Pour les services financiers et leurs fournisseurs tiers, la loi européenne sur la résilience opérationnelle numérique (DORA) est l'une de ces réglementations destinées à aider le secteur à standardiser son approche en matière de cybersécurité, de cyber-résilience et d'obligations de gouvernance d'entreprise.

Les statistiques montrent que le secteur financier constitue une cible attractive pour les cyberattaques. En 2022, il y a eu 477 fuites de données et 1 829 incidents dans le monde qui ont créé un risque de telle fuite. Même si cela semble peu, le coût moyen d'un déversement dans ce secteur est de 6 millions de dollars. Et nous ne parlons que des incidents détectés et signalés.

« Le règlement DORA ne doit pas être traité comme une contrainte, mais comme une opportunité. Le secteur financier doit suivre le rythme de l’évolution du paysage technologique et numérique. Il convient de noter que les organisations du tiers secteur, particulièrement vulnérables aux cyberattaques, s'orientent déjà dans cette direction », explique-t-il. Paweł Raczyński, directeur général de Kyndryl Pologne.

DORA devrait accroître le niveau de sécurité et de résilience systémiques dans le secteur des services financiers, d'autant plus qu'il couvre des entités et des entreprises dans leurs chaînes d'approvisionnement qui n'étaient auparavant pas couvertes par les réglementations en matière de cybersécurité. Les fournisseurs tiers de nombreuses institutions financières réglementées, comme Kyndryl, les attendent également et se préparent intensivement avec leurs clients.

Les prestataires de services financiers doivent commencer dès maintenant à moderniser leurs protocoles de cybersécurité et de cyber-résilience. Une compréhension approfondie des aspects commerciaux et techniques du secteur des services financiers sera essentielle pour réussir à planifier le changement. Les organisations auront donc besoin de partenaires possédant l'expertise nécessaire pour les aider à s'adapter au nouvel environnement réglementaire.

Alors que les régulateurs européens continuent d'affiner les normes techniques DORA, les grandes sociétés de services financiers ont déjà commencé à mettre à jour et à tester leurs actifs TIC pour vérifier leur conformité réglementaire.

La dernière étude IDC sur les ransomwares a révélé que plus de la moitié des entreprises interrogées doivent encore prendre des mesures pour garantir leur conformité avec DORA et NIS2 (directive sur la sécurité des réseaux et de l'information). Cela est dû à la nécessité d'accroître la sécurité des réseaux et des systèmes informatiques dans l'UE. Les opérateurs d’infrastructures critiques et de services essentiels seront tenus de mettre en œuvre des mesures de sécurité appropriées et de signaler tout incident aux autorités compétentes. Le rapport indique également que moins d’un tiers des organisations attaquées peuvent récupérer leurs données par elles-mêmes, la plupart ayant recours au paiement de rançons. De plus, plus de 90 % des attaques entraînent une fuite des données de l’entreprise.

Le rapport montre également le revers de la médaille. Il s’avère que les effets néfastes des ransomwares ne résultent pas de carences technologiques ou de l’incapacité à appliquer de bonnes pratiques, mais de la nécessité d’élargir les connaissances et de standardiser dans le domaine de la cyber-récupération. Les entreprises doivent rechercher des partenaires éprouvés et expérimentés qui les soutiendront dans ce processus.

Les règles collectées dans DORA entreront en vigueur le 17 janvier 2025 et couvriront plus de 22 000 entités dans toute l'Union européenne. Les organisations financières et leurs prestataires de services doivent s’y préparer. Analyser, concevoir et mettre en œuvre des outils appropriés constitue souvent un défi pour les banques opérant en Pologne, qui recherchent déjà des compromis en affectant leurs employés à d'autres tâches liées aux exigences réglementaires.

« Même les banques qui ont déjà commencé à examiner leur état de préparation à se conformer aux exigences de la DORA confirment souvent lors de conversations avec nous qu'elles n'ont pas encore pris en compte tous les aspects de cette question. Pourtant, les nouvelles réglementations ne sont qu’une des composantes du futur proche. Si nous regardons les recherches actuelles, nous pouvons clairement constater une tendance progressive vers l'utilisation des services des fournisseurs de cloud et l'intégration de mesures de cybersécurité parmi les plus grandes entreprises », note Paweł Raczyński.

Le rapport « IDC FutureScape : Worldwide Cloud 2024 Predictions » mentionne cette tendance. Il montre que jusqu'à 85 % des entreprises du G2000 s'appuieront sur les fournisseurs de cloud et de connectivité pour mettre en œuvre une sécurité zéro confiance d'ici 2027, réduisant ainsi de moitié la charge du personnel informatique. Selon le rapport, 75 % des DSI intégreront des mesures de cybersécurité directement dans les systèmes et processus pour détecter et neutraliser de manière proactive les vulnérabilités, renforçant ainsi la protection contre les cybermenaces et les violations.

A lire également