Le règlement européen DORA : la cybersécurité dans le secteur financier
Il reste un an pour se mettre en conformité avec le règlement européen DORA : Digital Operational Resilience Act. Le texte de ce règlement a pour but de renforcer la résilience informatique opérationnelle des acteurs bancaires et financiers.
Cette résilience informatique se traduit par la capacité de l’entreprise ou de l’organisme de faire face à une cyberattaque tout en continuant à fournir des prestations. Le règlement DORA est un cadre réglementaire de cybersécurité qui permet de prévenir les attaques informatiques liées aux technologies de l’information et de la communication (TIC).
L’interconnexion du système financier international et la présence de très grands acteurs sur de multiples marchés est en effet source de grandes menaces, car une faiblesse chez l’un entraînera forcément une faiblesse chez les autres. En cas de défaillance du système d’information d’un acteur majeur, la plupart du temps due à une attaque de l’un de ses fournisseurs, l’effondrement du système financier deviendrait non seulement envisageable mais instantané !
Concrètement, quel est l’impact de DORA dans le secteur financier et bancaire ?
Qui est concerné par le règlement DORA et pourquoi la cybersécurité ?
Pour rappel, le règlement européen DORA s’applique à 20 types de sociétés financières dont :
- les établissements de crédit et de paiement,
- les établissements de monnaie électronique,
- les entreprises d’investissement,
- les prestataires de services sur cryptoactifs,
- les plateformes de négociation,
- les sociétés de gestion,
- les entreprises d’assurance et de réassurance et leurs intermédiaires,
- les institutions de retraite professionnel,
- les agences de notation de crédit,
- les prestataires de services de financement participatif,
- ou encore les gestionnaires de fonds d’investissement alternatifs…
Ces sociétés doivent avoir plus de 10 salariés et un chiffre d’affaires annuel et/ou le total du bilan annuel qui atteint au moins 2 millions d’euros.
S’ajoute à cette liste les prestataires IT (les prestataires tiers de services TIC) qui opèrent au sein de l’Union Européenne.
DORA touche donc une dizaine de milliers de sociétés en Europe.
Une rétrospective des textes sur la cybersécurité.
Ce règlement DORA a été pensé par la Commission Européenne afin de favoriser l’innovation mais également l’adoption de nouvelles technologies. En somme, cela pourrait permettre aux entités européennes et donc françaises de cybersécurité d’avoir une place plus importante.
Quels sont les grands piliers de ce règlement européen DORA en matière de cybersécurité.
Voici les 4 grands piliers du règlement européen DORA que nous vous proposons :
- Sécurité de l’entreprise : articles 4 à 16
- Gestion des incidents : articles 17 à 23 et 45
- Test des fournisseurs TIC : articles 24 à 27
- Contractualisation IT : articles 28 à 30
Les piliers de la loi DORA en résumé
On pourrait imaginer que ces 4 piliers soutiennent un toit à égalité, mais ce n’est pas le cas. Certains sont plus importants que d’autres.
En effet, le premier pilier implique la sécurisation de l’entreprise face aux attaques. En somme, nous parlons ici de la résilience face aux cyberattaques et de la capacité à détecter en amont les fuites de données.
Le deuxième pilier, qui concerne la gestion des incidents, impose un système de détection, d’analyse de l’écosystème de l’entreprise. Il impose également la déclaration d’incidents des tiers publics et oblige l’entité financière à partager l’information sur les menaces.
Le troisième pilier des tests fournisseurs TIC est un peu plus complexe et a toute son importance. En effet les fournisseurs IT sont un élément majeur à la sécurité de l’entreprise. C’est pourquoi ce pilier oblige l’entreprise financière à s’investir dans la cybersécurité de ses sous-traitants. Ainsi, cela permet au fournisseur d’évoluer dans sa sécurité.
Le quatrième pilier est la contractualisation IT, elle permet de faire un état des lieux global des contrats. Cela permet d’avoir une cartographie des contrats, obligations et contrôles et ainsi renforcer la cybersécurité des acteurs contractuels.
Le règlement DORA aide donc les entreprises du secteur financier à réviser et à améliorer leur cybersécurité.
Comment appliquer les consignes du règlement européen DORA pour sa cybersécurité ?
Nous préconisions de voir le Système d’Information comme un écosystème. Cela pousse les acteurs à voir le SI mais aussi les données qui peuvent être à l’extérieur de celui-ci.
Premièrement, il faut identifier les flux et se positionner. Par exemple : qu’est-ce qui sort de mon entreprise ? Qu’est-ce qui rentre dans mon entreprise en terme de données. Via des fournisseurs ou pas ?
Se poser ces questions va permettre de se positionner vis-à-vis de ces flux dans sa cybersécurité. Ainsi est-ce que ce flux de données vers la Chine tous les jours à 4h du matin est considéré comme toxique ?
La deuxième étape est d’identifier les données à l’extérieur du Système d’Information. DORA exige une cartographie des données pour la cybersécurité des acteurs financiers. En effet, la cartographie va permettre de savoir s’il y a déjà eu une cyberattaque non identifiée par exemple.
DORA oblige ce processus une fois par an pour garantir la cybersécurité des entités financières.