Renforcement des réglementations dans la cyber banque

Adoptée en 2016 par l’Union Européenne, la directive sur la sécurité des réseaux et des systèmes d’information, connue sous l’appellation « directive NIS 1 », visait à augmenter le niveau de cybersécurité des opérateurs de services essentiels (OES) et des fournisseurs de service numérique (DSP). Les Infrastructures des marchés bancaires et financiers (parfois appelés cyber banques) font partie de ces OES.

1 – Les nouvelles obligations des établissements bancaires en matière de cybersécurité

Avec ce premier dispositif, les établissements bancaires étaient tenus de déclarer leurs incidents de sécurité à l’ANSSI et de mettre en place les mesures de sécurité nécessaires pour réduire significativement l’exposition de leurs systèmes les plus critiques aux risques cybernétiques.

Le 10 novembre 2022, les députés européens ont voté pour la directive NIS 2 (Network and Information Security) qui a pour objectif d’augmenter le niveau de cybersécurité des OES et des DSP.

A. Contexte de la cybercriminalité croissante

Depuis l’interconnexion de ses pays membres, le marché européen est devenu plus exposé à de nouvelles cybermenaces. La directive NIS 2 élargit donc son champ d’application et ses objectifs afin d’apporter plus de protections aux entreprises et organismes européens. L’un de ces objectifs est d’améliorer la coopération des pays membres face à cette menace commune.

Les statistiques témoignent de la croissance soutenue de la cybercriminalité mondiale. Les chiffres communiqués par le Conseil Européen sont impressionnants :

Selon les estimations, le coût annuel de la cybercriminalité pour l’économie mondiale a atteint 5 500 milliards d’euros à la fin de 2020, soit le double du chiffre de 2015.

*Source : https://www.consilium.europa.eu/fr/infographics/cyber-threats-eu/*

B. Importance des réglementations cyber pour les établissements financiers

Plusieurs raisons expliquent l’importance de ces nouvelles règlementations cyber pour les établissements financiers. Tout d’abord, elles aident à protéger les données sensibles des clients et à prévenir les violations de données. Ces établissements sont maintenant contraints à prendre des mesures efficaces pour se protéger des différents types de cyberattaques.

Cet investissement dans la protection de leurs outils informatiques va améliorer la confiance des clients dans les institutions financières. Cela aura également comme conséquence de réduire les coûts prohibitifs liés aux violations de données et aux cyberattaques.

Ces mesures prennent d’autant plus d’importance que les usagers sont de plus en plus nombreux à consulter leurs services bancaires depuis une application mobile ou via leur ordinateur personnel. Ce phénomène a commencé lors de la crise sanitaire de la COVID-19 et n’a cessé de s’amplifier depuis lors.

2 – Les principales réglementations cyber pour les institutions financières

A. Aperçu des réglementations existantes

Le Digital Operational Resilience Act (DORA)

Le règlement sur la résilience opérationnelle numérique des services financiers (règlement DORA), a été adopté en novembre 2022 dans sa dernière version par le Conseil de l’Union européenne. Il est entré en vigueur sur toute l’Europe depuis le 16 janvier 2023.

Les principaux objectifs du règlement DORA concernent la protection des données, ainsi que la capacité à ne pas subir d’interruption de service en cas de cyberattaque ou de dysfonctionnement. Cette capacité est nommée « cyber-résilience ».

Le règlement DORA introduit le contrôle des régulateurs non seulement au sein des organismes financiers, mais aussi chez leurs prestataires extérieurs, tenus de respecter les nouvelles normes de cybersécurité.

La directive NIS 1

La Directive NIS 1 ne concernait pas les DSP considérés comme des petites entreprises (employant moins de 50 personnes dont le CA annuel ou dont le bilan total est inférieur à 10 M€). Cette directive restait assez générale dans les dispositions de cybersécurité que devaient prendre les organismes concernés.

Le nombre d’entités concernées par la directive NIS 1 était assez limité, puisqu’elle ne concernait que les opérateurs de services essentiels et les fournisseurs de services numériques. La directive NIS 2 concerne dix fois plus d’organismes, classifiés en entités essentielles (EE) et entités importantes (EI) en fonction de la criticité des services rendus.

Entités essentielles (EE)

  • Énergie
  • Transport
  • Banque
  • Infrastructures des marchés financiers,
  • Santé
  • Eau potable
  • Eaux usées
  • Infrastructures numériques (fournisseurs d’accès à internet, data centers…)
  • Administrations publiques
  • Secteur de l’espace

Entités importantes (EI)

  • Gestion des déchets
  • Services postaux
  • Industrie chimique
  • Fournisseurs de services numériques (moteurs de recherche, marketplaces…)

Le régime de sanctions et les exigences en matière de rapports étaient aussi moins élevés que pour la nouvelle directive NIS 2 qui se rapproche plus du régime de sanctions du RGPD, fixé au pourcentage sur le chiffre d’affaires de l’organisme concerné (voir plus bas dans cet article).

B. Evolution des réglementations suite aux récentes cyberattaques

Depuis 2022, de nombreux conseils départementaux, des organismes de santé, mais aussi des organismes financiers européens figurent parmi les victimes des cyberpirates. À chaque fois des services publics sont mis à l’arrêt pendant des jours et doivent se remettre à tout saisir sur papier en attendant que leur service informatique redevienne opérationnel.

La directive NIS 2 va imposer des obligations de cybersécurité encore plus strictes pour les infrastructures critiques telles que les banques et les organismes financiers. Les autorités nationales sont appelées à exercer une surveillance et une application plus strictes.

Cette nouvelle directive uniformise les sanctions appliquées et les obligations en matière de remontées d’information dans tous les États de l’Union Européenne.

3 – Les nouvelles obligations imposées aux établissements financiers

A. Renforcement des mesures de protection des données

En plus des mesures de base comprenant les obligations déclaratives, la directive NIS 2 astreint les organismes financiers à une obligation de déclaration des failles informatiques dans un délai de 24 heures, ceci comprenant également les incidents potentiels.

Un centre de compétences en cybersécurité et un réseau de centres de coordination ont été mis sur pied, pour appuyer les organismes financiers et bancaires dans leurs politiques de cybersécurité. En France, ce centre de compétences est dévolu au Centre de Cyberdéfense de l’ANSSI, installé Quai de Grenelle, à Paris.

Les autorités de contrôle nationales pourront effectuer dans leur pays respectifs des audits réguliers, ou des contrôles sur site et hors site, et formuler des demandes d’accès à des documents ou à des preuves.

Le réseau de coordination CyCLONe (Cyber Crisis Liaison Organisation Network) a ainsi été créé pour fédérer la préparation et la gestion des crises cyber par les États membres.

L’ensemble de ces mesures s’appliquera à partir d’octobre 2024 au niveau européen.

B. Mise en place de mécanismes de détection précoce des cyberattaques

L’utilisation de l’IA comme outil d’apprentissage automatique et d’analyse prédictive va permettre de détecter plus rapidement les attaques informatiques. Elle permettra d’automatiser certaines tâches pour améliorer l’efficacité de la sécurité en ligne. Cela peut être par exemple dans la protection contre les logiciels malveillants, en analysant les fichiers et les activités en temps réel pour détecter les menaces potentielles.

C. Renforcement des capacités de réponse et de récupération après une attaque

La résilience des organismes bancaires au risque cyber est extrêmement importante en raison des enjeux financiers et des risques de perte de valeurs monétaires. Il est donc primordial de prévoir un Plan de Sécurité qui prenne en compte les conséquences d’une attaque informatique et les moyens de réagir.

Les outils de cybersécurité utilisés doivent permettre aux équipes concernées de prendre des mesures immédiates pour contenir les incidents et limiter les dommages.

Make IT Safe propose un Plan d’Assurance Sécurité (PAS) qui permet de centraliser tous les échanges avec vos différents fournisseurs et de déclencher plus rapidement les actions adéquates pour une remise en service de votre SI.

4 – Les conséquences de la non-conformité aux réglementations cyber

Les organismes qui ne respecteraient pas les directives européennes telles que celles de la NIS 2 ou du règlement DORA s’exposent à des amendes et à des pénalités financières importantes, sans oublier les risques sur leur réputation auprès de leur clientèle.

Risques financiers et réputationnels pour les établissements financiers

Le mécanisme de sanction financière choisit par la directive NIS 2, semblable à celui du RGPD, pourra se baser sur un montant fixe ou sur un pourcentage du chiffre d’affaires mondial de l’entité concernée, selon la gravité de l’infraction constatée.

Pour les entités essentielles (EI) : jusqu’à 10 millions d’euros, ou 2% du CA mondial total.

Pour les entités importantes (EA) : l’amende pourra s’élever à 7 millions d’euros, ou 1,4% du CA mondial total.

Les cyberattaques étant particulièrement prisées par les médias, les conséquences d’une attaque sur un organisme financier peuvent affecter fortement sa réputation auprès de ses clients ou de ses fournisseurs, surtout si une cyber-négligence est constatée.

Il est important de rappeler que la directive NIS 2 amène une notion de responsabilité de la direction en matière de gestion du risque. Cela impose aux dirigeants des organismes concernés de veiller à la mise en conformité de leur politique de cybersécurité avant la date d’application de cette réforme, prévue pour octobre 2024.

5 – Les bonnes pratiques pour se conformer aux nouvelles réglementations

Make IT Safe se tient à votre disposition pour vous aider dans vos démarches de mise en conformité avec cette nouvelle règlementation. Voici les trois principaux volets sur lesquels vous devez porter votre attention :

A. Évaluation régulière des risques et mise à jour des mesures de sécurité

Notre plateforme Make IT Safe vous permet d’effectuer des audits réguliers de toute votre structure informatique. Cette vérification récurrente comporte un dépôt de preuves et de pièces justificatives vous permettant de prouver si nécessaire aux autorités compétentes que vous avez bien pris toutes les mesures correctives nécessaires au respect de la directive NIS 2.

B. Formation et sensibilisation du personnel

La cybersécurité passe également par la montée en compétences du personnel soumis à des risques d’attaque, en particulier celles de types « ingénierie sociale » basées justement sur le manque de sensibilisation au sein des organismes financiers.

Make IT Safe publie régulièrement des webinars auxquels vos collaborateurs peuvent assister pour se tenir informés. Nous proposons également des formations sur-mesure adaptées à la structure de votre organisme et aux compétences de vos collaborateurs.

C. Collaboration avec les organismes de réglementation et les partenaires externes

L’échange d’informations fait partie de toute bonne politique de sécurité. En effet, en cas d’incident avéré ou d’attaque, il vous faut non seulement réagir pour sauvegarder les intérêts de votre organisme, mais également prévenir les organismes de règlementation concernés. En France, vous devez ainsi contacter l’ANSSI qui propose différents formulaires pour déclarer une vulnérabilité ou pour déclarer un incident.

Si vous êtes RSSI, DPO ou si vous occupez tout autre poste nécessitant une veille en matière de cybersécurité, nous vous recommandons de vous informer régulièrement sur les alertes émises par le Centre Gouvernemental de Veille, d’Alerte et de Réponse aux Attaques Informatiques (CERT).

Notre plateforme Make IT Safe vous propose également d’effectuer une analyse de tiers vous permettant d’évaluer le risque cyber lié à vos fournisseurs ou prestataires extérieurs.

6. Conclusion

Comme nous venons de vous le présenter dans cet article, la cybersécurité des établissements financiers est un enjeu primordial au niveau européen, validé par ces nouvelles dispositions règlementaires.

Certes, il est parfois difficile de se soumettre à de nouvelles contraintes. Cela nécessite un investissement non négligeable aussi bien en ressources humaines que matérielles. Cependant, lorsqu’on se rappelle du montant astronomique des dégâts occasionnés par ces cyberattaques, on comprend aisément que cet investissement est indispensable pour assurer la pérennité des organismes financiers et des autres acteurs de l’économie européenne.

De son côté, Make IT Safe a anticipé l’adaptation de sa plateforme logicielle afin de faire face à ces nouvelles menaces. Notre plateforme vous permettra d’avoir une vision à la fois simple et complète de toutes les actions à entreprendre pour que votre organisme se mette pleinement en conformité avec ces nouvelles réglementations.

Nous sommes bien entendu à votre disposition pour vous apporter toute l’aide nécessaire à sa mise en place ou pour vous proposer une démonstration.

Plan 🔽