Passer au contenu principal

Paiements

10 août 2023

 

Comprendre la vision de DORA pour un réseau financier résilient

Chef de file Steve Brown

Cyber & Renseignements

solutions, Mastercard

La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA) n'a pas été rédigée en pensant aux solutions d'un réseau de paiement mondial. Un simple coup d'œil à ses dispositions réglementaires suggère que cela aurait pu être le cas.

Il ne s'agit pas pour un réseau de paiement de se charger de la mise en conformité avec la loi DORA pour le compte des entités financières opérant au sein de son réseau. Il s'agirait d'une tâche ardue, même si l'accent était mis uniquement sur la résilience cybernétique. Il est d'autant plus important que le DORA couvre tous les risques opérationnels liés à l'information & technologies de la communication (TIC) et posés par l'interconnexion croissante des entités financières.

La suggestion note plutôt la position du DORA selon laquelle la résilience peut "en raison de son échelle et de ses effets, être mieux réalisée au niveau de l'Union [européenne]" et que les paiements sont "passés des méthodes en espèces et sur papier" à des solutions numériques. Le double objectif de DORA, à savoir l'échelle, à travers l'UE et au-delà, et la finance, notamment les paiements, s'aligne bien sur les activités existantes des réseaux de paiement mondiaux.

Par exemple, chez Mastercard, nous soutenons les entités financières en permettant des paiements et des transferts de données sécurisés dans le monde entier. Notre résilience opérationnelle numérique repose sur une combinaison d'authentification forte des clients, de quantification des risques, de simulation d'attaque &, de surveillance de l'exposition en ligne et d'évaluation des risques systémiques.

La combinaison est importante. Le DORA note que le secteur financier de l'UE est "réglementé par un règlement unique et régi par un système européen de surveillance financière", alors que "la résilience opérationnelle numérique et la sécurité des TIC ne sont pas encore totalement ou systématiquement harmonisées". L'appel explicite est celui d'un cadre harmonisé, mais la suggestion implicite est que les solutions devraient également être harmonisées. Les solutions d'un réseau de paiement peuvent aider les entités financières à atteindre ensemble cette harmonie.

Quatre piliers distincts, une solution "toujours disponible".

Les quatre piliers principaux de DORA appellent logiquement quatre solutions, et des produits dédiés existent pour chacun d'entre eux à des degrés divers. Mais la gestion des risques, la notification des incidents, les tests de résilience et les risques liés aux tiers ne fonctionnent pas indépendamment les uns des autres. Les fournisseurs de solutions de cybersécurité et d'autres risques opérationnels pourraient envisager de faire de même.

Les réseaux de paiement connaissent bien la nécessité d'être "toujours actifs" grâce au traitement de secours qu'ils fournissent aux banques pour répondre aux exigences d'authentification forte du client (SCA) pendant les pannes et les temps d'arrêt des banques.

Mais au-delà de l'authentification et de l'autorisation des paiements, les réseaux de paiement protègent également en permanence toutes les données sur leurs réseaux. Cette protection peut couvrir les transactions axées uniquement sur les cartes de crédit ou les paiements de compte à compte en temps réel, ou intégrer d'autres données financières via l'open banking ou, de plus en plus, la blockchain.

Les cycles continus de quantification des cyber-risques permettent aux réseaux de paiement de gérer les risques opérationnels auxquels sont exposés leurs réseaux multi-rails et les entités financières qu'ils desservent. Cette approche quantifiable du premier pilier de DORA permet à la cybersécurité de dépasser la mentalité du jeu d'arcade qui consiste à insérer des pièces de monnaie dans une fente pour endiguer un assaut incessant d'attaques. La personnalisation interne peut alors répondre aux besoins spécifiques de l'entreprise, tandis que la contextualisation externe fournit un soutien basé sur des menaces dynamiques en constante évolution.

Les tests de résilience par le biais de simulations d'attaques sur le site &  complètent la gestion des risques en reproduisant le comportement d'acteurs malveillants. Les simulations peuvent être exécutées en continu dans l'environnement de production d'une organisation afin de répondre au deuxième pilier de DORA, tandis que les activités de l'entreprise se poursuivent sans interruption. Ils peuvent également servir de système de validation continue pour contrôler l'efficacité des contrôles de sécurité. Les résultats fournissent des données améliorées pour la gestion des risques qui, à leur tour, alimentent d'autres tests de résilience dans des cycles vertueux. Les rapports résultant des tests continus peuvent ensuite alimenter les mécanismes de signalement d'incidents pour le troisième pilier de DORA, le cas échéant.

Le quatrième pilier, le risque pour les tiers, vient après la gestion des risques, le signalement des incidents et les tests de résilience dans le DORA. Cette position ne semble pas être le reflet d'une importance, mais plutôt une reconnaissance de la manière dont elle sous-tend les trois autres piliers de l'écosystème financier.

Plusieurs entités financières, un seul écosystème financier

& Le risque lié aux tiers est considéré comme le plus difficile des quatre principaux piliers du DORA dans une enquête parrainée par Mastercard auprès des équipes chargées des risques liés aux technologies de l'information et de la communication (TIC) dans 20 entités financières de 20 pays de l'UE entre novembre 2022 et février 2023.

Le défi résulte du besoin émergent de résilience de l'écosystème alors que le risque de tiers passe d'une mentalité "moi contre eux" à un "nous" collectif qui sous-tend tous les autres aspects de la cybersécurité. L'objectif principal de DORA est d'assurer la résilience des écosystèmes dans l'UE et, idéalement, dans le monde entier.

D'un point de vue global, le DORA n'exige pas la localisation des données en ce qui concerne le traitement des données entrant et sortant de l'UE. Cependant, la loi DORA n'est pas à l'abri de l'"effet Bruxelles", qui désigne l'impact de la législation de l'UE au-delà de ses frontières géographiques.

En ce qui concerne plus spécifiquement le DORA lui-même et le risque pour les tiers, les articles 36 et 44 traitent des activités des autorités de contrôle européennes "en dehors de l'Union" et de l'élaboration de bonnes pratiques par le biais de la "coopération internationale".

La portée signifie que la capacité des entités financières à traiter les DORA dépend des solutions holistiques proposées par les fournisseurs, tels que les réseaux de paiement mondiaux, avec des partenariats couvrant l'ensemble de l'écosystème financier. Le cercle vertueux de la gestion des risques et de la résilience peut ensuite bénéficier des économies d'échelle associées à un écosystème financier riche en relations avec des tiers. Des approches spécifiques du risque de tiers, telles que la surveillance de l'exposition en ligne et du risque systémique, complètent l'approche par réseau.

La lettre de la loi contre l'esprit de la loi

La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act) semble beaucoup plus accessible sous son acronyme personnalisable DORA. Les entités financières de l'UE et d'ailleurs devront bien connaître le DORA d'ici janvier 2025, date à laquelle l'application entrera en vigueur.

L'enquête commanditée par Mastercard suggère que les entités financières commenceront la mise en œuvre de la conformité à la mi-2023, après avoir évalué les lacunes. Un ensemble complet ou "harmonisé" de solutions devrait les aider à arriver à temps.

Mais cette aide devrait aller au-delà de la simple fourniture de solutions connectées pour répondre aux besoins de conformité. La loi DORA ne dépend pas seulement du respect de la lettre de la loi par les entités financières individuelles. Elle dépend également de la reconnaissance par les entités financières de la nécessité de se regrouper au sein de l'écosystème financier dans le cadre d'une approche en réseau.

Sans ce réseau, il y aura probablement une déconnexion. Un résultat ironique pour un acte conçu pour répondre à un monde interconnecté.