L'entrée en vigueur de Dora peut-elle donner un coup de pouce au cloud de confiance ?
En un an, les cyberattaques ont encore augmenté de 15%, selon l'Anssi. Alors que les risques informatiques ne cessent de croître, le règlement Dora (pour Digital Operational Resilience Act), qui entre en vigueur ce vendredi 17 janvier, a pour but de renforcer la cybersécurité des établissements financiers et leur gestion des risques informatiques.
"De la banque en ligne aux paiements mobiles, presque tous les aspects de notre vie financière reposent sur des systèmes numériques. Cette dépendance a apporté un confort incroyable, mais elle signifie aussi que toute perturbation, qu'elle soit due à des cyberattaques, à des pannes de système ou à des incidents opérationnels, peut avoir de graves conséquences", affirme Madelein van der Hout, analyste senior chez Forrester.
Le règlement Dora repose sur quatre grands piliers. La mise en place d'un dispositif de gestion des risques liés au numérique, d'abord. Un mécanisme qui requiert des entreprises qu'elles démontrent leur habilité à comprendre de manière approfondie ces risques et à disposer de stratégies efficaces pour les gérer. La prise en compte des fournisseurs de services numériques, ensuite : Les obligations mises en place par Dora s'appliquent également aux tiers, comme les fournisseurs de cloud et autres prestataires technologiques.
Les entreprises financières ont aussi désormais pour obligation d'effectuer des tests réguliers pour mesurer leur vulnérabilité, leur capacité de gestion de crise et de reprise après sinistre. Enfin, Dora impose également aux entreprises qu'elles classifient les incidents en fonction de leur gravité, signalent les incidents majeurs aux autorités compétentes dans des délais stricts, et partagent des informations sur les menaces et les vulnérabilités avec d'autres acteurs du secteur.
Favoriser le cloud de confiance
Le cloud de confiance, défini en France par la qualification SecNumCloud délivrée par l'Anssi, vise notamment à répondre aux craintes que fait peser la domination des géants technologiques américains en matière de souveraineté sur le cloud, du fait de l'existence de lois américaines comme le Cloud Act. Huit solutions sont à ce jour qualifiées SecNumCloud, dont OVHCloud, CloudTemple et Oodrive. Plusieurs solutions supplémentaires sont en cours de certification, parmi lesquels S3NS (coentreprise portée par Thales et Google), NumSpot (Docaposte, Banque des Territoires, Dassault Systèmes et Bouygues Telecom) et Bleu (Orange et Capgemini en partenariat avec Microsoft).
"L'article 24 de Dora exige la mise en place de tests de résilience, qui constituent une condition nécessaire pour obtenir la certification SecNumCloud"
Plusieurs éléments présents dans la réglementation Dora pourraient convaincre davantage d'entreprises financières de se tourner vers ce type de solutions. D'abord, le choix d'un cloud de confiance permettrait aux entreprises concernées d'économiser sur leurs coûts opérationnels en externalisant une partie des opérations de sécurité requises par Dora à leur fournisseur de cloud, tout en s'assurant que celui-ci répond lui-même aux exigences de Dora en matière de confidentialité et de sécurité grâce à la certification SecNumCloud.
"L'article 24 de Dora exige la mise en place de tests de résilience, qui constituent une condition nécessaire pour obtenir la certification SecNumCloud", précise Jean Atmé, responsable commercial du secteur banque et assurance chez NumSpot. "La qualification implique également un cloisonnement des réseaux, qui permet une meilleure protection des données."
Le cloud de confiance a également pour caractéristique de fournir des accès clairement définis et contrôlés aux clients, ce qui répond également aux exigences mises en place par Dora quant au contrôle total sur la chaîne des prestataires de services externes qui ont accès aux systèmes d'information des clients et aux données des institutions financières.
"Dora met l'accent sur le contrôle des données dans le secteur financier, en introduisant des auditeurs locaux et des exigences strictes en matière de gestion des risques liés aux TIC. Ces mesures peuvent encourager les institutions financières à adopter des solutions de cloud basées dans l'UE qui s'alignent sur les besoins de conformité et stimulent la souveraineté des données", estime Madelein van der Hout.
La directive promeut en outre une culture agnostique, de portabilité et d'interopérabilité des clouds, ce qui peut là encore favoriser l'adoption de solutions souveraines, qui offrent davantage de flexibilité et de contrôle sur les données.
Enfin, SecNumCloud offre une protection contre les lois extraterritoriales américaines. Or, "Dora ne parle pas directement d'extraterritorialité, mais impose un maximum de visibilité sur les sous-traitants et l'accès aux données par ces tiers. Les mesures techniques et juridiques pour offrir une protection sur l'extraterritorialité présentes dans SecNumCloud offrent à cet égard de meilleures garanties que ce que l'on peut trouver chez les hyperscalers", affirme Jean Atmé.
Un impact qui reste pour l'heure limité
Pour Eric Le Quellenec, avocat chez Simmons & Simmons spécialisé dans les technologies du numérique, Dora ne contenant pas d'éléments faisant directement appel à la souveraineté du cloud, il n'a pas encore conduit les institutions financières à se ruer en masse vers les solutions certifiées SecNumCloud. Cela pourrait toutefois changer avec l'implication du régulateur. "Je n'ai pour l'heure pas vu d'évolution majeure à ce niveau-là. La grande inconnue repose sur les futures recommandations que donnera le régulateur français (l'AMF pour les banques, l'ACPR pour les assureurs, ndlr) vis-à-vis de Dora. S'il juge par exemple qu'il y a un problème de compatibilité entre les solutions de Google, Microsoft et Amazon, et l'esprit de Dora, qu'il faut donc aller vers des solutions plus régionalisées sur l'UE, là, l'impact pourrait être significatif", estime l'avocat.
"Se poserait aussi alors la question du niveau de granularité et d'étanchéité imposés par le régulateur : quand on régionalise aujourd'hui, on parle surtout de l'hébergement principal, qui est souvent reterritorialisé, mais la maintenance peut venir de l'extérieur et ouvrir ainsi une brèche favorable aux lois extraterritoriales américaines. C'est tout l'objet de SecNumCloud que évite ce genre de vulnérabilité. Il faudra voir ce que dit le régulateur à cet égard, mais quand on voit que l'EUCS piétine au niveau européen, ce n'est guère encourageant."
Dora a cependant d'ores et déjà eu le mérite de conduire les acteurs du cloud américain à davantage ouvrir leurs systèmes aux clients européens souhaitant enquêter sur un incident cyber. "Les clients et régulateurs européens peuvent désormais demander d'effectuer un audit sans limitations, notamment suite à une cyberattaque et l'obtenir facilement, là où les acteurs du cloud avaient auparavant tendance à pinailler", affirme pour finir l'avocat.