Passer au contenu principal

Paiements

10 août 2023

 

Comprendre la vision de DORA pour un réseau financier résilient

Rôle principal : Steve Brown

Cyber et intelligence

solutions, Mastercard

Le Digital Operational Resilience Act (DORA) n’a pas été rédigé en pensant aux solutions d’un réseau de paiement mondial. Un coup d’œil à ses dispositions réglementaires suggère qu’il aurait tout aussi bien pu l’être.

Il n’est pas suggéré qu’un réseau de paiement assume la conformité à la DORA au nom d’entités financières opérant au sein de son réseau. Ce serait un défi de taille, même si l’accent était mis uniquement sur la cyber-résilience. Il est encore plus élevé par la couverture par DORA de tous les risques opérationnels associés aux technologies de l’information et des communications (TIC) et posés par l’interconnexion croissante des entités financières.

La suggestion note plutôt la position du DORA selon laquelle la résilience peut "en raison de son échelle et de ses effets, être mieux réalisée au niveau de l'Union [européenne]" et que les paiements sont "passés des méthodes en espèces et sur papier" à des solutions numériques. Le double objectif de DORA, à savoir l'échelle, à travers l'UE et au-delà, et la finance, notamment les paiements, s'aligne bien sur les activités existantes des réseaux de paiement mondiaux.

Par exemple, chez Mastercard, nous soutenons les entités financières en permettant des paiements et des transferts de données sécurisés dans le monde entier. Notre résilience opérationnelle numérique s’appuie sur une combinaison d’authentification forte des clients, de quantification des risques, de simulation de violation et d’attaque, de surveillance de l’exposition en ligne et d’évaluation du risque systémique.

La combinaison est importante. DORA note que le secteur financier de l’UE est « réglementé par un règlement unique et régi par un système européen de surveillance financière », tandis que « la résilience opérationnelle numérique et la sécurité des TIC ne sont pas encore entièrement ou systématiquement harmonisées ». L’appel explicite est en faveur d’un cadre harmonisé, mais la suggestion implicite est que les solutions devraient également être harmonisées. Les solutions d’un réseau de paiement peuvent aider les entités financières à atteindre cette harmonie ensemble.

Quatre piliers distincts, une solution « toujours active »

Les quatre piliers principaux de DORA appellent logiquement quatre solutions, et des produits dédiés existent pour chacune d’entre elles à des degrés divers. Mais la gestion des risques, le signalement des incidents, les tests de résilience et le risque lié aux tiers ne fonctionnent pas indépendamment les uns des autres. DORA les aborde ensemble sans interruption pour une bonne raison ; Les fournisseurs de solutions de cybersécurité et d’autres solutions de gestion des risques opérationnels pourraient envisager de faire de même.

Les réseaux de paiement connaissent parfaitement la nécessité d’être « toujours actifs » grâce au traitement de remplacement qu’ils fournissent aux banques pour répondre aux exigences d’authentification forte du client (SCA) pendant les pannes et les temps d’arrêt des banques.

Mais au-delà de l’authentification et de l’autorisation des paiements, les réseaux de paiement protègent également en permanence toutes les données qui se trouvent sur leurs réseaux. Cette protection peut couvrir les transactions axées uniquement sur les paiements par carte de crédit ou les paiements de compte à compte en temps réel, ou elle peut intégrer d’autres données financières par le biais de l’open banking ou, de plus en plus, de la blockchain.

Les cycles continus de quantification des cyber-risques permettent aux réseaux de paiement de gérer les risques opérationnels liés à leurs réseaux multi-ferroviaires et à ceux auxquels sont confrontées les entités financières qu’ils servent. Cette approche quantifiable du premier pilier de DORA va au-delà d’une mentalité de jeu d’arcade consistant à brancher de manière réactive des pièces sur un créneau pour endiguer un assaut incessant d’attaques. La personnalisation interne peut alors répondre à des besoins spécifiques de l’entreprise, tandis que la contextualisation externe fournit un soutien basé sur des menaces dynamiques en constante évolution.

Les tests de résilience via des simulations de brèches et d’attaques complètent la gestion des risques en imitant le comportement des acteurs malveillants. Les simulations peuvent s’exécuter en continu dans l’environnement de production d’une organisation pour répondre au deuxième pilier de DORA pendant que les opérations commerciales se poursuivent sans interruption. Ils peuvent également servir de système de validation continue qui surveille l’efficacité des contrôles de sécurité. Les résultats fournissent des données améliorées pour la gestion des risques qui, à leur tour, alimentent d’autres tests de résilience dans les cycles vertueux. Les rapports résultant des tests continus peuvent ensuite alimenter les mécanismes de signalement des incidents pour le troisième pilier de DORA, au besoin.

Le quatrième pilier, le risque lié aux tiers, vient après la gestion des risques, le signalement des incidents et les tests de résilience dans DORA. Cette position ne semble pas être le reflet de l’importance, mais plutôt une reconnaissance de la façon dont elle sous-tend les trois autres piliers d’un écosystème financier.

De nombreuses entités financières, un seul écosystème financier

Le risque lié aux tiers est considéré comme le plus difficile des quatre principaux piliers de DORA dans une enquête menée par Mastercard auprès des équipes de gestion des risques liés aux technologies de l’information et de la communication (TIC) de 20 entités financières dans 20 pays de l’UE entre novembre 2022 et février 2023.

Le défi résulte du besoin émergent de résilience de l’écosystème, alors que le risque lié aux tiers passe d’une mentalité de « moi contre eux » à un « nous » collectif qui sous-tend tous les autres aspects de la cybersécurité. L’objectif principal de DORA est d’assurer la résilience de cet écosystème dans l’UE et, idéalement, dans le monde entier.

D’un point de vue mondial, DORA n’exige pas la localisation des données pour le traitement des données entrant et sortant de l’UE. Pourtant, DORA n’est pas à l’abri de « l’effet Bruxelles », qui fait référence à l’impact de la législation de l’UE au-delà de ses frontières géographiques.

Plus précisément, en ce qui concerne la DORA elle-même et le risque de tiers, les articles 36 et 44 traitent des activités des autorités de surveillance européennes « en dehors de l’Union » et du développement des meilleures pratiques par le biais de la « coopération internationale ».

La portée signifie que la capacité des entités financières à traiter les DORA dépend des solutions holistiques proposées par les fournisseurs, tels que les réseaux de paiement mondiaux, avec des partenariats couvrant l'ensemble de l'écosystème financier. Le cercle vertueux de la gestion des risques et de la résilience peut ensuite bénéficier des économies d'échelle associées à un écosystème financier riche en relations avec des tiers. Des approches spécifiques du risque de tiers, telles que la surveillance de l'exposition en ligne et du risque systémique, complètent l'approche par réseau.

La lettre de la loi contre l’esprit de la loi

La loi sur la résilience opérationnelle numérique semble beaucoup plus accessible sous son acronyme DORA. Les entités financières de l’UE et d’ailleurs devront bien connaître DORA d’ici janvier 2025, lorsque l’application sera mise en vigueur.

L'enquête commanditée par Mastercard suggère que les entités financières commenceront la mise en œuvre de la conformité à la mi-2023, après avoir évalué les lacunes. Un ensemble complet ou "harmonisé" de solutions devrait les aider à arriver à temps.

Pourtant, cette aide doit aller au-delà de la simple fourniture de solutions connectées pour répondre aux besoins de conformité. DORA dépend de plus que le respect de la lettre de la loi par des entités financières individuelles. Cela dépend également de la reconnaissance par les entités financières de la nécessité de se rassembler dans l’ensemble de l’écosystème financier par le biais d’une approche en réseau.

Sans ce réseau, il y aura probablement une déconnexion. Ironie du sort pour un acte conçu pour répondre à un monde interconnecté.