De nouvelles exigences réglementaires contribueront à façonner la cybersécurité pour la finance

Par Ilias Chantzos, Global Privacy Officer et Head of EMEA Government Affairs, Broadcom Inc.

Lorsqu'il s'agit d'éviter les attaques de ransomwares, aucun secteur n'est plus sûr. Pourtant, le secteur des services financiers en particulier reste uncible favoritepour les cybercriminels.

En effet, les institutions financières étaienttouché de manière disproportionnéepar ransomware en 2021, etles premières indicationspour le Nouvel An indiquent plus ou moins la même chose pour 2022.

Les décideurs politiques du monde entier ont reconnu ce risque accru, qui a été encore amplifié par les récentes tensions géopolitiques. L'Union européenne (UE) a élaboré une proposition de cadre unifié pour réglementer la gestion des risques pour les institutions financières. Connu comme leLoi sur la résilience opérationnelle numérique (DORA)cela marque une étape importante pour le27 États membres dans l'Union. La proposition, actuellement à un stade avancé de négociation, apporte une approche commune de la cybersécurité et de la gouvernance pour les prestataires de services financiers et leur chaîne d'approvisionnement en technologies de l'information et de la communication (TIC) dans tous les pays de l'Union européenne (UE).

L'impact de DORA

DORA, qui devrait être adopté prochainement, a un impact direct sur la plupart des fournisseurs de services financiers, y compris les banques, les compagnies d'assurance, les sociétés de courtage, les bourses de crypto-monnaie et les entreprises fintech associées. Ces institutions seront tenues, une fois que DORA deviendra exécutoire, de se conformer à ses normes régissant les conditions contractuelles, la gestion de la chaîne d'approvisionnement, la gouvernance, les niveaux minimaux de résilience des entreprises et la cybersécurité. À défaut de ces normes, les organisations s'exposent à d'importantes sanctions financières et autres.

Le moyen le plus simple de comprendre l'impact que DORA va avoir sur les entreprises financières mondiales et leur chaîne d'approvisionnement est peut-être de considérer l'impact de la norme de l'UE en matière de confidentialité et de gouvernance des données, laRèglement général sur la protection des donnéesa eu.

Le RGPD a également remplacé une variété de lois adoptées par les différents pays de l'UE par une norme réglementaire unique dotée d'un véritable pouvoir d'application en cas de non-conformité. Le RGPD a rendu la non-conformité assez onéreuse et de plus en plus risquée.

DORA devrait avoir un impact similaire sur la façon dont les grandes institutions financières font des affaires, en réglementant différents aspects de leurs processus par le biais d'un instrument unique et en offrant des incitations pour améliorer la résilience de leur entreprise. La portée réglementaire de la loi proposée s'étendra aux fournisseurs et sous-traitants de la chaîne d'approvisionnement jugés « critiques », qui pourraient inclure tout, des petites et moyennes entreprises aux fournisseurs de services d'infrastructure cloud à grande échelle.

DORA créera un ensemble uniforme d'exigences pour la chaîne d'approvisionnement qui ira de la notification d'incident jusqu'aux conditions contractuelles, aux stratégies de sortie des clients et au suivi des KPI. Compte tenu de la taille et de l'importance des marchés financiers de l'UE, il est probable que nous verrons ces exigences adoptées par les institutions financières et les régulateurs du monde entier, faisant de DORA une norme qui a une portée beaucoup plus large que la seule Europe.

Comment les exigences réglementaires interagissent

Le régime de règles de DORA sur la cybersécurité est bien aligné sur un ensemble de recommandations consultatives, leCadre de cybersécurité (CSF) , publié par le National Institute of Standards and Technology des États-Unis. Mais alors que les directives du CSF sont purement consultatives, DORA exigera la conformité et exigera des organisations qu'elles démontrent que certaines conditions sont remplies en autorisant les services financiers à auditer leur chaîne d'approvisionnement et les régulateurs à superviser à la fois les institutions financières et certains prestataires de services qui seront désignés pour être critique.

Le courantLignes directrices de l'Autorité bancaire européenne (EBAG), un prédécesseur de DORA, donne déjà aux régulateurs financiers une partie de cette surveillance sous la forme d'orientations. DORA va plus loin avec des composants supplémentaires dont EBAG ne dispose pas. Et tandis que l'EBAG est une orientation réglementaire dont on peut s'écarter à ses risques et périls, DORA aura force de loi : le non-respect de ses exigences entraînera de réelles sanctions.

Une fois adoptés, les mandats DORA créeront des obligations supplémentaires pour les institutions financières et les autres entreprises afin d'accélérer les mises à niveau de leurs capacités de cybersécurité, car elles devront fournir des preuves démontrables des tests de pénétration des menaces, de la détection et de la réponse aux incidents de cybersécurité, de la préparation aux catastrophes et de la mesure des performances.

En Europe, vous entendez parfois des plaintes concernant le RGPD. Mais je sais que s'il y a une violation de données, il y aura une compréhension de base commune des actions qui doivent être prises et des notifications qui doivent se produire dans un délai donné, généralement jusqu'à 72 heures en ce qui concerne le régulateur de la confidentialité. C'est le résultat du fait que le RGPD est une norme commune en matière de violation de données. S'il y a une violation de données quelque part aux États-Unis, il est possible que plusieurs normes de violation s'appliquent, ce qui entraîne des exigences de notification différentes. Lorsqu'il s'agit de gérer les risques d'entreprise, la simplicité est essentielle. Souvent, une norme réglementaire unique et claire applicable à l'ensemble de l'entreprise dans plusieurs juridictions facilite la mobilisation des ressources, la concentration des équipes, l'amélioration de l'efficacité et l'attention de la direction.

Malgré certains points de discorde, l'UE va de l'avant avec la création d'un plan réglementaire sur la cybersécurité en abordant les infrastructures critiques, les services financiers, l'IdO, la normalisation, la confidentialité et la cybercriminalité. C'est un effort pour relever certains défis mais aussi une façon d'exporter un modèle de gouvernance.

Les menaces à la cybersécurité sont réelles. Les récentes expériences pandémiques et les défis géopolitiques actuels montrent à quel point nous sommes devenus dépendants de la technologie. Nous ne devrions pas être surpris que cela attire davantage l'attention réglementaire des deux côtés de l'Atlantique. Après tout, si quelque chose a de la valeur, il va être réglementé.

Contactez-nous ici pour en savoir plus sur la façonLogiciel Broadcompeut moderniser, optimiser et protéger votre entreprise.

À propos d'Ilias Chantzos:

Logiciel Broadcom

Ilias est Global Privacy Officer et responsable des programmes des affaires gouvernementales pour l'Europe, le Moyen-Orient et l'Afrique (EMEA) de Broadcom. Il dirige le programme mondial de confidentialité dans les multiples unités commerciales et régions de l'entreprise.