Cybersécurité et résilience opérationnelle : nouveaux défis pour le secteur financier

Dre Anastasia Kotovskaia, titulaire d’une maîtrise en droit, dirige le département Marchés financiers et technologies de l’information au Centre de Politique Européenne à Berlin. En tant qu’experte juridique au sein du groupe de réflexion sur la politique européenne, elle nous apporte ici sa connaissance approfondie des propositions politiques de l’UE, les évalue et propose des orientations réalistes au niveau européen. Elle est auteure de plusieurs publications dans les domaines du droit, de la finance et des technologies de l’information. Nous lui avons demandé son avis sur la sécurité des systèmes informatiques dans le secteur financier.

La révolution numérique contribue au développement de nouvelles technologies dans le secteur financier. Les banques proposent à leurs partenaires commerciaux et à leurs clients des applications mobiles et des services en ligne qui permettent d’effectuer toutes les opérations bancaires essentielles à distance, et à tout moment. Des services utilisés comme la banque en ligne et les applications bancaires multiplient les possibilités d’attaque pour les cybercriminels. Or, les failles de sécurité peuvent avoir de graves conséquences pour l’ensemble du secteur. Pour la seule année 2021, les pertes dues à la cybercriminalité s’élèvent à 5,5 milliards d’euros dans le monde. Les techniques d’escroquerie utilisées sont de plus en plus sophistiquées.

Les cyberattaques visent généralement à accéder à des données sensibles, à les modifier, à les utiliser frauduleusement, à voler de l’argent aux utilisateurs, ou encore à perturber le bon déroulement des activités économiques. La mise en œuvre de mesures efficaces pour protéger les systèmes d’exploitation, les applications et les réseaux contre les cyberattaques est essentielle au bon fonctionnement d’une entreprise financière.

Pour réaliser des transactions et offrir des services, les entreprises financières ont besoin d’accéder aux données de leurs clients, sensibles par définition. Elles conservent ces données dans leurs systèmes de stockage internes. Il s’agit notamment des informations de cartes de paiement, de crédit, ainsi que des données à caractère personnel, qui constituent une cible de choix pour les cybercriminels. En cas de faille de sécurité, les pirates informatiques peuvent avoir un accès direct à ces données sensibles et les utiliser. Il est essentiel que les solutions de stockage au sein de ces entreprises soient sécurisées et que toute vulnérabilité soit immédiatement détectée et corrigée.

Les entreprises financières sont soumises à une forte pression due à la concurrence du secteur. Elles lancent de plus en plus de nouveaux produits et services numériques pour satisfaire leurs clients. L’utilisation de technologies de pointe, moins éprouvées car récentes, peut entraîner de nouveaux cyber-risques dans le secteur financier. Les banques et les entreprises du secteur FinTech utilisent souvent des logiciels fournis par des sociétés tierces, ce qui peut engendrer des difficultés en matière de sécurité. Les pirates informatiques peuvent exploiter les faiblesses des systèmes pour accéder à des informations sensibles et les utiliser pour des escroqueries financières et des vols de données. Comme de plus en plus de systèmes logiciels et de données sont hébergés dans le cloud, les attaques visant ce mode d’hébergement sont également en augmentation. Les établissements financiers doivent s’assurer que leur infrastructure informatique est sécurisée pour se protéger contre les attaques malveillantes.

Les entreprises sont soumises à une pression croissante pour se conformer aux obligations légales et maintenir un niveau élevé de résilience opérationnelle et de cybersécurité. Une série de règlements ont été adoptés récemment par l’UE. Il s’agit notamment de la Directive sur la sécurité des réseaux et des systèmes d’information (NIS 2), qui établit un cadre pour la cybersécurité, et de la loi sur la résilience opérationnelle du numérique (DORA : Digital Operational Resilience Act), qui établit des règles pour garantir la résilience opérationnelle, en particulier pour les prestataires de services financiers. Ces deux règlements ont été adoptés le 28 novembre 2022.

DORA et NIS 2 nécessitent de nouvelles normes techniques et de mise en œuvre, qui devraient être adoptées par l’ABE, l’AEMF et l’AEAPP fin 2023 ou début 2024, afin de préciser les modalités d’application des nouvelles exigences réglementaires. Le Cyber Resilience Act (CRA), projet de loi sur la cyberrésilience en cours de procédure législative, complétera le cadre juridique européen visant à renforcer le niveau global de cybersécurité.

La directive sur les mesures visant à assurer un niveau élevé de cybersécurité dans l’Union européenne (connue sous le nom de Directive révisée sur la sécurité des réseaux et des systèmes d’information, NIS 2) définit les exigences en matière de cybersécurité pour les entreprises. Elles sont essentielles au bon fonctionnement de ces sociétés. Il s’agit notamment des banques, des contreparties centrales et des opérateurs de salles de marché. Toutes les entités entrant dans le champ d’application de la directive NIS 2 sont tenues de prendre les mesures techniques, opérationnelles et organisationnelles nécessaires pour traiter les risques de sécurité des réseaux et des systèmes d’information et se prémunir contre les cyberincidents.

La directive prévoit des exigences étendues en matière de gestion des risques, des notifications immédiates des incidents de sécurité aux autorités de contrôle et des plans d’urgence complets applicables en cas de menace pour la sécurité ou de cyberattaque.

NIS 2 stipule clairement que les mesures de gestion des risques relèvent de la responsabilité des directions d’entreprises. Cela signifie que les organes de direction seront tenus responsables en cas de non-respect des dispositions du NIS 2. La gestion des risques doit notamment inclure les éléments suivants :

• analyse des risques ;
• concepts de sécurité pour les systèmes d’information ;
• mécanismes de gestion et de prévention des cyberincidents ;
• gestion des sauvegardes et des situations de crises ;
• mesures de sécurisation des chaînes d’approvisionnement ;
• formation du personnel à la cybersécurité ;
• utilisation de l’authentification multifactorielle et de techniques de cryptage.

La directive NIS 2 établit les règles uniformes de gestion des risques de cybersécurité pour tous les établissements entrant dans son champ d’application. Les établissements financiers sont toutefois soumis à des exigences supplémentaires, spécifiques à leur secteur, qui doivent être appliquées en tant que « lex specialis ». Cela signifie pour les banques et autres entreprises financières que les dispositions du règlement sur la stabilité opérationnelle des systèmes numériques du secteur financier (DORA) priment sur les règles du NIS 2. Les règles de gestion des cyberrisques et de notification des cybermenaces et cyberincidents sont notamment concernées. La directive NIS 2 doit être transposée en droit national au plus tard le 18 octobre 2024. Ses dispositions seront alors applicables dans tous les États membres de l’UE.

Avant l’adoption de DORA, il existait déjà dans le secteur financier plusieurs exigences couvrant les principales catégories de risques financiers : risque de crédit, de marché, de contrepartie, de liquidité et lié au comportement des acteurs sur le marché. Ces règlements traitaient le risque opérationnel lié à l’allocation de capital, mais ne couvraient pas la résilience opérationnelle dans toutes ses composantes. En réalité, les incidents de sécurité peuvent mettre en péril la résilience du système financier dans son ensemble, au-delà des problématiques de résistance opérationnelle. Pour renforcer la résilience numérique dans le secteur financier, DORA fixe des exigences uniformes pour la sécurité des réseaux et des systèmes d’information qui viennent appuyer les processus opérationnels des entreprises financières.

Le champ d’application de DORA ne se limite pas aux banques. Le règlement est applicable à un large éventail d’institutions financières, dont les établissements de paiement, les établissements de monnaie électronique, les entreprises d’investissement, les prestataires de services de crypto-actifs, les dépositaires centraux de titres, les gestionnaires de fonds d’investissement alternatifs, les sociétés de gestion d’OPCVM, les administrateurs d’indices de référence critiques et les prestataires de services de financement participatif.

DORA renforce la résilience opérationnelle numérique et la cybersécurité, mais s’attaque également aux risques liés aux technologies de l’information et de la communication (TIC) dans toute l’UE. Les entreprises financières se connectent de plus en plus souvent à des produits et services TIC proposés par des sociétés tierces. Le législateur européen a reconnu l’existence de risques croissants, en particulier chez les fournisseurs de services cloud. Selon les statistiques, environ 45 % des atteintes à la protection des données dans le monde ont lieu dans le cloud.

DORA établit pour les entreprises financières les exigences listées ci-dessous.

• Gestion des risques liés aux TIC DORA impose une gestion globale des risques TIC aux institutions financières. Cela signifie qu’elles doivent disposer de stratégies, de procédures et d’outils pour identifier les risques à un stade précoce, protéger les systèmes TIC et réduire le risque d’incidents de cybersécurité. Elles doivent également mettre en place des procédures de sauvegarde et de récupération pour être en mesure de rétablir la situation le plus rapidement possible après un incident de cybersécurité. En outre, elles doivent évaluer les risques liés aux services fournis par des tiers et veiller impérativement à ce que les tiers sollicités soient appropriés et qu’ils se conforment aux normes de sécurité.
• Test de la résilience opérationnelle Le règlement exige que les établissements financiers testent régulièrement leur résilience opérationnelle. Ces tests doivent suivre une approche fondée sur les risques et dépasser le cadre d’une approche uniforme, l’objectif étant de garantir que les contrôles faits sont adaptés à l’activité de chaque entreprise.
• Signalement des incidents graves liés aux TIC aux autorités de surveillance financière Si une cyberattaque ou un incident de sécurité se produit, les entreprises doivent consigner l’événement et le signaler à l’autorité de surveillance compétente. La procédure sera similaire à celle en vigueur pour la notification d’atteintes à la protection des données dans le cadre de la réglementation RGPD. Les délais de notification des incidents seront définis dans les prochaines normes techniques de la réglementation.

En outre, DORA définit les exigences pour les contrats qui lient entreprises financières et fournisseurs tiers de TIC, et établit un cadre de surveillance pour ces fournisseurs quand ils travaillent avec de telles sociétés. Le règlement oblige les institutions financières à inclure des clauses spécifiques dans leurs contrats avec des fournisseurs de TIC. Il y a là des points de recoupement avec les directives de l’ABE sur l’externalisation, mais ces dernières ne sont pas totalement cohérentes et DORA introduit plusieurs nouvelles exigences. C’est pourquoi les entreprises sont invitées à comparer leurs contrats et modèles de contrats actuels avec les exigences de DORA, et à prendre des mesures pour s’assurer que les lacunes identifiées seront comblées pendant la période de mise en œuvre.

En raison de l’importance de la cybersécurité et de la gestion des risques informatiques pour les systèmes financiers, les exigences ont été portées à un niveau supérieur. Ainsi, DORA aura un impact sur l’ensemble du secteur, des banques aux intermédiaires d’assurance en passant par les fournisseurs de services informatiques. Les dirigeants d’entreprise sont responsables du respect de ces exigences légales et sont chargés d’examiner, d’approuver, de mettre en œuvre un processus de gestion des risques, et de le mettre à jour. Cela suppose qu’ils s’intéressent de près à l’utilisation des TIC et au profil de risque de l’établissement financier qu’ils dirigent.

DORA sera applicable dans tous les États membres de l’UE à partir du 17 janvier 2025. Cependant, l’ensemble du secteur financier doit commencer à se préparer sans délai afin de garantir le respect des règles à cette échéance. Une évaluation des lacunes ou une analyse des écarts est conseillée, ainsi que la définition d’une feuille de route pour la mise en conformité. En analysant leur profil et leurs stratégies de gestion des risques informatiques déjà en place, les entreprises peuvent déterminer leur niveau de maturité en matière de sécurité et se mettre à l’abri de mauvaises surprises. DORA prévoit des sanctions administratives en cas de non-respect de la réglementation. En outre, les autorités de surveillance seront en droit d’obliger les entreprises financières à suspendre leurs contrats avec des fournisseurs de TIC si ceux-ci ne se conforment pas aux exigences légales.

Le 15 septembre 2022, la Commission européenne a présenté un projet de loi sur la cyberrésilience (CRA : Cyber Resilience Act), qui contient des dispositions sur la cybersécurité pour les produits matériels et logiciels ainsi que pour les solutions de traitement des données à distance. Des obligations étendues s’appliqueront aux fabricants, distributeurs et importateurs de produits à contenu numérique. Le texte ne prévoit pas de règles pour les entreprises financières, à moins qu’elles ne produisent elles-mêmes de tels biens matériels ou logiciels, ou des solutions de traitement de données à distance. Cependant, le CRA aura un impact immédiat et significatif sur le marché financier. Les exigences du CRA permettront de combler les failles de sécurité des produits à contenu numérique que les entreprises financières utilisent pour fournir leurs services.

Le renforcement de la résilience opérationnelle et de la cybersécurité n’est pas seulement un souhait du législateur. Il est dans l’intérêt des entreprises financières de mettre en place des mécanismes fiables et efficaces pour aller dans le sens de ce renforcement, et ce pour plusieurs raisons. Premièrement, les failles de sécurité représentent un risque notable pour leur réputation : pour la clientèle, il est essentiel d’avoir confiance dans l’institution financière et de savoir son argent en sécurité. Deuxièmement, les cyberattaques réussies n’entraînent pas seulement des pertes financières importantes pour les clients, mais aussi pour les entreprises financières elles-mêmes. Des études sectorielles montrent que le coût annuel des incidents de sécurité dans le secteur financier se situe entre 2 et 27 milliards d’euros rien que dans l’UE. Troisièmement, ces incidents de sécurité sont une menace pour la stabilité financière dans son ensemble. Comme toutes les entreprises sont interconnectées sur le marché financier, les failles de cybersécurité et les incidents au sein d’une entreprise peuvent se propager rapidement à l’ensemble du secteur et causer des dommages considérables. Quatrièmement, la mise en place d’outils efficaces et fiables pour lutter contre les risques de sécurité contribue à réduire les coûts à long terme pour les entreprises financières.

Les enjeux liés aux risques de sécurité sont très importants dans le secteur financier, et toute négligence est à bannir. Il est essentiel pour les institutions financières de renforcer en permanence la cybersécurité et la stabilité opérationnelle de leurs systèmes numériques, indépendamment des exigences légales et de leur sévérité. Des audits de vulnérabilité doivent être effectués régulièrement afin d’identifier et d’évaluer rapidement les failles de sécurité dans les systèmes, processus, éléments stratégiques, protocoles et outils TIC utilisés au sein des institutions financières.

Pour éviter de se perdre dans la jungle réglementaire, les entreprises financières doivent être conscientes que la cybersécurité, la stabilité opérationnelle des systèmes informatiques et la prévention de la fraude sont étroitement liées. Il est essentiel que les institutions financières élaborent des mesures globales pour se conformer aux exigences des différents règlements.

En développant des mécanismes efficaces de prévention et de lutte contre les cybermenaces, l’ensemble du secteur lutte contre un ennemi commun. C’est pourquoi les entreprises financières ont intérêt à agir de manière proactive et à s’engager dans le renforcement de la sécurité de leur secteur au-delà des exigences réglementaires. Il est souhaitable de partager régulièrement les meilleures pratiques et les retours d’expérience, ainsi que d’encourager la diffusion des mesures de lutte contre la fraude et les incidents au sein du secteur d’activité. En outre, les entreprises financières doivent s’efforcer de former leur personnel afin que chacun adopte systématiquement un comportement responsable. Enfin, un travail de sensibilisation doit être mené dans le cadre d’une communication efficace avec les clients, afin que ces derniers sachent au mieux comment se protéger contre la cybercriminalité. Chez N26, nous approuvons pleinement ces démarches de sécurisation. Nous utilisons les dispositifs de sécurité les plus modernes tels que l’authentification biométrique et 3D Secure pour nos transactions en ligne. Afin de maintenir en permanence un haut niveau de sécurité pour ses produits et services, N26 a mis en place des équipes de sécurité spécialisées qui analysent les menaces potentielles et testent la sécurité des produits. Sur notre blog, nous informons régulièrement nos clients à propos des nouveaux types de fraude sur les virements, cartes bancaires, téléphones portables et à propos des escroqueries en ligne, ainsi que sur les moyens de les prévenir.

Le secteur financier subit en moyenne 1130 cyberattaques par semaine. Ce nombre a doublé depuis l’année dernière. Il ne fait aucun doute que les institutions financières vont continuer à être touchées par tous types de cyberattaques. Parallèlement, les méthodes des cybercriminels deviennent chaque année plus ingénieuses. Les institutions financières doivent donc rester vigilantes et développer régulièrement de nouvelles stratégies pour pouvoir lutter efficacement contre des menaces de plus en plus sophistiquées.