La mise en œuvre de NIS2, DORA ou encore des exercices TIBER-EU sont les chantiers qui attendent les acteurs du secteur financier en la matière. Comme l’évoque avec nous David Hagen, ancien responsable de la surveillance des systèmes d’informations des entités surveillées et des PSF de support au sein de la CCSF, et aujourd’hui consultant autour de ces enjeux, il s’agit d’une transformation d’envergure.

« Sommes-nous effectivement résilients ? » Cette question, de nombreux comités de direction de la place financière se la poseront dans les mois à venir, du moins ceux qui ne l’ont pas encore fait. Si la cybersécurité est un enjeu désormais bien pris en compte par la plupart des acteurs, celui de la résilience l’est sans doute moins. Cela devrait toutefois évoluer. « Les autorités de surveillance et les banques centrales, y compris la banque centrale européenne, au-delà des enjeux de cybersécurité, appréhendent de plus en plus ces enjeux de résilience, confie David Hagen, qui a été pendant 20 ans responsable de la surveillance des systèmes d’informations des entités surveillées et des PSF de support, désormais à la tête de Hagen Advisory, société de consultance spécialisée sur ces enjeux réglementaires. Cette notion, jusqu’il y a peu, était absente des textes traitant des enjeux de cybersécurité. Le concept de résilience représente l’aboutissement de la finalité des mesures de sécurité. Ces mesures sont fixées par les guidances définies par l’Autorité Bancaire Européenne (ABE) ou encore la circulaire 20/750 de la CSSF (Commission de Surveillance du Secteur Financier), qui établit les exigences en matière de gestion des risques liés aux technologies de l’information et de la communication et à la sécurité. Or, ces mesures sont muettes sur le sujet de la résilience alors même qu’elles en représentent la base. La réglementation européenne DORA – Digital Operational Resilience Act – introduit spécifiquement ces enjeux. »

Cette réglementation, qui sera applicable à l’ensemble des acteurs du secteur financier en Europe, vise spécifiquement à améliorer leur résilience opérationnelle informatique à travers la mise place d’un cadre de gouvernance et de contrôle interne spécifique. « La nouveauté consiste à nommer expressément la résilience comme une finalité des mesures déjà énoncées dans les guidances des autorités européennes. Le concept de résilience implique d’apporter une attention permanente aux risques informatiques, particulièrement aux risques de cybersécurité, ceci à travers toute la chaîne opérationnelle, y compris les sous-traitants. Ce qui n’est cependant pas forcément décrit dans DORA et qui selon moi est essentiel à la résilience, c’est d’être en mesure d’anticiper une crise et de pouvoir y faire face efficacement », commente David Hagen. DORA implique d’adopter une nouvelle manière de réfléchir, davantage axée sur la prévention, en opérant une analyse plus approfondie des risques et à travers l’établissement d’un ensemble d’éléments indispensables pour s’assurer de la bonne gestion d’une situation de crise. »

Se doter des capacités de gérer chaque crise

Si, comme chacun en convient, le risque zéro n’existe pas, il convient d’être prêt à gérer toute situation de crise. « Avec DORA, chaque entreprise doit pouvoir répondre à la question suivante : en cas de crise ou d’attaques, suis-je capable de réagir ? », explique David Hagen.

Pour cela, il est utile de mettre en place une cellule de crise qui sera capable de gérer les événements et qui sera habilitée à prendre les décisions qui s’imposent, qui pourra se reposer sur un ensemble de procédures à suivre en fonction de scénarios de crise préalablement préparés, qui disposera d’un ensemble de moyens de communication envers les autorités, les régulateurs et le cas échéant, les utilisateurs ou le grand public, à l’aide d’un langage étudié spécifique au public visé. « Mettre cette résilience en œuvre, comme l’exigent les nouveaux textes réglementaires, est un travail d’envergure, commente David Hagen. La réglementation, en outre, s’applique au niveau de toutes les entités du groupe. Les exigences n’incombent pas uniquement à la maison mère. Chaque entité d’un groupe devra être en mesure de valider une politique globale et de pouvoir rendre compte des mesures prises vis-à-vis d’un régulateur local. Si l’entité est la maison mère, elle devra s’assurer que la résilience est effective à travers l’ensemble de ses entités, auprès desquelles elle peut externaliser certaines activités ou traitements. Les autorités de surveillance veilleront à une meilleure intégration de la résilience au sein des groupes »

La réglementation DORA a été adoptée et devrait entrer en vigueur en 2025. Les acteurs ont donc deux ans pour s’y préparer. De nombreuses spécifications techniques, cependant, doivent encore être déterminées.

S’assurer que les procédures fonctionnent

A DORA s’ajoutent de nouvelles obligations de tests visant à démontrer l’efficacité des mesures de résilience. L’initiative TIBER-EU de la Banque Centrale Européenne, proposera des exercices ou des tests visant à vérifier la résilience des acteurs. Il n’est pas impossible d’imaginer que ces tests soient obligatoires pour toutes les banques significatives de grande taille. « Un certain nombre d’entités devront régulièrement se confronter à des mises en situation réelle, à savoir à une attaque autorisée opérée par une RED TEAM, à laquelle devra répondre l’équipe de la cellule de gestion de crise de la banque, aussi appelée la BLUE TEAM, explique David Hagen. Entre les deux, une WHITE TEAM sera composée de décideurs, seule entité au courant de l’exercice, en position de pouvoir le stopper s’il devait effectivement mettre à mal les opérations. » De tels exercices s’inscrivent dans la même démarche de résilience, visant à s’assurer que chacun est prêt à faire face à la crise.

Le fait que DORA soit une réglementation et non une directive européenne, a pour conséquence qu’elle prévaut sur la directive européenne NIS2 relative à la sécurité des réseaux et des systèmes d’information et qui introduit en outre un ensemble d’exigences en matière de résilience qui s’appliquent aux opérateurs de service essentiels. De ce fait, NIS2 mentionne la nécessité d’une collaboration forte entre les secteurs couverts par la NIS et le secteur financier, mais les professionnels financiers qui doivent appliquer DORA devraient en principe ne pas être concernés directement par la NIS2.

Se préparer à penser résilience

« Tous ces enjeux s’ajoutent aux obligations qui s’imposent déjà aux banques en matière de sécurité, explique David Hagen. Parmi elles, face à la multiplication des attaques à la « supply chain », on trouve l’exigence de mener une due diligence des partenaires et fournisseurs de services, pour s’assurer qu’ils répondent bien à la politique de sécurité mise en place par l’organisation. De manière générale, si les acteurs étaient habitués à gérer ces enjeux de sécurité, ils doivent désormais se préparer à penser résilience. » Ceci n’est toutefois pas vraiment nouveau au Luxembourg depuis la publication de la circulaire CSSF 22/806, qui porte sur la sous-traitance et prévoit une transparence importante au sein d’une chaîne de sous-traitance en cascade.