L’importance de la résilience informatique dans le secteur financier et bancaire.

La résilience informatique désigne la capacité d’un système d’information à garder son intégrité et à se rétablir rapidement en cas d’incident. Et ce, quel que soit l’origine de l’incident : humaine ou technique. Elle est mise à l’épreuve lorsqu’il y a par exemple une panne technique, une catastrophe naturelle ou une cyberattaque. La résilience informatique est donc une forme de cybersécurité.

La résilience informatique est essentielle à maintenir et renforcer, notamment dans le secteur financier et bancaire, car le règlement européen DORA (Digital Operational Resilience Act) est entré en vigueur début 2023 et son non-respect sera sanctionnable dès l’automne 2024.

Nous allons voir ici les différents enjeux de la résilience informatique et le lien avec le règlement européen DORA.

Quels sont les enjeux de la résilience informatique ?

Il y a quelques enjeux importants à prendre en compte pour bien assimiler le terme de résilience informatique.

Par exemple le fait incontestable que les entreprises dépendent de plus en plus de leur Système d’Information pour fonctionner. En cas d’interruption de service, l’entreprise peut subir une grande perte de revenus, sans parler de sa réputation entachée. Travailler sa résilience informatique permet d’assurer la continuité des activités de l’entreprise en cas d’interruption de service.

Vous vous en doutez sûrement, les systèmes informatiques stockent des données sensibles, comme des données administratives sur les employés ou des informations financières, voire des données sensibles sur les fournisseurs/prestataires. La résilience informatique permet de protéger ces données contre les fuites de données.

Enfin, assurer une résilience informatique véritable et efficace permet de rassurer les clients, de conserver leur confiance.

 

La résilience informatique dans les secteurs spécifiques bancaire et financier.

Pourquoi parler de résilience informatique dans les secteurs financier et bancaire ?

Le règlement européen DORA (Digital Operational Resilience Act) est entré en vigueur le 23 janvier 2023. Il vise à renforcer la résilience informatique des infrastructures financières et bancaires face aux cyberattaques et autres perturbations. Il reste moins d’un an aux entités concernées pour se mettre en accord avec ce règlement et quelques mois seulement pour débuter les démarches.

résilience informatique

Les différents tests en fonction de la taille de l’entreprise.

Concrètement, le règlement européen DORA sert à quoi ?

Avant l’arrivée du règlement européen DORA, il fallait opérer de la « sécurité défensive » pour se protéger à posteriori.  Avec le concept de résilience informatique, il s’agit pour les entreprises et les services étatiques concernés, de s’organiser, dès le départ, pour travailler malgré les pannes, et surtout malgré les cyberattaques. La cybersécurité doit maintenant être active pour atteindre une résilience informatique opérationnelle.

Le règlement européen DORA introduit également une grande nouveauté : la notion de co-responsabilité entre le donneur d’ordre et ses fournisseurs. Jusqu’à présent, en cas par exemple de fuite de données provenant d’un fournisseur, seul le fournisseur était responsable. Maintenant, avec DORA, le client est co-responsable. C’est bien cette co-responsabilité qui oblige les entreprises et les services d’Etats soumis à DORA, à vérifier la résilience informatique de leurs fournisseurs et à faire de la surveillance de sources ouvertes pour détecter les fuites de données.

Quelles sont donc les obligations du règlement européen DORA à prendre en compte ?

Le règlement européen DORA impose un certain nombre d’obligations aux entités financières et bancaires, notamment :

  • Le devoir d’identifier et d’analyser les risques auxquels leur système informatique sont exposés.
  • Le devoir de mettre en place des mesures de protection comme des sauvegardes de données ou des contrôles d’accès afin de diminuer les risques de fuites de données.
  • L’obligation de notifier les incidents aux autorités compétentes.
  • Le devoir de tester et exercer des plans de reprise d’activité en cas d’incident, afin d’approuver l’efficacité du plan de résilience informatique mis en place.

La résilience informatique est une nécessité pour toutes les entreprises. Nous conseillons aux entreprises de faire des tests et de surveiller les potentiels risques.

Comment surveiller les potentiels risques d’attaques cyber dans le cadre de votre résilience informatique ?

 → À l’aide d’Aleph Alert: Aleph Alert vous permet d’être immédiatement alerté de toute fuite de données sur les Clear, Deep & Dark Webs, qui exposent votre entreprise aux attaques cyber. (insérer lien pour en savoir plus).