A la conquête de la loi sur la résilience opérationnelle numérique du secteur financier
La loi sur la résilience opérationnelle numérique de la Commission européenne arrive. Les organisations financières – et certaines entreprises technologiques – devront modifier leurs pratiques pour s’y conformer. Pour anticiper, il est conseillé de chercher à adopter l’esprit général de cette loi, plutôt que de prêter attention aux détails inconsistants, encore en discussion. En érigeant la résilience opérationnelle comme principe structurant de leur cybersécurité, les entreprises seront plus à même de répondre aux exigences réglementaires à venir. Et elles optimiseront leur capacité de prévention et de neutralisation des attaques.
Si vous avez déjà examiné le projet de proposition de cette loi, vous savez qu’il s’agit d’un texte législatif complexe qui poursuit de multiples objectifs, dont certains sont politiques (par exemple, réduire la dépendance de l’UE vis-à-vis des hyperscalers américains) et d’autres profondément techniques. L’un des objectifs est d’harmoniser les règles régissant les entités financières dans l’Union européenne. Ce texte introduit également une législation inédite en Europe, qui vise à réglementer les fournisseurs tiers de technologies de l’information et de la communication (TIC) pour le secteur bancaire.
Le 18 mai 2021 était le dernier jour de la consultation publique sur ladite loi. Bien que la Commission ait recueilli des avis relativement diplomatiques, des tensions sont apparues sous la surface. De nombreuses entreprises concernées estiment que cette loi, dans sa forme actuelle, ne permettra pas d’atteindre les objectifs fixés. Certaines craignent même qu’elle ne compromette leur sécurité.
La boîte de Pandore
La loi sur la résilience opérationnelle numérique n’est pas la boîte de tous les malheurs, mais certaines sections de ce texte sont sérieusement redoutées. Les implications potentielles de certaines mesures envisagées méritent d’être prises en considération.
L’article suscitant le plus d’inquiétude dans la communauté des services financiers de l’UE est l’article 28(9). Il interdit aux entités financières d’utiliser des fournisseurs de services TIC tiers critiques, ne possédant pas de présence commerciale dans l’UE. De nombreuses entreprises craignent que cela ne les empêche d’utiliser des services de pointe provenant de la Silicon Valley, ou ne les oblige à faire confiance à des services encore peu éprouvés, qui ne possèdent qu’une présence locale. Les sceptiques évoquent le risque de rendre le secteur financier européen moins sûr et moins compétitif.
D’après certaines institutions financières, cet article crée aussi la confusion. Des acteurs importants, tels que l’Association européenne des banques coopératives (EACB), ont demandé si les fournisseurs de TIC tiers intra-groupe étaient concernés par l’article 28(9). D’autres organisations (dont la société d’édition et d’analyse RELX) ont reproché à la Commission sa définition trop large de « fournisseur tiers critique ». Elles ont demandé à ce que les fournisseurs soient davantage impliqués dans ce processus de définition : « en l’état actuel, un prestataire de services tiers pourrait être qualifié de critique en raison de la manière particulière dont une seule entité financière conçoit ses propres systèmes. »
Ce n’est pas tout. Plusieurs participants à la consultation publique ont affirmé que la directive n’atteint même pas son objectif d’harmonisation de la législation existante. Il existe actuellement un conflit entre la directive de la loi et la directive NIS2 (Network and Information Systems) proposée par la Commission elle-même : ces deux textes placeraient les fournisseurs de services TIC sous la tutelle de différentes autorités réglementaires. La directive de cette loi propose également un nouveau cadre pour les tests d’intrusion des entités financières, sans pour autant expliquer comment ce cadre s’harmonisera avec le cadre TIBER-UE de la BCE.
Compte tenu des nombreuses questions encore à résoudre, nous vous déconseillons pour le moment de commencer à changer de fournisseur de services ou à modifier vos programmes de test. Cette loi en question doit être retravaillée, et ses objectifs précis doivent être clarifiés.
Explorer la piste
Vous pouvez toutefois prendre une longueur d’avance en adoptant l’esprit de cette nouvelle législation. Pour ce faire, vous pouvez miser sur la résilience opérationnelle, qui sous-tend les différentes exigences de la loi. Ce concept est déjà à l’origine de changements réglementaires aux États-Unis, au Royaume-Uni, à Singapour, et en Australie. Et avec la publication par le Comité de Bâle des principes de résilience opérationnelle en mars 2021, les prochains échanges européens sur la cybersécurité devraient également être centrés sur la question.
Qu’est-ce que la résilience opérationnelle ? Il s’agit d’une approche qui met l’accent sur le renforcement des systèmes : lorsqu’une entreprise est attaquée, elle doit avoir les moyens de réagir, de se redresser, d’en tirer des leçons et de s’adapter.
Les entreprises qui n’adoptent pas cet état d’esprit risquent de considérer la loi comme une liste interminable de contrôles disparates et incohérents, dont le respect n’apporte que peu d’améliorations pratiques en termes de sécurité. Par exemple, l’identification et la documentation de tous les processus qui dépendent de fournisseurs de services TIC tiers ne feront que créer des exigences bureaucratiques inutiles (ou « paperasse ») si elles ne sont pas liées à une philosophie plus large de résilience opérationnelle.
La résilience est spécifique à chaque entreprise et il n’existe pas de solution clé-en-main. Trois principes permettent toutefois de jeter les bases d’une résilience efficace :
Cartographie : cela peut sembler évident, mais pouvez-vous identifier avec précision tous les processus nécessaires pour servir vos clients, et les interdépendances qui rendent ces processus vulnérables ? Pouvez-vous évaluer l’impact tangible de ces vulnérabilités ? La première étape de la résilience consiste à cartographier ces processus et à comprendre comment les données circulent au sein de votre environnement. Il existe des exercices qui visent spécifiquement à cartographier les surfaces d’attaque de votre entreprise, pour identifier vos voies d’attaque et vos points faibles, comme le ferait un pirate informatique.
Renforcement : une fois que vous aurez précisément identifié vos actifs et leurs rôles-clés, vous pourrez mieux les sécuriser, en corrigeant les vulnérabilités exploitables et en implémentant des mesures de sécurité supplémentaires. Grâce à la cartographie réalisée préalablement, vous pourrez focaliser vos tests sur les actifs identifiés comme critiques. Pour ce faire, il existe différentes méthodologies (nous appelons la nôtre le test par priorité des risques). L’approche choisie doit, en tout état de cause, veiller à un équilibre entre le risque commercial et le risque cybernétique.
Boucles de rétroaction : les tests de sécurité peuvent permettre aux entreprises d’améliorer leur protection et leurs processus de détection. Par exemple, le cadre TIBER de l’UE comprend un exercice obligatoire de répétition par une Red team et une Blue team : à l’issue de ce test, les équipes doivent passer en revue les mesures prises et tirer des leçons de leurs erreurs. Le cadre CORIE des régulateurs australiens, quant à lui, comprend un exercice connu sous le nom de Purple teaming, dans lequel une Red team reproduit les attaques au côté de la Blue team, pour affiner et améliorer les techniques de détection et de défense. Le Purple teaming constitue d’après nous une approche très efficace et beaucoup d’autres testeurs de sécurité partagent ce point de vue, car cette technique se révèle souvent riche d’enseignements pour les entreprises.
La loi sur la résilience opérationnelle numérique est un texte législatif encore immature qui, pour le moment, est incompatible avec d’autres réglementations européennes. Vous pouvez néanmoins devancer l’adoption de ce texte en misant sur une meilleure résilience. Ainsi, vous pourrez non seulement vous conformer plus facilement à ce texte (quelle qu’en soit la forme), mais aussi anticiper les réglementations à venir dans d’autres régions du monde, dans lesquelles la résilience opérationnelle constitue d’ores-et-déjà un thème central. En misant sur la résilience, les entreprises pourront franchir plus aisément les frontières réglementaires.
Catégories