Accueil
Envoyer
Imprimer
Partager
En 2008, la crise financière a fortement secoué la planète, bien plus que les précédentes grandes crises de ce type, tel le jeudi noir de 1929. En cause : l’interconnexion du système financier international et la présence de très grands acteurs sur de multiples marchés. Dans un effet domino, la défaillance des uns peut rapidement entraîner celle des autres. L’hyperconnexion numérique des banques fait peser aujourd’hui un risque encore plus critique car en cas de défaillance du système d’information d’un acteur majeur, l’effondrement du système financier serait quasi instantané - et surtout d’une ampleur encore inédite.
C’est tout l’objectif du Digital Operational Resilience Act (DORA) concernant les aspects numériques des institutions financières et les tiers intervenant dans leurs processus. Au total, pas moins de 22 000 acteurs seraient concernés par cette réglementation. Son principe : garantir la résilience opérationnelle numérique de ces acteurs et donc la continuité de leurs activités dans un secteur 100 % digitalisé, soumis à des cybermenaces permanentes.
Pour répondre aux obligations édictées par la réglementation DORA, les institutions financières et leurs tiers intervenants doivent mettre en place une série de mesures autour de leurs Technologies de l’information et de la communication (TIC) - et les documenter. Au 17 janvier 2025 au plus tard, tout doit être prêt pour ces quelque 22 000 entreprises.
1 – Mettre en place un dispositif de gestion des risques liés au TIC
Le premier pilier de la construction DORA est le plus important : l’ensemble des éléments suivants vont en découler. C’est aussi l’un des plus complexes car il requiert une approche holistique à travers une connaissance fine de l’entreprise, de ses métiers et de ses processus (notamment les plus critiques), et surtout de l’architecture technologique qui la compose (systèmes et applications supportant les processus).
Une fois ce premier dispositif constitué, le règlement DORA le complète par une obligation de contrôle, qui peut être opéré en continu ou à des fréquences préétablies. Ces contrôles très fins relèvent des aspects métiers et procéduraux, ils comprennent aussi la couche technologique - jusqu’à la moindre application impliquée dans un processus critique. Si la plupart des institutions financières disposent déjà de ce genre de contrôles, il est à noter que des contrôles IT spécifiques
au règlement DORA seront indispensables pour garantir la conformité du SI à cette nouvelle législation.
Plus globalement, la collaboration entre les équipes Risques et Contrôles et l'IT devra être d’autant plus étroite.
2 – Identifier et maîtriser les tiers
Conscient de la complexité croissante des systèmes d’information financiers et de la multiplicité d’acteurs, d’applications et d’infrastructures qui les composent, le législateur européen a étendu les obligations de prudence aux services tiers intervenant sur les architectures : les partenaires métiers (nativement soumis à DORA) mais aussi et surtout les partenaires technologiques.
Les éditeurs d’applications, fournisseurs de cloud et autres ESN seront également contraints par le nouveau règlement européen. Notamment sur le niveau de service (SLA) et de sécurité qu’ils proposent. En interne, la question sera aussi de définir la présence d’un tiers de substitution en cas de défaillance ou d’attaque à son encontre.
La concentration de services auprès d’un seul et même tiers peut d’ailleurs constituer un risque en soi : que se passe-t-il si le principal (voire le seul) fournisseur de services cloud est attaqué ? Raison pour laquelle il peut être intéressant pour les institutions financières d’élaborer une stratégie multi-fournisseurs pour limiter les risques (et les dégâts) en cas d’attaque ou de défaillance du tiers concerné.
3 – Tester régulièrement ses capacités de continuité
Pour le secteur financier, la prise de conscience des risques n’est pas nouvelle. La continuité d’activité et la menace d’un effet domino ont conduit la majorité des institutions à concevoir des plans de continuité d’activité sur leurs processus. Des solutions utiles, si ce n’est vitales, à condition qu’elles soient régulièrement testées pour s’assurer de leur pérennité et de leur bon fonctionnement le moment venu.
Testées, mais aussi mises à jour : la cybersécurité est en effet une discipline vivante, qui doit constamment évoluer face à des cybermenaces, elles-mêmes extrêmement évolutives. Un plan d’investissement continu et une véritable agilité constituent pour les institutions financières une nécessité afin de conserver des dispositifs de cybersécurité à l’état de l’art, et les prémunir contre les malveillances les plus modernes.
4 – Déclarer et partager les incidents
Enfin, le règlement DORA - au même titre que le RGPD il y a quelques années - institue une nouvelle obligation pour les acteurs du secteur financier : la tenue d’un registre d’incidents pour assurer une piste d’audit fiable en cas de contrôle. Mais pas seulement : en cas d’incident majeur, ce registre permettra de prouver que des actions ont précédemment été mises en œuvre pour assurer la résistance du SI et la résilience opérationnelle de l’organisation.
En parallèle, les incidents majeurs devront être déclarés aux autorités de contrôle. Outre l’identification d’éventuels risques de propagation, il s’agit avant tout de constituer une base de connaissances sur les attaques, les malveillances ou encore les menaces. Base à partager avec les acteurs du secteur afin d’identifier les bonnes pratiques à déployer pour en limiter l’incidence.
Un partage clair et lisible, qui vaut aussi en interne, en posant un cadre de communication compréhensible par la majorité des collaborateurs. Car il faut bien comprendre que la résilience des institutions est l’affaire de tous. En particulier de la Direction générale, de la Direction des risques (souvent fusionnée avec le département continuité d’activité), de la Direction des systèmes d’information (DSI) ou Direction de la sécurité des systèmes d’information (DSSI), ou encore du Département des achats.
Si le sujet reste éminemment technique sur le fond, les conséquences d’un incident ne se limitent pas à l’interne du fait d’une propagation potentielle. Résistance du SI et résilience de l’entreprise sont même des sujets hautement stratégiques qui s’invitent aujourd’hui dans les comités de direction - d’autant que la responsabilité pénale des dirigeants peut être recherchée malgré la technicité du sujet. Dès lors, mieux vaut prévenir que guérir et se tenir prêt pour l’échéance de janvier 2025.
À propos de Cyril Amblard-Ladurantie
Cyril Amblard-Ladurantie est responsable marketing des produits GRC (Gouvernance, Risque & Conformité) chez MEGA International avec plus de 15 ans d'expérience dans le domaine. Avant de rejoindre MEGA, il était manager au sein d'un grand cabinet de conseil (EY), où il accompagnait les entreprises dans leur parcours d’acquisition de solution GRC digitale, depuis l’expression de besoins jusqu’à la conduite de changement.
Auparavant, il a occupé des postes d'avant-vente et de support chez un grand éditeur international de solutions GRC et de contenu réglementaire (Thomson Reuters).
À propos de MEGA International
MEGA International est un éditeur de logiciels SaaS dont le siège est à Paris avec des filiales dans 10 pays. La société développe des solutions logicielles reconnues dans le domaine de l'architecture d'entreprise, l'analyse des processus métier, la gouvernance des données et la gestion des risques et conformité pour accompagner les organisations dans leurs projets de transformation. La transformation reposant sur un travail collaboratif qui nécessite une vue d'ensemble sur la façon dont l'organisation fonctionne, MEGA a créé une plateforme SaaS unique pour permettre aux différentes parties prenantes de travailler ensemble. La plateforme repose sur un référentiel commun et partagé qui les aide à collecter, visualiser et analyser des informations pour planifier et s'adapter aux changements.
Avec ses équipes de 350 professionnels dynamiques, MEGA accompagne plus de 2 000 clients répartis dans 52 pays, notamment dans les sec-teurs financiers, le service public et l’énergie.
MEGA INTERNATIONAL
C’est tout l’objectif du Digital Operational Resilience Act (DORA) concernant les aspects numériques des institutions financières et les tiers intervenant dans leurs processus. Au total, pas moins de 22 000 acteurs seraient concernés par cette réglementation. Son principe : garantir la résilience opérationnelle numérique de ces acteurs et donc la continuité de leurs activités dans un secteur 100 % digitalisé, soumis à des cybermenaces permanentes.
Pour répondre aux obligations édictées par la réglementation DORA, les institutions financières et leurs tiers intervenants doivent mettre en place une série de mesures autour de leurs Technologies de l’information et de la communication (TIC) - et les documenter. Au 17 janvier 2025 au plus tard, tout doit être prêt pour ces quelque 22 000 entreprises.
1 – Mettre en place un dispositif de gestion des risques liés au TIC
Le premier pilier de la construction DORA est le plus important : l’ensemble des éléments suivants vont en découler. C’est aussi l’un des plus complexes car il requiert une approche holistique à travers une connaissance fine de l’entreprise, de ses métiers et de ses processus (notamment les plus critiques), et surtout de l’architecture technologique qui la compose (systèmes et applications supportant les processus).
Une fois ce premier dispositif constitué, le règlement DORA le complète par une obligation de contrôle, qui peut être opéré en continu ou à des fréquences préétablies. Ces contrôles très fins relèvent des aspects métiers et procéduraux, ils comprennent aussi la couche technologique - jusqu’à la moindre application impliquée dans un processus critique. Si la plupart des institutions financières disposent déjà de ce genre de contrôles, il est à noter que des contrôles IT spécifiques
au règlement DORA seront indispensables pour garantir la conformité du SI à cette nouvelle législation.
Plus globalement, la collaboration entre les équipes Risques et Contrôles et l'IT devra être d’autant plus étroite.
2 – Identifier et maîtriser les tiers
Conscient de la complexité croissante des systèmes d’information financiers et de la multiplicité d’acteurs, d’applications et d’infrastructures qui les composent, le législateur européen a étendu les obligations de prudence aux services tiers intervenant sur les architectures : les partenaires métiers (nativement soumis à DORA) mais aussi et surtout les partenaires technologiques.
Les éditeurs d’applications, fournisseurs de cloud et autres ESN seront également contraints par le nouveau règlement européen. Notamment sur le niveau de service (SLA) et de sécurité qu’ils proposent. En interne, la question sera aussi de définir la présence d’un tiers de substitution en cas de défaillance ou d’attaque à son encontre.
La concentration de services auprès d’un seul et même tiers peut d’ailleurs constituer un risque en soi : que se passe-t-il si le principal (voire le seul) fournisseur de services cloud est attaqué ? Raison pour laquelle il peut être intéressant pour les institutions financières d’élaborer une stratégie multi-fournisseurs pour limiter les risques (et les dégâts) en cas d’attaque ou de défaillance du tiers concerné.
3 – Tester régulièrement ses capacités de continuité
Pour le secteur financier, la prise de conscience des risques n’est pas nouvelle. La continuité d’activité et la menace d’un effet domino ont conduit la majorité des institutions à concevoir des plans de continuité d’activité sur leurs processus. Des solutions utiles, si ce n’est vitales, à condition qu’elles soient régulièrement testées pour s’assurer de leur pérennité et de leur bon fonctionnement le moment venu.
Testées, mais aussi mises à jour : la cybersécurité est en effet une discipline vivante, qui doit constamment évoluer face à des cybermenaces, elles-mêmes extrêmement évolutives. Un plan d’investissement continu et une véritable agilité constituent pour les institutions financières une nécessité afin de conserver des dispositifs de cybersécurité à l’état de l’art, et les prémunir contre les malveillances les plus modernes.
4 – Déclarer et partager les incidents
Enfin, le règlement DORA - au même titre que le RGPD il y a quelques années - institue une nouvelle obligation pour les acteurs du secteur financier : la tenue d’un registre d’incidents pour assurer une piste d’audit fiable en cas de contrôle. Mais pas seulement : en cas d’incident majeur, ce registre permettra de prouver que des actions ont précédemment été mises en œuvre pour assurer la résistance du SI et la résilience opérationnelle de l’organisation.
En parallèle, les incidents majeurs devront être déclarés aux autorités de contrôle. Outre l’identification d’éventuels risques de propagation, il s’agit avant tout de constituer une base de connaissances sur les attaques, les malveillances ou encore les menaces. Base à partager avec les acteurs du secteur afin d’identifier les bonnes pratiques à déployer pour en limiter l’incidence.
Un partage clair et lisible, qui vaut aussi en interne, en posant un cadre de communication compréhensible par la majorité des collaborateurs. Car il faut bien comprendre que la résilience des institutions est l’affaire de tous. En particulier de la Direction générale, de la Direction des risques (souvent fusionnée avec le département continuité d’activité), de la Direction des systèmes d’information (DSI) ou Direction de la sécurité des systèmes d’information (DSSI), ou encore du Département des achats.
Si le sujet reste éminemment technique sur le fond, les conséquences d’un incident ne se limitent pas à l’interne du fait d’une propagation potentielle. Résistance du SI et résilience de l’entreprise sont même des sujets hautement stratégiques qui s’invitent aujourd’hui dans les comités de direction - d’autant que la responsabilité pénale des dirigeants peut être recherchée malgré la technicité du sujet. Dès lors, mieux vaut prévenir que guérir et se tenir prêt pour l’échéance de janvier 2025.
À propos de Cyril Amblard-Ladurantie
Cyril Amblard-Ladurantie est responsable marketing des produits GRC (Gouvernance, Risque & Conformité) chez MEGA International avec plus de 15 ans d'expérience dans le domaine. Avant de rejoindre MEGA, il était manager au sein d'un grand cabinet de conseil (EY), où il accompagnait les entreprises dans leur parcours d’acquisition de solution GRC digitale, depuis l’expression de besoins jusqu’à la conduite de changement.
Auparavant, il a occupé des postes d'avant-vente et de support chez un grand éditeur international de solutions GRC et de contenu réglementaire (Thomson Reuters).
À propos de MEGA International
MEGA International est un éditeur de logiciels SaaS dont le siège est à Paris avec des filiales dans 10 pays. La société développe des solutions logicielles reconnues dans le domaine de l'architecture d'entreprise, l'analyse des processus métier, la gouvernance des données et la gestion des risques et conformité pour accompagner les organisations dans leurs projets de transformation. La transformation reposant sur un travail collaboratif qui nécessite une vue d'ensemble sur la façon dont l'organisation fonctionne, MEGA a créé une plateforme SaaS unique pour permettre aux différentes parties prenantes de travailler ensemble. La plateforme repose sur un référentiel commun et partagé qui les aide à collecter, visualiser et analyser des informations pour planifier et s'adapter aux changements.
Avec ses équipes de 350 professionnels dynamiques, MEGA accompagne plus de 2 000 clients répartis dans 52 pays, notamment dans les sec-teurs financiers, le service public et l’énergie.
MEGA INTERNATIONAL
------------------------------------------------------------------------
Disclaimer: The text above is a press release that was not written by Finyear.com.
The issuer is solely responsible for the content of this announcement.
Avertissement : Le texte ci-dessus est un communiqué de presse qui n'a pas été rédigé par Finyear.com.
L'émetteur est seul responsable du contenu de cette annonce.
-------------------------------------------------------------------------
Les avis financiers et/ou économiques présentés par les contributeurs de Finyear.com (experts, avocats, observateurs, bloggers, etc...) sont les leurs et peuvent évoluer sans qu’il soit nécessaire de faire une mise à jour des contenus. Les articles présentés ne constituent en rien une invitation à réaliser un quelconque investissement.
The financial and/or economic opinions presented by Finyear.com contributors (experts, lawyers, observers, bloggers, etc.) are their own and may change without the need to update the content. The articles presented do not constitute an invitation to make any investment.
Disclaimer: The text above is a press release that was not written by Finyear.com.
The issuer is solely responsible for the content of this announcement.
Avertissement : Le texte ci-dessus est un communiqué de presse qui n'a pas été rédigé par Finyear.com.
L'émetteur est seul responsable du contenu de cette annonce.
-------------------------------------------------------------------------
Les avis financiers et/ou économiques présentés par les contributeurs de Finyear.com (experts, avocats, observateurs, bloggers, etc...) sont les leurs et peuvent évoluer sans qu’il soit nécessaire de faire une mise à jour des contenus. Les articles présentés ne constituent en rien une invitation à réaliser un quelconque investissement.
The financial and/or economic opinions presented by Finyear.com contributors (experts, lawyers, observers, bloggers, etc.) are their own and may change without the need to update the content. The articles presented do not constitute an invitation to make any investment.
