Toutefois, quelle que soit la confiance qu’ils ont dans leur capacité à se conformer aux exigences de DORA en matière d’audit et de reporting, les organisations du secteur financier ne peuvent pas se permettre de se reposer sur leurs lauriers. En effet, le règlement DORA s’étend bien au-delà des processus internes et couvre également les fournisseurs de services tiers. C’est sur ce point que la plupart des entreprises risquent de se prendre les pieds dans le tapis lors de la phase initiale de mise en application de DORA. Avec des conséquences allant d’amendes conséquentes à une dégradation de l’image et de la réputation de la marque en cas de non-respect de ces obligations, les entreprises ne peuvent pas se contenter d’ignorer la question.
Les institutions financières sont-elles véritablement bien préparées ?
Parmi les secteurs concernés par la directive NIS2, les entreprises du secteur financier ont tendance à être plus en avance que d’autres en matière de conformité réglementaire. Pour nombre d’entre eux, la mise en conformité avec les exigences de DORA passe par le renforcement (et la vérification) de la solidité des fondations qu’ils ont déjà posées. Par conséquent, ils devraient concentrer leur attention sur les tests de résilience opérationnelle, en s’assurant d’avoir conscience en interne de différents scénarios et de leur impact en matière de risques.La plupart des banques et institutions financières ont probablement confiance dans leur capacité à mettre en place ces tests basés sur des scénarios et, par extension, à se conformer au règlement DORA après son entrée en application au mois de janvier. Elles auraient raison si le règlement DORA ne couvrait que la mise en conformité interne des entreprises. Malheureusement pour la plupart d’entre elles, le champ d’application s’étend à l’ensemble des entreprises tierces qui composent la chaîne d’approvisionnement – ce qui risque d’entraîner un manque de visibilité considérable.
Il est temps de s’atteler à la tâche
Si les partenaires ou les fournisseurs tiers ne respectent pas les exigences de la règlementation, les efforts des prestataires de services financiers pour garantir leur conformité avec DORA en interne resteront vains. Or ils sont nombreux à être concernés. Selon une étude d’EY intitulée « Global Third-Party Risk Management », une écrasante majorité des acteurs du secteur financier aux Etats-Unis ont noué des partenariats avec des fournisseurs tiers. Ainsi, même s’ils n’en ont parfois pas conscience, les tiers constituent l’un des principaux facteurs de risque pour leur entreprise en matière de conformité avec DORA.Malheureusement, il n’existe pas de solution miracle. Chaque banque ou institution financière opérant au sein d’un des Etats membres de l’UE concerné par le règlement DORA devra a minima renégocier de nombreux accords de niveau de service (SLA) avec ses partenaires tiers, nouveaux ou existants. Les entreprises des services financiers ne peuvent pas se permettre d’ignorer cette question, qui leur demandera de gros efforts. Le fait de considérer la conformité avec DORA comme un prérequis est essentiel pour garantir une conformité continue avec la réglementation. Toutefois, cela nécessite de favoriser la collaboration entre de multiples départements au sein de plusieurs entreprises. Ainsi, les équipes en charge de la cybersécurité, de la gestion du risque et des questions juridiques doivent travailler de concert pour y parvenir.
DORA répond à un double besoin en matière de résilience des données
S’assurer de la conformité des fournisseurs tiers avec DORA ne suffit évidemment pas à protéger les entreprises des cybermenaces, mais cela leur permettra d’être en meilleure condition pour se remettre d’une attaque. Après tout, la conformité réglementaire ne garantit pas une protection complète contre les menaces portant sur la cybersécurité. Mieux vaut considérer la mise en conformité avec DORA comme un exercice visant à renforcer la résilience opérationnelle, élément essentiel à la restauration des activités après une cyberattaque.Cela ne signifie pas pour autant que la mise en conformité doit être négligée. Pour se conformer aux exigences de DORA et sécuriser les fournisseurs tiers, les prestataires de services financiers doivent porter à ces questions une attention de tous les instants. Plutôt qu’un effort ponctuel, il s’agit d’un processus continu destiné à être répété afin de garantir un degré de conformité cohérent sur l’ensemble des fournisseurs. Un travail nécessaire si les entreprises veulent éviter de faire face aux problèmes qu’ont rencontré l’hiver dernier 11 000 enseignes Starbucks lorsque leur fournisseur cloud tiers a dû interrompre ses services à la suite d’une attaque par ransomware.
Parvenir à cartographier l’ensemble des fournisseurs tiers et mettre en place ces
garde-fous contractuels nécessite évidemment d’investir des ressources considérables, mais cela répond à une double nécessité. Les entreprises sont non seulement en mesure de s’assurer de leur conformité avec la réglementation, mais également de renforcer la résilience de leurs données, ce qui leur fournit un socle sur lequel elles peuvent bâtir leurs plans de réponse aux incidents. Les coûts cachés liés à des ralentissements ou à des arrêts de l’activité pour les prestataires de services financiers ont été estimés à environ 152 millions de dollars par an. C’est pourquoi, si le pire devait arriver, les entreprises doivent être en mesure de récupérer le plus rapidement possible ou risquer d’ajouter à cette statistique pour l’année en cours.
La mise en conformité avec la réglementation s’accompagne également d’autres avantages : il s’agit avant tout d’éviter les conséquences négatives liées à son non-respect. La mise en application de DORA est supervisée par les autorités européennes de surveillance (AES) financière, qui sont chargées de vérifier régulièrement la conformité et de communiquer aux entreprises les répercussions liées à d’éventuels manquements. Les acteurs des services financiers dont les fournisseurs externes de logiciels critiques ne se sont pas mis en conformité à temps peuvent encourir des sanctions allant d’une amende équivalant
à 2 % de leur chiffre d’affaires annuel à des poursuites pénales.
S’il est vrai que la mise en conformité avec DORA ne protège pas parfaitement les entreprises contre toutes les menaces existantes, leur capacité à démontrer que tout est en place et fonctionne dans les délais impartis leur permet de se remettre d’une cyberattaque le plus rapidement possible. Par ailleurs, c’est aussi une précaution qui permet d’éviter de subir les graves conséquences liées au non-respect de cette réglementation. C’est pourquoi les entreprises doivent redoubler d’effort pour se mettre en conformité avec DORA et, plus important encore, s’assurer que leurs fournisseurs tiers en font de même.
Par Andre Troskie, EMEA Field CISO chez Veeam
