules pouvant couvrir des exigences de gestion des risques TIC (« risques liés aux tiers » ou encore « IT security »)), mais aussi des risques liés aux données personnelles ou à l’environnement.
Cette approche capitalise sur les données provenant des différents modules afin d’évaluer l’ensemble des risques de l’entreprise, ce qui est un avantage considérable.
Le renforcement de la culture du risque relative aux technologies de l’information et de la communication (TIC) doit être assuré au sein de chaque institution financière, auprès de l’ensemble des collaborateurs, incluant l’organe de direction.
Ce renforcement s’inscrit dans un objectif plus global qu’est la mise en œuvre d’une résilience opérationnelle numérique.
Pour ce faire, les entités financières sont invitées à :
Ce dispositif, pour être performant, doit permettre de former et sensibiliser l’ensemble des collaborateurs de l’institution (incluant les organes de direction) et doit être adapté aux spécificités et besoins propres à chaque métier, ainsi qu’au niveau de connaissance et de sensibilisation des collaborateurs.
Les institutions financières doivent donc être en mesure de proposer une palette de dispositifs (e-learning, formations en présentiels, diffusion de campagnes d’emails…) visant à assurer cette montée en compétence ainsi qu’un calendrier de mise en œuvre, permettant de s’inscrire dans le processus afin de le pérenniser.
Le projet de règlement DORA prévoit, en effet, que les membres de l’encadrement supérieur responsables des TIC rendent compte, au moins une fois par an, des tests de résilience et des incidents liés à l’informatique et formulent des recommandations auprès de la direction. Les institutions doivent donc veiller à ce que les organes de direction jouent un rôle actif dans l’encadrement des risques TIC. Ces derniers doivent être nativement intégrés dans la définition des stratégies conduites par les entités financières. Des impacts sur le modèle organisationnel sont nécessairement à prévoir. Ceci peut être également l’occasion d’optimiser les process existants et de définir de nouveaux RACI (Responsible, Accountable, Consulted, Informed) permettant une pérennisation de cette implication des organisations de direction dans la gestion des risques.
En conclusion, et compte tenu des orientations décrites dans le projet de règlement DORA, les entités financières pourraient d’ores et déjà réfléchir à la mise en œuvre de 2 actions principales :
Pour ce faire, des objectifs d’amélioration du dispositif de gestion des risques cyber doivent être clairement identifiés et classifiés selon leur périmètre (process, outils et humain …), afin d’assurer une mise en œuvre pragmatique et efficiente au sein de l’entité et une remontée des KPI fluidifiée, facilitant ainsi le suivi de l’implémentation des différentes actions attendues. Par ailleurs, les membres de la direction doivent également définir les moyens financiers et humains auxquels ils souhaitent recourir pour mettre en œuvre cette trajectoire.
Pauline Langlès – Consultante senior, Diplômée du Cycle Expert Conformité de l’ESBanque
Fanny Genevrey – Consultante senior – Finance & Risk & Compliance
Stéphane Nguyen-Huu – Manager Strategy & Consulting – Finance & Risk & Compliance
Sources :
Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014 et (UE) nº 909/2014
Sélectionné par Virginie GASTINE MENOU
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.