Le secteur financier aura de nouvelles obligations de cybersécurité en 2025

Le secteur financier aura de nouvelles obligations de cybersécurité en 2025 L'Union européenne franchit une nouvelle étape en matière de cybersécurité, imposant des mesures rigoureuses aux institutions financières et à leurs partenaires technologiques.

À partir de janvier 2025, le secteur financier européen sera soumis à des obligations inédites en matière de cybersécurité avec l'entrée en vigueur du règlement DORA. Conçu pour renforcer la résilience opérationnelle numérique, ce cadre législatif impose aux institutions financières et à leurs prestataires des normes strictes, visant à sécuriser l'ensemble de l'écosystème financier face aux menaces croissantes de cyberattaques. Ce texte impose une transformation profonde des pratiques en matière de gestion des risques liés aux technologies de l'information et de la communication (TIC), avec des exigences de conformité qui concernent l'ensemble de la chaîne de sous-traitance.

Un cadre réglementaire renforcé pour une résilience opérationnelle accrue

Le règlement DORA (Digital Operational Resilience Act) impose aux entreprises du secteur financier des obligations rigoureuses pour garantir leur résilience face aux cybermenaces. Ce texte introduit une série de mesures destinées à sécuriser les infrastructures numériques critiques, en particulier dans un contexte où les cyberattaques se multiplient et deviennent de plus en plus sophistiquées.

Selon un rapport publié par les Autorités Européennes de Surveillance (AES) en fin 2023, 1.600 entreprises financières européennes dépendent d'environ 15.000 prestataires informatiques, dont 9.000 sont considérés comme ayant des fonctions critiques ou importantes. Ce réseau complexe de sous-traitants souligne l'importance de la traçabilité et de la gestion des risques au sein de la chaîne logistique numérique.

"Aujourd'hui, les systèmes sont tellement interconnectés que même un problème chez un sous-traitant d'un de mes prestataires peut impacter mon système", a déclaré Victor Raffour, directeur général adjoint d'Aleph Networks, cité par Les Echos. Cette interconnexion croissante entre les systèmes expose les entreprises à des risques accrus, justifiant ainsi les exigences strictes du règlement DORA.

Des exigences spécifiques pour les prestataires critiques

Une des particularités du règlement DORA est l'accent mis sur les prestataires de services TIC considérés comme critiques pour le secteur financier. Ces entreprises seront désormais soumises à une surveillance directe par les Autorités Européennes de Surveillance, regroupant notamment les superviseurs bancaires, ceux du secteur de l'assurance et des marchés financiers.

Marc-Antoine Ledieu, avocat spécialiste en droit du numérique, a comparé la mise en conformité exigée par DORA à un "chantier gigantesque". Il évoque les coûts de mise en conformité qui pourraient atteindre de 5 à 15 millions d'euros pour les grandes institutions, avec des estimations de coûts totaux pouvant grimper jusqu'à 100 millions d'euros pour les projets les plus ambitieux. "La stratégie, la planification, la conception et l'orchestration" de ces programmes représentent un investissement massif, mais essentiel pour protéger le secteur financier.

Pour les entreprises de plus petite taille, ces obligations pourraient représenter un fardeau disproportionné. Cependant, le règlement DORA prévoit un principe de proportionnalité qui permet à certaines de ces entités de bénéficier d'un régime simplifié, voire d'être exemptées de certaines obligations, afin de ne pas pénaliser les structures les moins robustes.

Un calendrier serré et des incertitudes persistantes

Alors que la date butoir de janvier 2025 approche, de nombreuses institutions financières expriment des inquiétudes quant à leur capacité à respecter le calendrier imposé par le règlement DORA. Certaines normes techniques, indispensables pour orienter la mise en conformité, n'ont été finalisées que récemment, ce qui complique la tâche des entreprises concernées.

Un rapport du cabinet McKinsey publié en juin 2023 souligne le manque de clarté persistant autour de certaines obligations, notamment concernant l'identification des prestataires critiques. Le rapport précise également que "beaucoup de monde est à la traîne", une situation préoccupante pour un secteur aussi vital que celui des services financiers.

Le coût et la complexité de cette mise en conformité sont également des sources de tension. Pour un prestataire de services TIC, même de taille modeste, les coûts de mise en conformité peuvent atteindre 200.000 euros. Marc-Antoine Ledieu ajoute que ce "travail de cartographie immense" devra être entretenu en permanence, générant ainsi des coûts supplémentaires au fil du temps.