Dans le fonctionnement du système bancaire, les systèmes d’information occupent une place stratégique et leur sécurité est un enjeu majeur.
Les organismes bancaires, assurances ou sociétés de gestion, en poursuivant leur mutation digitale, s’exposent à un risque informatique et numérique croissant. Toute nouvelle application bancaire, objet connecté, interconnexion ou accès ouvert aux partenaires, courtiers ou fournisseurs devient une porte d’entrée pour les pirates informatiques et font régulièrement l’objet de cyberattaques de plus en plus sophistiquées
Le secteur financier est un secteur déjà très réglementé que ce soit au travers :
- de la Directive sur les Services de Paiement (DSP2) qui instaure des normes de sécurité plus strictes pour les paiements en ligne afin de renforcer la confiance des consommateurs dans les achats en ligne ;
- du Règlement Général sur la Protection des Données (RGPD) qui encadre le traitement des données personnelles ;
- de la directive Network and Information Security (NIS) qui fixe pour les opérateurs de services essentiels (OSE) européen un socle minimal de garanties pour se protéger des cyberattaques ;
- de la certification Software-Based Mobile Payments (SBMP) qui oblige les solutions de paiement mobile à faire évaluer la cybersécurité de leur solution avant sa mise sur le marché.
L’absence de règles détaillées et exhaustives sur la résilience opérationnelle numérique au niveau européen et le manque de coordination entre les initiatives nationales ont engendré des incohérences, des exigences redondantes et des coûts administratifs et de mise en conformité élevés en particulier pour les entités financières. Cette situation fragmentée compromet la stabilité et l’intégrité du secteur financier de l’Union européenne et porte atteinte à la protection des consommateurs et des investisseurs.
C’est pourquoi, à l’initiative de l’Union européenne, la Digital Operational Resilience Act (DORA) a vu le jour. Cette proposition de règlement sur la résilience opérationnelle est définie comme la capacité des entreprises du secteur financier à prévenir, s’adapter, répondre et apprendre des incidents opérationnels. Elle fait partie d’une stratégie numérique visant à renforcer le potentiel que la finance numérique peut offrir sur le plan de l’innovation et de la compétitivité, tout en limitant les risques qui en découlent.
Les entreprises directement concernées par les obligations du projet DORA sont :
- Les établissements de crédit
- Les établissements de paiement
- Les établissements de monnaie électronique
- Les entreprises d’investissement
- Les prestataires de services sur cryptoactifs, les émetteurs de cryptoactifs, les émetteurs de jetons
- Les dépositaires centraux de titres
- Les contreparties centrales
- Les plates-formes de négociation
- Les référentiels centraux
- Les gestionnaires de fonds d’investissement alternatifs
- Les sociétés de gestion
- Les prestataires de services de communication de données
- Les entreprises d’assurance et réassurance
- Les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire
- Les institutions de retraite professionnelle
- Les agences de notion de crédit
- Les contrôleurs légaux des comptes et les cabinets d’audit
- Les administrateurs d’indices de référence d’importance critique
- Les prestataires de services de financement participatif
- Les référentiels des titrisations
- Les tiers prestataires de services informatiques
La réglementation DORA repose sur 5 piliers :
- la gestion des risques liés aux technologies du numérique ;
- les rapports d’incidents en lien avec ces technologies ;
- les tests de résilience opérationnelle numérique ;
- la gestion des risques liés aux technologies du numérique par des tiers ;
- le partage d’informations et de renseignements.
Afin d’être prêts, nous recommandons aux organisations de prendre les mesures suivantes :
- effectuer une évaluation de la maturité par rapport aux exigences de la DORA, avec une analyse des lacunes et un plan d’atténuation connexe pour atteindre la conformité ;
- commencer à réfléchir à un scénario pour le test de pénétration à grande échelle, en vue de le faire valider par le régulateur ;
- commencer à travailler sur la consolidation du registre des informations pour tous les fournisseurs tiers de technologies de l’information et de la communication (TIC).
SERMA Safety and Security, au travers de son offre de gouvernance, d’audit, de supervision de la sécurité et de son laboratoire d’évaluation de la sécurité agréé au niveau français CESTI accompagne les établissements à l’obtention et la mise en place des réglementations et des certifications nécessaires : DSP2, RGPD, NIS, SBMP et bien évidemment la réglementation DORA.