Loi DORA : vers une cybersécurité renforcée pour les banques européennes
Différents rapports mettent en évidence une augmentation des cyberattaques dans le secteur financier, avec en ligne de mire les banques. Les menaces et les faits sont réels, avec des conséquences non négligeables. En réponse, la Commission européenne a établi la réglementation DORA, qui rentra en vigueur le 17 janvier 2025. Quels sont les objectifs de cette réglementation ? Voici de premiers éléments de réponse.
Banques : les cyberattaques récentes
Avant d'évoquer la réglementation DORA en elle-même, rappelons l'existence de ces cyberattaques que même la meilleure banque en ligne pourrait subir. Les banques de la zone euro sont régulièrement ciblées par les pirates, et nous pouvons prendre un premier exemple : la banque néerlandaise ABN AMRO.
Au début du mois de mai 2024, AddComm, l'un des fournisseurs de la banque ABN AMRO, a été victime d'une attaque par ransomware. À la suite de cette intrusion, des pirates sont parvenus à accéder aux données d'un nombre limité de clients d'ABN AMRO. Dans son communiqué de presse, l'origine de cette relation entre AddComm et ABN AMRO est expliquée : "Sur la base des données fournies par ABN AMRO via un portail sécurisé, AddComm distribue des documents et des jetons physiquement et numériquement aux clients et aux employés."
Néanmoins, il n'est pas précisé à quoi correspond cette fuite de données. Mais, il est probable que ces informations soient utilisées pour mener d'autres actes malveillants (une campagne de phishing par e-mail, par exemple).
Début juin 2024, c'est l'importante banque espagnole Santander qui a été victime d'une cyberattaque. Cette fois-ci, c'est le groupe de pirates ShinyHunters qui était à l'origine de cet acte malveillant ayant conduit à une énorme fuite de données. En effet, les pirates ont prétendu détenir les données de 30 millions de clients de Santander et 6 millions de numéros de comptes.
La cyberattaque n'a pas seulement affecté les clients de cette banque, mais également les 210 000 employés de Santander, à l'échelle mondiale. Pour obtenir ces données, les pirates sont parvenus à accéder à une base de données hébergée par un fournisseur tiers.
Début février 2024, le Crédit Agricole a été victime d'une attaque DDoS (Déni de service distribué) qui a été à l'origine d'une indisponibilité de plusieurs heures du site et de l'application mobile bancaire. Ce type d'attaque perturbe directement les clients puisqu'ils ne sont plus en mesure de consulter leur compte et d'effectuer des opérations bancaires.
Ces trois exemples récents montrent que les banques sont des cibles privilégiées et que certaines attaques aboutissent, comme dans d'autres secteurs.
La réglementation Digital Operational Resilience Act
Le 16 janvier 2023, la Commission européenne a finalisé sa nouvelle réglementation nommée "Digital Operational Resilience Act" (DORA). Elle s'adresse aux entités financières situées dans l'Union européenne et entrera en vigueur à compter du 17 janvier 2025. Cela s'applique donc aux banques, aux entreprises d'investissement, aux compagnies d'assurance, etc... La liste est assez longue. Contrairement à la directive NIS 2 qui a un périmètre plus large, la réglementation DORA s'adresse donc au secteur financier.
La réglementation DORA vise à renforcer la cybersécurité et la résilience opérationnelle des entités financières de l'UE face aux risques liés aux TIC (Technologies de l'Information et de la Communication). L'objectif global est d'harmoniser la gestion des risques TIC dans tout le secteur financier de l'UE et d'avoir un niveau élevé en matière de résilience opérationnelle numérique.
Ces exigences uniformes pour la sécurité des réseaux et des systèmes d'information correspondent à :
- Gestion des risques liés aux TIC : mise en place d'un cadre de gestion des risques solide pour assurer une résilience opérationnelle élevée.
- Gestion des incidents TIC : enregistrement et suivi des incidents (documentation), avec des procédures pour identifier et traiter leurs causes.
- Tests de résilience opérationnelle : réalisation de tests pour évaluer la capacité des entités à faire face aux incidents, mais aussi pour prévenir ces incidents (par exemple : audit de code source).
- Gestion des risques des tiers : surveillance des risques liés aux fournisseurs TIC tiers, avec des accords contractuels clairs au sujet de plusieurs critères dont la sécurité, la disponibilité et la protection des données personnelles.
- Partage d'informations : encouragement au partage d'informations sur les cybermenaces entre les institutions financières (indicateurs de compromission, TTP, etc.).
- Cadre de surveillance des fournisseurs tiers critiques : création d’un forum de surveillance pour discuter et promouvoir une approche cohérente de gestion des risques TIC. Ceci permet notamment de suivre les tendances et les évolutions des menaces, afin d'adapter la sécurité.
Nous pouvons affirmer que la réglementation DORA vise à garantir que le système financier des banques européennes reste opérationnel, même en cas d'attaque informatique. Si une organisation ne respecte pas la loi DORA, elle s'expose à des amendes journalières, dont le montant peut représenter 1% du chiffre d'affaires quotidien moyen de l'année précédente. Pour approfondir le sujet, vous pouvez consulter le site officiel de la loi DORA.
Article sponsorisé.