Mark Nutt, Senior Vice President, International Sales chez Veritas Technologies
Lorsque l'accès fiable aux données d’une organisation est dégradé, par des actions malveillantes ou involontaires, l'impact négatif sur la réputation et les opérations peut être désastreux. C’est particulièrement vrai pour les secteurs qui dépendent de données transactionnelles en temps réel, comme l’industrie de la finance.
Une étude récente de Invenio IT révélé que trois fournisseurs de services financiers sur cinq (64 %) a été touchée par des attaques de ransomware l'année dernière. En raison de la quantité de données critiques et sensibles que ces organisations détiennent, les dommages potentiels d'une telle attaque représentent un risque majeur.
C’est notamment pour cette raison que les gouvernements du monde entier renforcent, à juste titre, les obligations de cyberrésilience pour les secteurs critiques par l'introduction de nouvelles exigences légales. En imposant des contraintes et, en cas de non-respect de ces réglementations des amandes élevées, l'objectif est d'éviter la propagation des dommages à des pans entiers de l’économie.
En Europe, l'introduction récente d'un grand nombre de nouvelles directives, notamment NIS2 (Network and Information Services version 2), CER (Critical Entities Resiliency) et DORA (Digital Operational Resiliency Act), marque un changement de paradigme vers une gestion des risques activement encadrée par les gouvernements.
La norme NIS2 exige des dispositions spécifiques en matière de communication et de signalement des incidents. Elle souligne également l'importance des chaînes d'approvisionnement sécurisées certifiées pour protéger un écosystème numérique. La non-conformité peut entraîner des pénalités allant jusqu'à 2 % du chiffre d'affaires.
Les nouvelles règles relatives à la résilience des entités critiques (CER) constituent une évolution importante pour les secteurs tels que l'énergie, les transports, les banques et les infrastructures numériques, et sont spécifiquement conçues pour incarner les stratégies nationales en matière de cybersécurité. Toutes les entités critiques sont tenues d'informer les autorités en cas de violation, sous peine de lourdes sanctions.
La loi DORA a été publiée dans le but de renforcer la cyberrésilience du marché financier. Toutes les institutions financières - y compris les banques, les compagnies d'assurance, les organismes de paiement et de crédit et les prestataires de services – devront être en conformité d'ici au mois de janvier de l'année prochaine. Le texte qui en définit ses contours mentionne 60 fois le mot « récupération » donnant ainsi une place importante aux solutions de sauvegarde.
Pour s’y conformer, le secteur financier doit mettre en place des plans de réponse complets, régulièrement testés, et clairement communiqués à toutes les parties prenantes clés. Ce sont les conditions nécessaires pour réagir rapidement et efficacement en cas d’attaque.
En regard de la loi DORA, les entreprises qui opèrent dans l'UE devront être en mesure de prouver qu'elles peuvent restaurer les sauvegardes sur un support physiquement et logiquement distinct de la source, et que les sauvegardes sont protégées contre les accès non autorisés et la corruption (immuables).
Le système de sauvegarde étant l'une des cibles de choix lors d’une attaque. Les entités réglementées par la loi DORA doivent être en mesure de démontrer les mesures de protection mises en place et donc utiliser des solutions qui répondent aux exigences strictes du secteur financier, afin que la documentation soit facilement disponible en cas d'audit.
Les préparatifs devraient déjà être bien avancés pour les organisations de services financiers qui se préparent à l'entrée en vigueur de la loi DORA en janvier prochain. Toutefois, celles qui ont pris du retard devraient lancer dès que possible un projet interne de mise en conformité. Ce projet devrait inclure le cadrage, l'analyse des écarts, la validation des processus et la validation des rapports. Comprendre pleinement le règlement et la manière dont une organisation peut être affectée est la première étape vers la mise en conformité.
Pour les entreprises du secteur financier qui ne sont pas immédiatement concernées, la nouvelle réglementation n’est pas anodine. Ces nouvelles exigences sont le reflet d’un environnement cyber dans lequel des attaques ont lieu tous les jours et les incidents majeurs sont de plus en plus fréquents.
La mise en œuvre des recommandations édictées par la loi peut considérablement accroître la résilience cybernétique d'une organisation et garantir que les précieuses données des services financiers sont mieux protégées contre les attaquants. C'est pourquoi investir dans une approche proactive peut aider les organisations financières à garder une longueur d'avance, d’autant plus qu’il y a fort à parier que la loi évoluera.