C’est avec David Hagen, qui a été pendant 20 ans responsable de la surveillance des systèmes d’information des entités régulées et des PSF de support au sein de la CCSF, et aujourd’hui consultant, que s’est engagé cet échange autour des enjeux de « résilience ». À propos des obligations à venir pour les acteurs du secteur financier dans ce domaine, il a évoqué la réglementation DORA, à laquelle ces derniers vont devoir se conformer. « Si les professionnels du secteur devaient déjà répondre à un ensemble d’exigences relatives à la sécurité des systèmes d’information, à la continuité des activités ou à la gestion des risques, le concept de résilience n’apparaissait pas formellement dans les textes et circulaires en vigueur, explique-t-il. DORA introduit ce principe, autrement dit un objectif : celui de pouvoir faire face à toute situation de crise, quelle qu’en soit la nature. Cependant, DORA n’établit pas de spécifications techniques. La réglementation ne dit pas comment faire. »

Appréhender des risques de plus en plus complexes

Pour les entreprises, cet enjeu de résilience n’a rien d’anodin. Si la réglementation contraint les acteurs à prendre des mesures devant leur permettre de faire face à toute crise, s’en donner les moyens relève de la bonne gestion.

Comme l’ont évoqué plusieurs digital leaders présents autour de la table, c’est un enjeu de plus en plus important, soutenu par les évolutions réglementaires, mais aussi par les clients, dont l’activité dépend de la disponibilité des services sur lesquels ils s’appuient. « Il y a 20 ans, la gestion des incidents était appréhendée à l’échelle d’un site. Il était essentiel de prévoir des solutions de secours si une infrastructure, pour une raison ou une autre, était inaccessible ou défaillante, commentait un CIO du secteur financier. À l’heure actuelle, avec des environnements hétérogènes et distribués, ces enjeux sont très complexes à appréhender et exigent, de la part des organisations, une évolution des mentalités. »

Être en capacité de faire face à toute crise

La résilience, comme le confirmait un Head of IT du secteur de l’assurance, relève de la gestion de crise et implique de s’inscrire dans une démarche d’amélioration continue. « L’enjeu n’est pas uniquement de mettre en place un Disaster Recovery Plan ou un Business Continuity Plan, pour satisfaire aux exigences du régulateur, mais d’effectivement considérer tous les risques, quelle que soit leur nature et leur impact sur l’activité. Cela concerne des problématiques IT, mais pas uniquement. On peut aussi évoquer des enjeux liés à la gestion et aux accès à des bâtiments, à certaines ressources clés nécessaires au bon fonctionnement de l’entreprise, aux erreurs humaines… »

Au-delà de la qualification du risque, il y a lieu d’envisager la manière de gérer chaque crise. La compromission des systèmes informatiques, par exemple, impliquera de les restaurer au départ d’une sauvegarde plus ou moins récente, plus ou moins éloignée. Dans le domaine financier, cela implique de se demander ce qu’il advient des transactions passées entre le back-up et le moment présent. « Gérer de telles situations implique forcément de prendre des décisions complexes, dans un moment de tension élevée, commente Scott Roberts, Cyber Resilience Director EMEA au sein de Dell Technologies. La gestion de crise exige donc de mettre en place une équipe intégrant à la fois les bonnes compétences, celles permettant de comprendre les enjeux, et les personnes pouvant prendre des décisions qui s’imposent. »

Bien se préparer

Plus facile à dire qu’à faire, sans nul doute. Aussi, la clé, précisait David Hagen, est la préparation. Identifier les risques, les catégoriser, établir des scénarios possibles, effectuer des simulations, tester les réactions en situation de crise… Voilà ce à quoi devront s’atteler les organisations à l’avenir pour renforcer leur résilience. « La responsabilité, in fine, repose sur les dirigeants de l’entreprise, explique l’ancien responsable de la CSSF. La réglementation met l’accent sur ces enjeux. Au-delà des enjeux de conformité, il y a lieu de faire de la résilience un enjeu clé, d’en faire une priorité pour garantir la pérennité de l’activité, dans l’intérêt de l’entreprise. » Il faut donc pouvoir y allouer le budget nécessaire et, pour cela, confronter les dirigeants aux risques avérés. « Il ne s’agit plus de se demander si cela va arriver, mais de prendre conscience que des incidents se produiront et que nous devrons y faire face », commente un autre responsable IT d’une organisation financière luxembourgeoise. Cela est vrai pour les entités régulées comme pour toute organisation, sans exception. « La résilience concerne davantage l’organisation et la culture d’entreprise, avec des enjeux techniques qu’il faut aussi pouvoir appréhender », commente Gordon Millar, Global SME on Security & Resiliency au sein de Kyndryl.

Être bien accompagné

Afin d’accompagner les acteurs vis-à-vis de ces enjeux, Kyndryl et Dell Technologies apportent des expertises et des solutions techniques complémentaires. Les deux acteurs, en collaboration, peuvent aider les organisations à bien appréhender ces enjeux de résilience, à considérer les risques, mettre en place les procédures pour permettre aux organisations de faire face à tout type d’incidents et de déployer l’infrastructure technique afin d’être en mesure de remettre le plus efficacement possible l’activité sur pied.