JAGGAER informe sur la loi DORA et la cybersécurité
juillet 2024 par JAGGAER
En France et comme dans de nombreux pays d’Europe, l’ascension de l’Intelligence artificielle et les tensions mondiales alimentent fortement le risque de cybercriminalité. L’Agence de cybersécurité de l’Union européenne (ENISA) a averti que le nombre d’attaques contre les infrastructures a doublé entre le quatrième trimestre 2023 et le premier trimestre 2024, probablement pour des motifs géopolitiques.
La loi sur la résilience opérationnelle numérique (DORA) définit les normes techniques que les institutions financières et leurs fournisseurs de services technologiques critiques doivent mettre en œuvre dans leurs systèmes TIC (technologies de l’information et de la communication) au début de l’année 2025. Mais les entreprises sont-elles vraiment prêtes à se conformer à ces exigences et, par conséquent, à gérer correctement les risques dans leur supply chain ?
Les cyberattaques entrainent la fuite de millions de données internes, notamment des données clients. Ce qui peut laisser aux cybercriminels la main pour mener plus facilement d’autres types d’attaques, comme des escroqueries, où ils tentent de tromper l’utilisateur en lui communiquant des données personnelles qui sont réelles. Face à un phénomène qui semble ne pas avoir de limites, la loi sur la résilience opérationnelle numérique (DORA) fixe légalement les exigences à respecter par les établissements bancaires et d’assurance. Elle permet de renforcer la sécurité et maintient une bonne résilience numérique.
D’ici le 17 janvier 2025, un cadre contraignant et complet sera mis en place pour la gestion des risques liés aux technologies de l’information et de la communication (TIC) dans le secteur financier de l’UE. Mais aussi celle des tiers essentiels qui leur fournissent des services connexes, tels que les plateformes en nuage ou les services d’analyse de données. En d’autres termes, leurs principaux fournisseurs.
Ainsi, les fournisseurs de TIC jugés "critiques" par la Commission européenne seront directement surveillés par les autorités européennes de surveillance (AES). Comme les autorités compétentes, elles pourront exiger des mesures de sécurité et de remédiation, et sanctionner les fournisseurs qui ne s’y conforment pas.
Cette nouvelle réglementation implique que certains contrats, qui n’ont pas été analysés sous l’égide de l’Autorité bancaire européenne, devront être revus. Cela implique un travail important d’analyse des contrats en cours : d’une part, pour identifier les nouvelles clauses qui étaient déjà incluses dans les anciens contrats, et d’autre part, pour identifier les contrats qui devront être renégociés afin d’y inclure de nouvelles clauses. Cette nouvelle réglementation DORA est une avancée pour la sécurité des entreprises. Les cyber-attaques en provenance des fournisseurs, notamment lorsqu’ils sont de petite taille, représentent un danger qui n’était pas encore contrôlé.
Pour la plupart des entreprises, la loi DORA n’aura pas d’impact majeur car elles utilisent déjà des protocoles de sécurité pour améliorer la gestion des risques exposés. Toutefois, elles devront procéder à des tests de résilience supplémentaires en augmentant le nombre d’évaluations qu’elles effectuent, en affinant les méthodologies et en incorporant les meilleures pratiques en matière de contrôle et de surveillance des systèmes. Jusqu’ici tout va bien, mais une question se pose : les entreprises et leurs équipes sont-elles vraiment prêtes à auditer et à certifier leurs fournisseurs ?
Le contrôle pour mieux digitaliser
Dans les opérations d’achats du secteur financier et des assurances et, par extension, dans toute relation impliquant la gestion avec des fournisseurs, de nombreuses parties interviennent et les processus deviennent très complexes. Cela nécessite une évaluation permanente des risques, et les procédures manuelles et traditionnelles ne garantissent pas un contrôle efficace.
Face à ces tâches chronophages, répétitives et à faible valeur ajoutée, la technologie doit gagner du terrain. En plus de leur propre équipe de conseillers juridiques, les entreprises choisissent des partenaires externes spécialisés dans la gestion des risques et l’accréditation par le biais de plateformes innovantes, qui mesurent et qualifient les fournisseurs partout dans le monde à l’aide d’une cartographie des risques complète et diversifiée.
Selon une enquête organisée par Forsitis, 72% des grandes entreprises enregistrent et approuvent tous leurs fournisseurs. Un pourcentage qui tombe à 18 % dans celles dont le chiffre d’affaires est inférieur à 20 millions. Et parmi ces dernières, 8 sur 10 se limitent à l’enregistrement.
L’une des conclusions les plus inquiétantes de cette étude, réalisée il y a moins d’un an, est que 82 % des entreprises de moins de 20 millions d’euros ne contrôlent pas les risques de leurs fournisseurs, mais que 35 % des entreprises de plus de 100 millions d’euros ne le font pas non plus. Ces organisations mettent en danger l’entreprise elle- même.
Aujourd’hui, il est difficile d’imaginer un service achats efficace sans digitaliser. De nombreux directeurs dans le domaine trouvent indispensable de digitaliser les processus. Mais il faut encore convaincre la Direction générale d’investir rapidement. L’expérience a montré que les entreprises qui étaient déjà engagées sur la voie de la digitalisation ont mieux résisté à la crise de Covid et à la crise qu’ont subi les achats - notamment de matière premières - que celles qui ne l’étaient pas. Investir dans les nouvelles technologies signifie éliminer les tâches répétitives à faible valeur ajoutée. Les entreprises devraient consacrer 80 % de leur temps à des tâches stratégiques, à la recherche de nouvelles processus et outils qui, en fin de compte, apportent des économies, de la transparence, de la fiabilité et une bonne gestion des risques.
Finalement, ceux qui le font seront avantagés dans le nouveau scénario qui apportera la réglementation DORA pour les entreprises qui gèrent d’énormes volumes de données. Ce n’est qu’avec la technologie et, bien sûr, la conformité, qu’elles pourront protéger efficacement leurs clients contre la menace constante qui pèse sur leur sécurité.