La réglementation européenne visant à renforcer la cybersécurité du secteur financier adoptée fin 2022 s’appliquera à compter du 17 janvier 2025. Baptisée DORA (Digital Operational Resilience Act), cette directive oblige les institutions financières à intensifier la surveillance de leurs systèmes d’information.
Optimiser la gestion des risques liés aux nouvelles technologies
Avec l’entrée en vigueur prochaine de DORA, les institutions financières devraient être prêtes à se conformer à ses exigences strictes, notamment en matière de gestion des risques relatifs aux technologies de l’information et de la communication. Cette démarche implique une surveillance en continu du SI dans l’optique de prévenir et de détecter rapidement les menaces, et de ce fait, de mieux se protéger contre les attaques ciblant le secteur.
Ces obligations concernent toutes les entités financières, et en fonction de leurs structures respectives, ces dernières devront réviser la manière dont elles gèrent le risque cyber.
La directive insiste en particulier sur l’importance de la mise en conformité, mais sa portée n’est pas limitée à cela. En effet, en plus de la surveillance non-stop du SI, l’instauration de plans de réponse aux incidents ainsi que d’un système de reporting et de documentation de chaque incident dans les meilleurs délais, sont également de rigueur. En outre, la gestion des prestataires tiers devrait être plus efficace.
Le niveau d’effort requis diffère d’une entité à l’autre
Même si tous les acteurs de la finance doivent se plier aux exigences de DORA, le niveau d’effort requis varie en fonction des risques auxquels l’institution est exposée. D’après un expert, « les fintechs et venture capitals semblent ne pas être suffisamment préparés à aborder ce processus ». De leur côté, les grands groupes se déclarent prêts à relever les défis.
La mise en application de la réglementation sera ainsi quelque peu différente d’une entité à l’autre, et correspond aux risques spécifiques et ressources de chacune d’entre elles. Néanmoins, dans tous les cas, les enjeux de la sécurité informatique doivent être intégrés dans les décisions stratégiques importantes de l’établissement.
« Pour les nouveaux acteurs du secteur financier, le processus devrait commencer dès la création des offres », a souligné ce même spécialiste. Pour ce faire, ils peuvent faire appel à un expert en cybersécurité pour protéger leurs infrastructures informatiques contre les attaques malveillantes (tentatives d’intrusion, vol des données…) via des actions de prévention et de contrôle. Ce spécialiste prendra en charge, entre autres, les analyses des risques, la détection des failles de sécurité, la mise en place des solutions et la gestion des incidents, la veille technologique et réglementaire, et la formation et la sensibilisation des collaborateurs de l’entreprise.
Il s’agit d’une obligation incontournable pour ces professionnels, dont le business model repose sur les technologies digitales. Grâce à cette approche dite « sécurité by design », les fintechs n’auront pas de difficultés à gagner et à préserver la confiance de leurs clients et partenaires. D’autre part, ils seront mieux sécurisés contre les cyberattaques et peuvent éviter les surcoûts générés par celles-ci.
