Andre Troskie, EMEA Field CISO chez Veeam, fait notamment un focus sur le problème de la conformité au règlement européen DORA des fournisseurs tiers des entreprises.
Les acteurs des services financiers sont mieux armés que d’autres pour faire face aux difficultés de mise en conformité à des règlements législatifs, puisque le secteur financier est notoirement connu pour ses réglementations strictes. La mise en conformité avec le règlement DORA, qui renforce la résilience opérationnelle numérique des entités financières face aux cybermenaces, devrait donc être plus facile, en tout cas pour ce qui est des opérations en interne.
Les organisations du secteur financier ne peuvent, de toute façon, pas attendre longtemps pour appliquer les exigences de DORA en matière d’audit et de reporting, car celui-ci concerne également les fournisseurs de services tiers. Un point qui devrait s’avérer plus complexe à appliquer pour les entreprises lors des premiers mois de mise en application de DORA. Cet aspect ne peut donc pas être ignoré par les entreprises, sous peine d’écoper d’amendes conséquentes ou de voir leur image et leur réputation impactée en cas de non-respect des exigences.
Quel est l’état de préparation des institutions financières ?
Les entreprises du secteur financier font effectivement preuve d’une plus grande avance en matière de conformité réglementaire que les autres secteurs sur lesquels s’applique la directive NIS2. Se conformer à DORA consiste souvent pour elles à vérifier et renforcer la solidité des mesures qu’elles ont déjà mises en place auparavant. Le pan qui nécessite une plus grande attention est celui des tests de résilience opérationnelle, en prévoyant plusieurs scénarios et les risques encourus.
Les banques et institutions financières sont plus enclines à avoir confiance dans leur capacité à mettre en place ces tests basés sur des scénarios et, par extension, à se conformer au règlement DORA depuis qu’il est entré en application en janvier. Ce serait en effet le cas dans l’optique où DORA ne concernerait que la conformité à l’intérieur des entreprises. Pourtant, ce règlement concerne aussi les fournisseurs de la chaîne d’approvisionnement des entreprises. Une situation qui fait planer le risque d’un manque de visibilité.
Le moment est venu de s’occuper de cette problématique
Il ne sert à rien aux prestataires de services financiers de s’atteler à la mise en conformité avec DORA en interne si leurs fournisseurs tiers ou partenaires n’intègrent pas eux-mêmes les contraintes de la réglementation. C’est pourtant souvent le cas, comme l’affirme l’étude « Global Third-Party Risk Management » du cabinet EY, selon laquelle les acteurs du secteur financier aux Etats-Unis nouent, dans leur grande majorité, des partenariats avec d’autres fournisseurs. Ces acteurs tiers représentent un facteur aggravant de risque sur la conformité avec DORA, et cela sans en avoir forcément conscience.
Face à cela, il n’y a pas de remède miracle. Il revient à toute banque ou institution financière des Etats de l’UE sur lesquels s’applique le règlement DORA de renégocier ses accords de niveau de service (SLA) avec ses partenaires, qu’ils soient anciens ou nouveaux. Une mission lourde à mettre en œuvre, sur laquelle aucun acteur ne peut faire l’impasse. Pour garantir une conformité continue avec la réglementation, il est indispensable de considérer la conformité avec DORA comme un prérequis. Pour cela, les différents départements des entreprises doivent collaborer, notamment ceux chargés de la cybersécurité, de la gestion du risque et des questions juridiques.
Renforcer doublement la résilience des données avec DORA
Sans garantir une totale protection face aux cybermenaces, la conformité des fournisseurs tiers avec DORA permet a minima de bénéficier de bonnes conditions de restauration de l’activité après une attaque. Il est préférable de considérer la conformité à DORA comme un outil de renforcement de la résilience opérationnelle et donc de soutien à la restauration.
Pour autant, il ne faut pas non plus négliger la mise en conformité. Une attention constante doit être portée par les prestataires de services financiers aux questions de conformité à DORA et de sécurisation des fournisseurs tiers. On insiste ici sur l’aspect continu du processus, seul garant d’un degré de conformité cohérent sur l’ensemble des fournisseurs. Une précaution nécessaire pour éviter des situations problématiques comme celle de l’interruption de services de 11 000 enseignes Starbucks l’hiver dernier, suite à une attaque par ransomware.
Il faut investir des ressources considérables pour réussir à répertorier tous les fournisseurs tiers et mettre en place ces barrières contractuelles : une mission dont l’intérêt est double. En effet, cela permet d’une part de garantir la conformité des entreprises aux réglementations, mais aussi d’aboutir à une résilience des données plus robuste, sur lequel construire les plans de réponse aux incidents. On estime à 152 millions de dollars par an environ les coûts inattendus qui seraient dus aux ralentissements ou aux arrêts de l’activité pour les prestataires de services financiers. En cas d’incident, les entreprises sont face à deux choix : récupérer le plus rapidement possible ou faire partie de cette statistique pour l’année en cours.
Il faut souligner aussi les avantages de la mise en conformité avec la réglementation. Les autorités européennes de surveillance (AES) financière, en charge de vérifier la conformité et de communiquer aux entreprises les répercussions liées à d’éventuels manquements, supervisent aussi la mise en application de DORA. Si leurs fournisseurs externes de logiciels critiques ne parviennent pas à se mettre en conformité dans les délais impartis, les acteurs des services financiers risquent d’être sanctionnés par une amende équivalant à 2 % de leur chiffre d’affaires annuel ou par des poursuites pénales.
Les entreprises qui réussissent à démontrer qu’elles ont mis en place et à temps tout ce qu’il fallait se remettront d’une cyberattaque plus rapidement, même s’il faut aussi savoir que la mise en conformité avec DORA ne protège pas complètement contre toutes les menaces existantes. Cela leur permet également d’éviter les conséquences néfastes liées au non-respect de cette réglementation. Pour ces raisons, il est important qu’elles redoublent d’efforts pour œuvrer à leur conformité avec DORA et surtout s’assurer que c’est aussi le cas de leurs fournisseurs tiers.
