Contexte
Une numérisation accrue, un risque croissant
La numérisation rapide et l’interconnexion croissante des services financiers en Europe apportent de nombreuses opportunités, mais elles s’accompagnent également d’une augmentation significative des cybermenaces. Face à cette situation, les acteurs du secteur financier adoptent des stratégies de protection souvent hétérogènes et isolées. Cette fragmentation des approches expose les consommateurs à des risques accrus et fragilise l’intégrité des marchés financiers.
Une nécessité de surveillance et de coordination
Afin de mieux prévenir et contrer ces cybermenaces, il devient essentiel de pouvoir cartographier, monitorer et surveiller les évolutions des risques liés aux technologies de l’information et de la communication (TIC). La mise en commun des informations et des retours d’expériences permettra une amélioration progressive des stratégies de lutte contre les attaques informatiques. Cette approche collaborative renforcera la résilience numérique de l’ensemble du secteur financier.
Objectifs clés de la stratégie européenne
Pour répondre à ces défis, plusieurs objectifs stratégiques sont définis :
- Harmoniser les exigences en matière de gestion des risques TIC dans toute l’Union Européenne : établir des normes communes pour garantir une protection homogène et éviter les vulnérabilités systémiques.
- Renforcer la résilience numérique des institutions financières : assurer que les organismes financiers soient mieux préparés face aux cyberattaques et puissent y répondre efficacement.
- Protéger les consommateurs et l’intégrité des marchés financiers contre les perturbations numériques : garantir un cadre sécurisé et fiable pour les transactions financières, tout en préservant la confiance des utilisateurs.
Pour qui?
Compétence ACPR :
Sociétés d’assurance, de réassurance et de retraite professionnelle.
Banques et établissements de crédit
Entreprises d’investissements, Plateforme de négociation
Etablissement de monnaie électronique, de paiement
Prestataire d’informations sur les comptes, prestataires de services sur crypto-actifs, émetteur de jetons se référant à des actifs (ART)
Compétence AMF / Banque de France :
Contrepartie centrale, Dépositaires centraux de titres,
Société de Gestion, Gestionnaires de fonds alternatifs, Plateformes de crowfunding.
Fournisseurs de services critiques liés aux TIC, tels que les prestataires de cloud computing.
A travers 2 textes…
Règlement (UE) 2022/2554 du 14 décembre 2022 dit règlement DORA.
Définit des exigences pour renforcer et harmoniser la gestion des risques liés aux technologies de l’information et de la communication (TIC) et à la sécurité des réseaux et des systèmes d’information au niveau de l’UE.
Directive (UE) 2022/2556 du 14 décembre 2022.
Modifie les directives existantes telles que les directives CRD IV, DSP2, BRRD, Solvabilité 2, IORP2, MiFID 2, AIFM, …afin de les mettre en cohérence avec les nouvelles dispositions du règlement DORA.
Comment ? 5 pilliers
Pilier 1 – Prévention : Etablissement d’un cadre de référence pour la gouvernance et la gestion des risques
Établir des politiques et procédures robustes pour identifier, gérer et atténuer les risques TIC
Mettre en place des cadres de gouvernance qui intègrent les risques TIC dans la gestion globale des risques.
Effectuer des évaluations régulières des vulnérabilités et des risques liés aux systèmes numériques.
- Identifier classer et documenter les fonctions dépendantes des TIC et les actifs des TIC
- Identifier toutes les sources de risques liés aux TIC
- Evaluer les menaces et les vulnérabilités pesant sur les TIC
- Identifier et documenter tous les processus dépendants de services TIC de Tiers
- Politique de continuité des activités TIC (communication de crise, plan de continuité d’activité et de remédiation)
- Analyse d’impact de l’exposition aux perturbations graves de l’activité
- Stratégies de sécurité, politiques, procédures, protocoles et outils
- Suivi et contrôle de la sécurité et fonctionnement des systèmes et outils TIC
- Disposer d’au moins 1 site secondaire pour assurer la continuité d’activité
- Disposer de systèmes de sauvegarde et de méthodes de remédiation
- Mettre en place la politique et les procédures relatives aux sauvegardes
- Mise en place de mécanismes de détection des activités anormales
- S’assurer d’avoir les capacités et le personnel suffisant pour fournir des connaissances sur les vulnérabilités, les menaces et les incidents liés aux TIC
- Réaliser des examens Post-Mortem des incidents liés aux TIC
Pilier 2 – Tests : Afin d’assurer la robustesse des systèmes financiers face aux cybermenaces, un programme de tests rigoureux et complet est mis en place. Il comprend une série d’évaluations, de tests, de méthodologies, de pratiques et d’outils en adoptant une approche fondée sur le risque.
- Obligation annuelle de tests de résilience opérationnelle : Les institutions financières doivent réaliser des tests réguliers afin d’évaluer leur capacité à résister à des cyberattaques sophistiquées (scans, tests d’intrusion, etc.).
- Désignation d’acteurs systémiques pour des tests avancés : Les autorités de régulation compétentes identifient des entités jugées critiques qui doivent réaliser des tests de pénétration avancés.
- Tests de pénétration fondés sur la menace (TLPT – Threat-Led Penetration Testing) : Ces tests, obligatoires tous les trois ans pour les acteurs systémiques, permettent d’évaluer la capacité des institutions à faire face aux cyberattaques les plus complexes
Pilier 3 – Prestataires TIC : Elargissement du champ d’application aux prestataires et fournisseurs de services TIC
- Maîtrise des risques sur toute la chaîne : Une supervision spécifique est mise en place pour les tiers et fournisseurs de services TIC critiques.
- Responsabilité ultime de l’entité financière : En cas d’externalisation, l’institution financière reste responsable.
- Encadrement des fonctions critiques : Mise en place d’un cadre de gestion du risque d’externalisation, obligation d’une stratégie de gestion des risques et d’un registre individuel des prestataires TIC.
- Contrôle des sous-délégations : Les prestataires tiers doivent respecter des exigences supplémentaires pour toute sous-traitance.
Pilier 4 – Alerte : Signalement obligatoire de tout incident aux autorités et délais
Tout incident majeur doit obligatoirement être signalé aux autorités compétentes (notification initiale 4h après classification de l’incident comme majeur, et sous 24h après sa détection. Rapport intermédiaire 72h après la notification, puis rapport final 1 mois après)
Cadre pour la classification des incidents majeurs :
Pilier 5 – Transparence et échange d’informations : Amélioration collective de la résilience des acteurs concernés
Renforcement de la communication auprès de toutes les parties prenantes sur toutes les mesures de renforcement de la résilience numérique (autorités compétentes, clients, …)
Template de reporting des cyber-menaces jugés importantes, sur base du volontariat pour contribuer à la résilience du secteur financier.
Encouragements à partager toutes les informations et renseignement sur les cybermenaces pour soutenir les capacités de détection et de défense.
Gouvernance et Supervision
Quand ?
Quels impacts ?
Command Strategy vous aide à mettre en œuvre cette réglementation grâce à des solutions adaptées à vos enjeux. Pour toute demande d’accompagnement, contactez notre équipe.
Auteur
Vincent TARRIT
Manager
