Village de la Justice www.village-justice.com

A la conquête de la loi sur la résilience opérationnelle numérique du secteur financier. Par Guillaume Gamelin, Directeur Général.
Parution : lundi 18 octobre 2021
Adresse de l'article original :
https://www.village-justice.com/articles/conquete-loi-sur-resilience-operationnelle-numerique-secteur-financier,40429.html
Reproduction interdite sans autorisation de l'auteur.

La loi sur la résilience opérationnelle numérique de la Commission européenne arrive. Les organisations financières - et certaines entreprises technologiques - devront modifier leurs pratiques pour s’y conformer. En érigeant la résilience opérationnelle comme principe structurant de leur cybersécurité, les entreprises seront plus à même de répondre aux exigences réglementaires à venir. Et elles optimiseront leur capacité de prévention et de neutralisation des attaques.

Le projet de proposition de cette loi est un texte législatif complexe qui poursuit de multiples objectifs, dont certains sont politiques (par exemple, réduire la dépendance de l’UE vis-à-vis des hyperscalers américains) et d’autres profondément techniques.

L’un des objectifs est d’harmoniser les règles régissant les entités financières dans l’Union européenne. Ce texte introduit également une législation inédite en Europe, qui vise à réglementer les fournisseurs tiers de technologies de l’information et de la communication (TIC) pour le secteur bancaire.

La boîte de Pandore.

La loi sur la résilience opérationnelle numérique n’est pas la boîte de tous les malheurs, mais certaines sections de ce texte sont sérieusement redoutées. Les implications potentielles de certaines mesures envisagées méritent d’être prises en considération.

L’article suscitant le plus d’inquiétude dans la communauté des services financiers de l’UE est l’article 28(9). Il interdit aux entités financières d’utiliser des fournisseurs de services TIC tiers critiques, ne possédant pas de présence commerciale dans l’UE. De nombreuses entreprises craignent que cela ne les empêche d’utiliser des services de pointe provenant de la Silicon Valley, ou ne les oblige à faire confiance à des services encore peu éprouvés, qui ne possèdent qu’une présence locale. Les sceptiques évoquent le risque de rendre le secteur financier européen moins sûr et moins compétitif.

D’après certaines institutions financières, cet article crée aussi la confusion. Des acteurs importants, tels que l’Association européenne des banques coopératives (EACB), ont demandé si les fournisseurs de TIC tiers intra-groupe étaient concernés par l’article 28(9). D’autres organisations (dont la société d’édition et d’analyse RELX) ont reproché à la Commission sa définition trop large de « fournisseur tiers critique ». Elles ont demandé à ce que les fournisseurs soient davantage impliqués dans ce processus de définition :

« en l’état actuel, un prestataire de services tiers pourrait être qualifié de critique en raison de la manière particulière dont une seule entité financière conçoit ses propres systèmes ».

Ce n’est pas tout. Plusieurs participants à la consultation publique ont affirmé que la directive n’atteint pas son objectif d’harmonisation de la législation existante. Il existe actuellement un conflit entre la directive de la loi et la directive NIS2 (Network and Information Systems) proposée par la Commission elle-même : ces deux textes placeraient les fournisseurs de services TIC sous la tutelle de différentes autorités réglementaires. La directive de cette loi propose également un nouveau cadre pour les tests d’intrusion des entités financières, sans pour autant expliquer comment ce cadre s’harmonisera avec le cadre TIBER-UE de la BCE.

Explorer la piste en misant sur l’esprit.

Si le projet de loi pose question, il est tout à fait possible d’en adopter l’esprit en misant sur la résilience opérationnelle. Ce concept est déjà à l’origine de changements réglementaires aux Etats-Unis, au Royaume-Uni, à Singapour, et en Australie. Et avec la publication par le Comité de Bâle des principes de résilience opérationnelle en mars 2021, les prochains échanges européens sur la cybersécurité devraient également être centrés sur la question.

La résilience opérationnelle repose sur une approche qui met l’accent sur le renforcement des systèmes : lorsqu’une entreprise est attaquée, elle doit avoir les moyens de réagir, de se redresser, d’en tirer des leçons et de s’adapter.

Les entreprises qui n’adoptent pas cet état d’esprit risquent de considérer la loi comme une liste interminable de contrôles disparates et incohérents, dont le respect n’apporte que peu d’améliorations pratiques en termes de sécurité. Par exemple, l’identification et la documentation de tous les processus qui dépendent de fournisseurs de services TIC tiers ne feront que créer des exigences bureaucratiques inutiles (ou « paperasse ») si elles ne sont pas liées à une philosophie plus large de résilience opérationnelle.

La résilience est spécifique à chaque entreprise et il n’existe pas de solution clé-en-main. Trois principes permettent toutefois de jeter les bases d’une résilience efficace :

Cartographie : cela peut sembler évident, mais pouvez-vous identifier avec précision tous les processus nécessaires pour servir vos clients, et les interdépendances qui rendent ces processus vulnérables ? Pouvez-vous évaluer l’impact tangible de ces vulnérabilités ? La première étape de la résilience consiste à cartographier ces processus et à comprendre comment les données circulent au sein de votre environnement. Il existe des exercices qui visent spécifiquement à cartographier les surfaces d’attaque de votre entreprise, pour identifier vos voies d’attaque et vos points faibles, comme le ferait un pirate informatique.

Renforcement : une fois que vous aurez précisément identifié vos actifs et leurs rôles-clés, vous pourrez mieux les sécuriser, en corrigeant les vulnérabilités exploitables et en implémentant des mesures de sécurité supplémentaires. Grâce à la cartographie réalisée préalablement, vous pourrez focaliser vos tests sur les actifs identifiés comme critiques. L’approche choisie doit, en tout état de cause, veiller à un équilibre entre le risque commercial et le risque cybernétique.

Boucles de rétroaction : les tests de sécurité peuvent permettre aux entreprises d’améliorer leur protection et leurs processus de détection. Par exemple, le cadre TIBER de l’UE comprend un exercice obligatoire de répétition par une Red team et une Blue team : à l’issue de ce test, les équipes doivent passer en revue les mesures prises et tirer des leçons de leurs erreurs. Le cadre Corie des régulateurs australiens, quant à lui, comprend un exercice connu sous le nom de Purple teaming, dans lequel une Red team reproduit les attaques au côté de la Blue team, pour affiner et améliorer les techniques de détection et de défense.

A l’heure actuelle et au vu des nombreuses questions encore à résoudre, les entreprises doivent commencer à se familiariser avec le concept de résilience opérationnelle sans pour autant engager des modifications de grande envergure.

Guillaume Gamelin, Regional Vice President at F-Secure France