Planet-Fintech
L'actualité des sociétés qui disruptent l'industrie financière

Banniere CAT


La résilience, nouvelle mode de la cyber ?

#4 : L’exemple caractéristique du règlement DORA et du secteur financier.


La résilience, nouvelle mode de la cyber ?
Note : Si cet article présente l’exemple spécifique du secteur financier, de nombreux points demeurent applicables à la résilience de tous les secteurs d’activité.

Qu’est-ce que la résilience ?


Historiquement, ce terme a été utilisé dans le domaine de la Psychologie, pour désigner « le processus et le résultat d'une adaptation réussie face à des expériences de vie difficiles ou stimulantes, en particulier grâce à la flexibilité mentale, émotionnelle et comportementale et à l'ajustement aux exigences externes et internes. » (American Psychological Association. Depuis trois ans environ, l’expression a été détournée pour s’immiscer dans le vocabulaire économique et politique, par exemple au sujet de l’inflation pour promouvoir la capacité d’une économie et d’une population à faire face à la montée des prix des biens de consommation et à tenir le coup face aux difficultés financières induites.

La Banque de France fait également usage du terme de « résilience » pour applaudir les efforts des PME face aux difficultés financières récentes (https://publications.banque-france.fr/la-resilience-des-pme-en-2021-un-atout-pour-affronter-les-difficultes-de-2022). Dans ce contexte, le terme de « résilience » est employé pour caractériser les capacités d’une personne ou d’un système à continuer à fonctionner le plus normalement possible face aux incidents et aux dommages subis, grâce à un mécanisme mis en place pour absorber les chocs dans un cadre donné. Dans la nouvelle règlementation DORA (Digital Operational Resilience Act) adoptée par le Parlement Européen, et qui s’appliquera le 17 janvier 2025, le cadre est celui des technologies de l’information et la communication (TIC) Regulation - 2022/2554 - EN - DORA - EUR-Lex (europa.eu).

Dans l’article 3 du règlement, la résilience opérationnelle numérique est définie ainsi : « la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations ». Dans les « considérants » évoqués par le législateur européen, la résilience prend des aspects multiples. L’objectif de ce texte est en effet d’assurer au sein du marché intérieur une résilience qui soit à la fois « opérationnelle », « financière », « numérique », (considérant 4. du règlement DORA), le tout pour comprendre une résilience « globale » (considérant 11.) du système financier dans son intégralité. Ici, plus que jamais, l’ambition est de prévenir le risque « systémique » (considérant 3.).

La direction de l’entreprise, reponsable de sa résilience


Selon ce nouveau cadre législatif, cette résilience doit trouver sa source, et surtout sa responsabilité, directement auprès de la Direction des entreprises. L’article 5 2., qui ouvre la Section (I) consacrée à la « Gouvernance et Organisation », l’énonce très explicitement : « L’organe de direction de l’entité financière définit, approuve, supervise et est responsable de la mise en œuvre de toutes les dispositions relatives au cadre de gestion du risque lié aux TIC ». Et le même article de préciser que l’organe de direction « assume la responsabilité ultime de la gestion du risque lié aux TIC de l’entité financière ».

Dans une règlementation très vaste, qui comprend la mise en œuvre de ce cadre de gestion du risque, des tests de pénétration, ou encore le rapport des entreprises face aux sous-traitants de services informatiques, cette règle de responsabilité risque de passer inaperçue auprès des dirigeants des entreprises, mais elle démontre une nouvelle volonté très ferme du législateur. Désormais, la gestion du risque IT n’est plus secondaire, mais bel et bien un élément sine qua non du bon fonctionnement de l’entreprise. C’est à l’organe de direction qu’il incombe de faire saisir à l’ensemble de l’entreprise cette importance nouvelle.

Ici, les entreprises font face à une difficulté : concrètement, sur qui la responsabilité repose-t-elle ? L’ « organe de direction » tel qu’évoqué par le règlement DORA fait référence à l’article 3 de la directive CRD IV 2013/36/UE3 Directive - 2013/36 - EN - crd iv - EUR-Lex (europa.eu). Cette Directive fait la distinction entre « l’organe de direction », « l’organe de direction dans sa fonction de surveillance », puis « la direction générale ». DORA ne sépare pas explicitement les rôles de la Direction Générale et du Conseil d’administration, et se réfère à l’organe de direction (« management body ») qui englobe les deux éléments. Il est essentiel pour les entités financières de comprendre comment opérer ces distinctions, afin de bien saisir la volonté du législateur, du régulateur, et enfin de leur démontrer qu’elles sont en conformité. Chaque entité devra donc faire un travail de détourage, si nécessaire avec l’aide d’un cabinet spécialisé (tel qu’IBM Promontory), pour définir le rôle de chacun en fonction de sa structure. En découlent plusieurs questions que chaque entité financière doit se poser sur le rôle de cet organe de direction regroupant la Direction Générale et le Conseil d’Administration.

Quelles sont les responsabilités de l’organe de direction en matière de résilience de l'entreprise ?


L’organe de direction joue un rôle crucial en ce qui concerne la résilience de l'entreprise. La résilience organisationnelle englobe divers aspects, y compris la gestion des risques, la continuité des activités, la cybersécurité et la capacité à s'adapter aux changements. Parmi les responsabilités spécifiques de l’organe de Direction en matière de résilience de l'entreprise : l’élaboration de la stratégie de résilience. Cela implique l'identification des principaux risques auxquels l'entreprise est confrontée, la définition d'objectifs de résilience, et la création de plans pour atténuer ces risques. Puis l’organe de Direction doit désigner les responsables de la résilience et intégrer la résilience dans les processus décisionnels de l’entreprise. Ainsi, l’Organe de Direction est responsable de créer un cadre stratégique, de fournir des ressources adéquates, et de superviser la mise en œuvre de mesures visant à renforcer la résilience de l'entreprise face aux défis et aux perturbations.

Comment l’Organe de Direction peut-il participer à l’amélioration de la résilience des systèmes d'information et de son entreprise ?


  • Valider la stratégie de résilience: élaborer et soutenir une stratégie globale de résilience alignée sur les objectifs de l’entreprise. Cela doit inclure l'identification des actifs et processus essentiels de l’entreprise, l'évaluation des risques cyber, et la validation de politiques applicables.

  • Allouer des ressources adéquates : s'assurer que des ressources suffisantes sont allouées à la résilience. Cela peut inclure des investissements dans des technologies de sécurité, des programmes de formation pour le personnel, et des budgets pour la gestion des incidents.

  • Intégrer la résilience dans la gouvernance : la résilience devrait faire partie intégrante de la gouvernance de l'entreprise. Cela implique d'intégrer des considérations de résilience dans les processus de prise de décision, d'avoir des mécanismes de reddition de comptes pour la sécurité, et de désigner des responsables de la résilience au sein de l'organisation.

  • Promouvoir une culture de résilience : encourager une culture organisationnelle axée sur la sécurité en mettant l'accent sur la sensibilisation et la formation. Les employés doivent être conscients des risques et des meilleures pratiques en matière de sécurité.

  • Élaborer et tester des plans de réponse aux incidents : s'assurer que l'organisation dispose de plans de réponse aux incidents détaillés et les faire tester régulièrement. Cela garantit une réponse efficace en cas d'attaque.

  • Évaluer régulièrement la posture de sécurité : superviser des évaluations régulières de la posture de sécurité de l'entreprise. Cela peut inclure des audits de sécurité, des tests de pénétration et des analyses des vulnérabilités.

  • Collaborer avec des experts externes : encourager la collaboration avec des experts externes en résilience pour obtenir des conseils indépendants, des évaluations de sécurité externes, et rester informé des tendances et des menaces émergentes.

  • Établir des partenariats avec d'autres organisations : favoriser la collaboration avec d'autres organisations du même secteur pour partager des informations sur les menaces et les meilleures pratiques en matière de sécurité.

La question de la résilience opérationnelle numérique relève plus que jamais de la stratégie de l’institution financière. Sa réponse nécessite donc des changements, voire des bouleversements, de fond, susceptibles d’affecter l’ensemble du personnel, et de la Gouvernance. La direction doit se munir de nouvelles compétences et se former en continu. L’allocation de nouveaux moyens sera nécessaire pour mettre en œuvre des actifs numériques plus sécurisés et performants, mais aussi pour mieux former les collaborateurs à la problématique de la résilience. Enfin, le recours à des cabinets de conseil spécialisés pourra s’imposer auprès des entités financières qui n’ont pas toute l’expertise, ou les ressources indispensables à l’implémentation de ces nouveaux processus.

Article co-rédigé par Nicolas Meyerhoffer avec Thanh Tran Tien, Nicolas Vasse, Etienne de Séréville

A paraître prochainement :
L’ultime obstacle des compétences.
#5 : Les compétences.

Épisodes précédents :

Nouvelles approches de l’entreprise digitale, nouvelles stratégies de cybersécurité : secure by design, zero trust et plateformes de cybersécurité.
#3 Une stratégie cyber adaptée à la nouvelle ère technologique
Le « maillon faible » et sa mémoire procédurale
#2 : Le facteur humain.
Qu’est-ce qu’un programme de cybersécurité efficace ? « Un programme qui atteint ses objectifs » …
#1 : La gouvernance.


Thibaut Berberian
Lundi 12 Août 2024