La cybersécurité et une résilience opérationnelle plus large doivent être des top-priorités pour chaque institution financière

A présent que nous sommes tous interconnectés de manière toujours plus intensive, les vulnérabilités numériques peuvent provoquer de graves perturbations des systèmes bancaires, mettant en danger les données des clients. Avec les nouvelles règles européennes à l’horizon, les fournisseurs de services financiers doivent agir sans tarder pour protéger leurs clients et leurs entreprises.

La numérisation nous envahit et modifie nos interactions: que ce soit les uns avec les autres, avec les institutions pour lesquelles nous travaillons, mais aussi avec les autorités qui nous gouvernent. De même, le monde financier – banques, assureurs, sociétés de paiement et autres fournisseurs de services – accueille à bras ouverts un futur accordant la priorité au numérique.

Ce nouveau paysage présente des dangers évidents pour la sécurité de notre argent et de nos données. Voilà pourquoi la cybersécurité et une résilience opérationnelle plus large doivent être des top-priorités pour chaque institution financière. Dans le même temps, la vigilance est de mise, afin que l’innovation ne soit pas étouffée dans l’oeuf – un difficile exercice d’équilibriste que celui-là.

L’Union européenne vise à positionner le secteur financier comme un leader mondial dans le domaine de l’innovation numérique, mais est bien consciente des menaces et des opportunités qui se présentent. D’où la sortie du Digital Operational Resilience Act, DORA en abrégé. Cette loi introduit un ensemble commun de règles en vue de limiter les risques de la technologie de l’information et de la communication (ICT) dans l’ensemble du secteur et en particulier de veiller à ce que des mesures soient prises pour se protéger contre les cyber-attaques et autres sources de risque.

Même activité, même risque, mêmes règles

Ces garanties sont destinées à promouvoir d’importants objectifs tels que l’échange de données et le financement ouvert, tout en maintenant les normes très élevées de l’UE en matière de confidentialité et de protection des données. Selon toute attente, DORA devrait être transposée en une loi nationale avant fin 2022. Même si les entreprises disposeront de 24 mois pour se mettre en conformité, il y a des avantages évidents pour les acteurs financiers à utiliser DORA en vue d’accueillir résolument la révolution numérique.

Dans un premier temps, les institutions financières doivent identifier et traiter leurs risques ICT. Une première approche consiste à utiliser des systèmes capables de détecter des activités inattendues. DORA mise aussi sur le test de la résilience des systèmes numériques face aux collaborateurs internes et aux menaces externes. DORA harmonise non seulement la façon dont les institutions signalent les incidents liés à l’ICT, mais leur permet aussi de partager entre elles des informations sur les cybermenaces.

De plus en plus de fournisseurs de services numériques soutiennent les institutions financières, en particulier les soi-disant tiers critiques, qui fournissent des services cruciaux, mais qui ne devaient pas satisfaire à la réglementation existante. Ils doivent à présent passer à la vitesse supérieure, conformément au principe DORA: ‘même activité, même risque, mêmes règles’.

Ne tardez pas, agissez maintenant

Même si certains aspects davantage techniques de DORA doivent encore être clarifiés, d’importants premiers pas peuvent dès à présent être accomplis, notamment en maximalisant la résilience des structures numérique. L’une des principales façons d’y parvenir est d’utiliser un Information Security Management System (ISMS) à toute épreuve. Ce dernier offre aux entreprises l’opportunité de sécuriser leurs actifs les plus critiques: par exemple en effectuant des tests de pénétration périodiques à l’aide de techniques connues, utilisées par les cybercriminels.

Sur base d’évaluations des points faibles potentiels au sein de l’entreprise – et de ses fournisseurs de services externes -, les (cyber-)risques peuvent être détectés et limités. Les entreprises doivent aussi se concentrer sur la définition des évaluations, scénarios de test, méthodologies et tiers nécessaires pour supporter un programme de test de la résilience opérationnelle numérique. L’implication du senior management revêt une importance cruciale. L’une des plus grandes erreurs qu’une entreprise puisse commettre, serait de considérer cela comme un simple exercice de ‘case à cocher’.