Passer au contenu principal

Paiements

10 août 2023

 

Comprendre la vision de DORA pour un réseau financier résilient

Rôle principal : Steve Brown

Cyber et intelligence

solutions, Mastercard

La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA) n'a pas été rédigée en pensant aux solutions d'un réseau de paiement mondial. Un simple coup d'œil à ses dispositions réglementaires suggère que cela aurait pu être le cas.

Il n’est pas suggéré qu’un réseau de paiement assume la conformité à la DORA au nom d’entités financières opérant au sein de son réseau. Ce serait un défi de taille, même si l’accent était mis uniquement sur la cyber-résilience. Il est encore plus élevé par la couverture par DORA de tous les risques opérationnels associés aux technologies de l’information et des communications (TIC) et posés par l’interconnexion croissante des entités financières.

La suggestion note plutôt la position de DORA selon laquelle la résilience pourrait « en raison de son ampleur et de ses effets, être mieux atteinte au niveau de l’Union [européenne] » et que les paiements sont « passés de méthodes basées sur l’argent liquide et le papier » à des solutions numériques. Le double objectif de DORA sur l’échelle, dans l’UE et au-delà, et sur la finance, notamment les paiements, s’aligne bien avec les activités existantes des réseaux de paiement mondiaux.

Par exemple, chez Mastercard, nous soutenons les entités financières en permettant des paiements et des transferts de données sécurisés dans le monde entier. Notre résilience opérationnelle numérique s’appuie sur une combinaison d’authentification forte des clients, de quantification des risques, de simulation de violation et d’attaque, de surveillance de l’exposition en ligne et d’évaluation du risque systémique.

La combinaison est importante. DORA note que le secteur financier de l’UE est « réglementé par un règlement unique et régi par un système européen de surveillance financière », tandis que « la résilience opérationnelle numérique et la sécurité des TIC ne sont pas encore entièrement ou systématiquement harmonisées ». L’appel explicite est en faveur d’un cadre harmonisé, mais la suggestion implicite est que les solutions devraient également être harmonisées. Les solutions d’un réseau de paiement peuvent aider les entités financières à atteindre cette harmonie ensemble.

Quatre piliers distincts, une solution "toujours disponible".

Les quatre piliers principaux de DORA appellent logiquement quatre solutions, et des produits dédiés existent pour chacune d’entre elles à des degrés divers. Mais la gestion des risques, le signalement des incidents, les tests de résilience et le risque lié aux tiers ne fonctionnent pas indépendamment les uns des autres. DORA les aborde ensemble sans interruption pour une bonne raison ; Les fournisseurs de solutions de cybersécurité et d’autres solutions de gestion des risques opérationnels pourraient envisager de faire de même.

Les réseaux de paiement connaissent parfaitement la nécessité d’être « toujours actifs » grâce au traitement de remplacement qu’ils fournissent aux banques pour répondre aux exigences d’authentification forte du client (SCA) pendant les pannes et les temps d’arrêt des banques.

Mais au-delà de l'authentification et de l'autorisation des paiements, les réseaux de paiement protègent également en permanence toutes les données sur leurs réseaux. Cette protection peut couvrir les transactions axées uniquement sur les cartes de crédit ou les paiements de compte à compte en temps réel, ou intégrer d'autres données financières via l'open banking ou, de plus en plus, la blockchain.

Les cycles continus de quantification des cyber-risques permettent aux réseaux de paiement de gérer les risques opérationnels liés à leurs réseaux multi-ferroviaires et à ceux auxquels sont confrontées les entités financières qu’ils servent. Cette approche quantifiable du premier pilier de DORA va au-delà d’une mentalité de jeu d’arcade consistant à brancher de manière réactive des pièces sur un créneau pour endiguer un assaut incessant d’attaques. La personnalisation interne peut alors répondre à des besoins spécifiques de l’entreprise, tandis que la contextualisation externe fournit un soutien basé sur des menaces dynamiques en constante évolution.

Les tests de résilience via des simulations de brèches et d’attaques complètent la gestion des risques en imitant le comportement des acteurs malveillants. Les simulations peuvent s’exécuter en continu dans l’environnement de production d’une organisation pour répondre au deuxième pilier de DORA pendant que les opérations commerciales se poursuivent sans interruption. Ils peuvent également servir de système de validation continue qui surveille l’efficacité des contrôles de sécurité. Les résultats fournissent des données améliorées pour la gestion des risques qui, à leur tour, alimentent d’autres tests de résilience dans les cycles vertueux. Les rapports résultant des tests continus peuvent ensuite alimenter les mécanismes de signalement des incidents pour le troisième pilier de DORA, au besoin.

Le quatrième pilier, le risque lié aux tiers, vient après la gestion des risques, le signalement des incidents et les tests de résilience dans DORA. Cette position ne semble pas être le reflet de l’importance, mais plutôt une reconnaissance de la façon dont elle sous-tend les trois autres piliers d’un écosystème financier.

De nombreuses entités financières, un seul écosystème financier

Le risque lié aux tiers est considéré comme le plus difficile des quatre principaux piliers de DORA dans une enquête menée par Mastercard auprès des équipes de gestion des risques liés aux technologies de l’information et de la communication (TIC) de 20 entités financières dans 20 pays de l’UE entre novembre 2022 et février 2023.

Le défi résulte du besoin émergent de résilience de l’écosystème, alors que le risque lié aux tiers passe d’une mentalité de « moi contre eux » à un « nous » collectif qui sous-tend tous les autres aspects de la cybersécurité. L’objectif principal de DORA est d’assurer la résilience de cet écosystème dans l’UE et, idéalement, dans le monde entier.

D'un point de vue global, le DORA n'exige pas la localisation des données en ce qui concerne le traitement des données entrant et sortant de l'UE. Cependant, DORA n'est pas à l'abri de "l'effet Bruxelles", qui désigne l'impact de la législation de l'UE au-delà de ses frontières géographiques.

Plus précisément, en ce qui concerne la DORA elle-même et le risque de tiers, les articles 36 et 44 traitent des activités des autorités de surveillance européennes « en dehors de l’Union » et du développement des meilleures pratiques par le biais de la « coopération internationale ».

Le champ d’application signifie que la capacité des entités financières à répondre à la DORA dépend des solutions holistiques des fournisseurs, tels que les réseaux de paiement mondiaux, avec des partenariats couvrant l’ensemble de l’écosystème financier. Le cercle vertueux de la gestion des risques et de la résilience peut alors bénéficier davantage des économies d’échelle associées à un écosystème financier rempli de relations inhérentes avec des tiers. Des approches spécifiques au risque lié aux tiers, telles que la surveillance de l’exposition en ligne et du risque systémique, complètent l’approche réseau.

La lettre de la loi contre l’esprit de la loi

La loi sur la résilience opérationnelle numérique semble beaucoup plus accessible sous son acronyme DORA. Les entités financières de l’UE et d’ailleurs devront bien connaître DORA d’ici janvier 2025, lorsque l’application sera mise en vigueur.

L’enquête parrainée par Mastercard suggère que les entités financières commenceront la mise en œuvre de la conformité à la mi-2023, après avoir terminé les évaluations des écarts. Un ensemble complet ou « harmonisé » de solutions devrait les aider à arriver à temps.

Cependant, cette aide devrait aller au-delà de la simple fourniture de solutions connectées pour répondre aux besoins de conformité. La loi DORA ne dépend pas seulement du respect de la lettre de la loi par les entités financières individuelles. Elle dépend également de la reconnaissance par les entités financières de la nécessité de se regrouper au sein de l'écosystème financier dans le cadre d'une approche en réseau.

Sans ce réseau, il y aura probablement une déconnexion. Ironie du sort pour un acte conçu pour répondre à un monde interconnecté.