DORA, l'avant et l'après dans la régularisation des cyberattaques

Depuis septembre 2020, le texte du Règlement Européen sur la Résilience Opérationnelle Numérique (DORA), actuellement en phase d'approbation par le Parlement et le Conseil, est disponible et devrait être publié prochainement. Comme son nom l'indique, ce règlement établit une série d'exigences de résilience pour les supports numériques (réseaux et systèmes d'information) sur lesquels les institutions financières s'appuient pour fournir leurs services, afin qu'ils bénéficient des garanties de sécurité nécessaires pour éviter que tout événement ne conduise à un dysfonctionnement, une modification ou un accès inapproprié. En bref, atténuer les menaces qui peuvent compromettre la sécurité des processus d'affaires dépendant de la technologie en termes d'intégrité, de confidentialité et de disponibilité des informations gérées par ces moyens technologiques.  

Le secteur financier est un secteur hautement réglementé et, parmi les exigences auxquelles ils sont soumis, celles relatives à la sécurité de l'information/cybersécurité prennent de plus en plus d'importance. À cet égard, nous pouvons mentionner les législations suivantes : exigences de sécurité de la DSP2 (soutenues par les lignes directrices de l'ABE), exigences de sécurité de SWIFT, PCI-DSS, législation NIS (pour les institutions financières qui ont été désignées comme opérateurs critiques), protection des infrastructures critiques (LPIC - pour les institutions qui ont été déclarées critiques) et législation sur la protection des données (RGPD/LOPDGDD).

En outre, de nombreuses institutions financières ont décidé d'adopter des normes de sécurité et de continuité qui, bien que n'étant pas légalement obligatoires, ont été considérées comme très pratiques en tant que levier de conformité aux exigences légales obligatoires. Ces normes comprennent l'ISO 27001 (système de gestion de la sécurité de l'information : ISMS) et l'ISO 22310 (système de gestion de la continuité des activités : BCMS), qui sont toutes deux certifiables.

Bien que les institutions financières aient été mentionnées, le règlement ne se concentre pas uniquement sur le secteur bancaire, mais le champ d'application de ce règlement va au-delà, touchant également d'autres secteurs, notamment les compagnies d'assurance et de réassurance et les agences de notation de crédit, bien que dans le cas des micro-entreprises, et suivant le principe de proportionnalité, certaines des exigences soient moins exhaustives.

Dans ce contexte de réglementation et de normes applicables, DORA intègre les exigences existantes sous un seul chapeau et les renforce avec de nouveaux éléments qui sont nécessaires dans le paysage complexe et croissant des cybermenaces d'aujourd'hui. Ainsi, la gestion des risques liés aux TIC, la gestion des fournisseurs de TIC et la nécessité d'un test de résilience complet sont soulignées.

Dans ce grand puzzle réglementaire de la sécurité, auquel une nouvelle pièce sera ajoutée avec DORA, il est essentiel d'appliquer un modèle d'intégration multiréglementaire, en tenant compte des aspects communs et en suivant une feuille de route unique et partagée, c'est-à-dire en considérant la conformité à la cybersécurité comme un processus d'entreprise holistique et non comme des activités distinctes pour chaque réglementation. Dans ce modèle multiréglementaire, le résultat sera sans aucun doute supérieur à la somme de ses parties en termes d'efficacité des mécanismes de cybersécurité, de ressources internes, de coûts et d'investissements, et de réussite des audits.

Cela dit, quels sont ces piliers communs aux différentes réglementations de sécurité?​ 

• L'une d'entre elles, qui est également essentielle, est la gestion des risques liés à la sécurité des TIC, à laquelle DORA consacre un chapitre entier. Analyser les risques auxquels sont soumis les actifs technologiques et les gérer conformément à un cadre est essentiel pour protéger de manière optimale, sans surprotéger ni sous-protéger. C'est pourquoi la gestion des risques est exigée par la législation NIS, la législation sur la protection des données, la législation sur les infrastructures critiques et la norme ISO 27001. Et il est conseillé d'effectuer des analyses de risques combinées qui regroupent les différents "objets" concernés par les différentes législations.

• Un autre aspect important est la gestion des incidents liés aux TIC. La gestion des incidents (y compris les atteintes à la vie privée concernant les informations personnelles) est requise par la législation sur la protection des données, le NIS, le LPIC, le PCI-DSS, l'ISO 27001, etc. Il serait souhaitable d'avoir une procédure unique de gestion et de communication des incidents qui regroupe les différentes casuistiques (données personnelles, données de cartes bancaires, etc.). Un processus qui couvre le cycle complet de la gestion des incidents, de l'identification à l'éventuelle récupération, en passant par le confinement et la communication, sans oublier les enseignements tirés pour améliorer les mesures techniques, organisationnelles et juridiques afin d'améliorer la prévention.

• Dans la continuité des aspects communs, l'accent est mis sur l'obligation d'effectuer des tests (ou audits) périodiques. Le cadre DORA consacre un autre chapitre aux tests de résilience opérationnelle numérique, qui sont un mécanisme de vérification périodique permettant de contrôler et de fournir la preuve que les mesures de sécurité sont efficaces, et de pouvoir adopter les améliorations suggérées par les résultats de ces tests. La norme ISO 27001 exige explicitement des audits internes (et des audits externes pour la certification), la norme PCI-DSS doit être auditée par une équipe technique afin de vérifier l'adéquation des contrôles de sécurité technique pour sécuriser le traitement des données de paiement, le règlement sur la protection des données exige des audits pour respecter le principe de responsabilité proactive, etc. Les programmes d'audit doivent tenir compte du fait que le personnel impliqué et le sujet des entretiens doivent permettre de regrouper les activités d'audit de différentes législations, ce qui permet de gagner du temps et d'accorder de l'attention aux résultats.

• Un chiffre qui prend de plus en plus d'importance est la gestion des risques liés aux TIC pour les tiers, où l'on entend par tiers liés aux TIC les entités qui fournissent des services et des solutions TIC. L'externalisation croissante des services TIC au cours des dernières années a créé une nouvelle série de menaces. Il est essentiel de gérer les tiers pour garantir un niveau de sécurité qui ne soit pas inférieur à celui que l'on obtiendrait si ces services étaient fournis en interne, et les armes de cette gestion sont, entre autres, le contrat de prestation de services et le droit d'audit. La gestion des tiers est évoquée dans différentes législations et normes de sécurité, où les tiers sont un "actif" à protéger comme tout autre actif TIC. 

• Aux points ci-dessus, nous pourrions ajouter d'autres exigences communes connues, telles que la formation et la sensibilisation, la définition des rôles et des responsabilités, les mécanismes de sécurité logique (contrôle d'accès, protection des réseaux, des données et des applications), la sécurité dès la conception et tout au long du cycle de vie, y compris des logiciels, et bien sûr la documentation (politique, règlements, procédures, plans).

Ce modèle d'intégration multi-réglementation doit être basé sur un modèle d'amélioration continue PDCA (Plan, Do, Check, Act) et il ne s'agit donc pas seulement de mettre en œuvre, mais de maintenir et d'améliorer, et cela doit être fait de manière commune afin d'accompagner toute la réglementation et de constituer notre cadre de gouvernance de la cybersécurité.

Chez Babel, nous suivons de près la publication finale du règlement DORA. Dans l'intervalle, nos experts en cybersécurité, qui possèdent une vaste expérience des secteurs de la finance et de l'assurance, continuent d'aider nos clients à préparer le terrain pour tirer parti des divers points communs entre les lois, réglementations et normes existantes. Nous travaillons à l'élaboration d'un modèle global, qui sera plus efficace et aura un impact positif sur la qualité et la résilience de nos services numériques, qui sont essentiels pour faciliter les affaires et être plus compétitifs.