Esci
Date de publication : 20.11.2024
DORA et NIS2 : la nouvelle frontière de la cybersécurité en Europe
La numérisation croissante a créé de nombreuses opportunités, ainsi que des risques importants, notamment en matière de cybersécurité.
Les cyberattaques se sont multipliées de façon spectaculaire et le secteur financier se distingue parmi les secteurs les plus touchés. Ce scénario est particulièrement grave puisque ces institutions gèrent des informations sensibles et des transactions de grande valeur. Ainsi, elles deviennent des cibles privilégiées pour les cybercriminels, mettant en évidence la vulnérabilité des infrastructures actuelles.
L'évolution des cybermenaces
L'évolution des cybermenaces
Un facteur de risque est l’utilisation croissante d’outils d’intelligence artificielle générative par les attaquants. L’IA générative permet d’automatiser et de sophistiquer les tentatives d’intrusion, comme dans le cas de malwares avancés ou de campagnes de phishing personnalisées, augmentant ainsi la difficulté de défense des entreprises. Malgré l’augmentation des dépenses et la prise de conscience croissante des risques, l’écart entre les défenses existantes et les nouvelles capacités offensives des cybercriminels continue de se creuser.
Dans un contexte de cyberattaques en constante augmentation, la résilience numérique et la cybersécurité apparaissent comme des éléments essentiels pour protéger le secteur financier et prévenir les impacts négatifs sur les clients et partenaires.
Nouvelles réglementations et objectifs
Nouvelles réglementations et objectifs
L’Union européenne a reconnu la nécessité d’accroître la capacité de résilience et de réponse à ces risques en entreprenant un processus de mise à jour de la réglementation. Cela a conduit à l’adoption de la directive (UE) 2022/2555 et du règlement (UE) 2022/2554, respectivement connus sous le nom de NIS2 et DORA. L’objectif du législateur européen est d’introduire un véritable cadre réglementaire régissant la sécurité informatique, afin de gérer et d’atténuer les incidents informatiques tant au sein de l’organisation que chez les fournisseurs stratégiques.
NIS2 : un nouveau cadre pour la cybersécurité
NIS2 : un nouveau cadre pour la cybersécurité
La directive NIS2 met à jour la précédente directive NIS de 2016 avec une perspective évolutive en ce qui concerne le niveau croissant de numérisation et l’évolution du panorama des cybermenaces. Il marque une étape importante vers le renforcement de la cybersécurité dans l’Union européenne et vise à consolider un cadre unitaire, comblant les écarts entre les États membres mis en évidence par la première directive NIS.
NIS2 étend le champ d’application des règles à de nouveaux secteurs et types d’entités dans le but d’améliorer la résilience et la capacité de réponse aux incidents de sécurité pour les entités publiques et privées. Parmi les principales nouveautés, les États membres devraient disposer d’équipes spécialisées de réponse aux incidents et d’une autorité nationale compétente. En outre, la directive promeut une coopération plus étroite entre les États et encourage l’adoption de mesures de sécurité dans des secteurs critiques tels que l’énergie, les transports, la finance, la santé, la gestion des déchets et les infrastructures numériques. Les entreprises et les opérateurs essentiels, tels que les fournisseurs de services cloud et les places de marché en ligne, seront tenus de se conformer à des normes de sécurité rigoureuses et de notifier rapidement tout incident important, en fournissant une alerte précoce dans les 24 heures et une notification mise à jour dans les 72 heures.
Mais que risquent les entreprises qui ne respectent pas les nouvelles prévisions ? NIS2 a sans doute accru les pouvoirs attribués aux autorités compétentes qui pourront imposer diverses sanctions administratives selon que l’opérateur est classé comme essentiel ou important.
DORA : gestion des risques Technologies de l’Information et de la Communication (TIC)
DORA : gestion des risques Technologies de l’Information et de la Communication (TIC)
Le règlement DORA poursuit deux objectifs principaux :
- gérer les risques liés aux TIC dans le secteur financier,
- harmoniser les réglementations existantes dans les différents États membres de l’UE.
Avec DORA, l’Union européenne souhaite introduire un cadre unique pour la gestion des risques liés aux TIC, éliminant les conflits entre les réglementations nationales et garantissant une plus grande résilience et uniformité entre tous les opérateurs du secteur.
Les conséquences du règlement sont importantes sur plusieurs fronts. Premièrement, il renforce la cybersécurité, obligeant les entreprises à mettre en œuvre des mesures techniques et organisationnelles plus strictes pour protéger leurs systèmes et leurs données.
Deuxièmement, DORA impose une plus grande transparence dans la gestion des risques informatiques avec des exigences de reporting des incidents et des audits périodiques. Par ailleurs, le recours à des fournisseurs tiers de services technologiques, comme le cloud, est réglementé, imposant des exigences de sécurité et des contrôles continus.
L’objectif ultime de DORA est d’accroître la confiance dans le secteur financier et d’assurer la stabilité, même en cas de cyberincidents. Le règlement vise à minimiser les risques systémiques liés aux interconnexions numériques, en garantissant que le système financier continue de fonctionner même en présence de problèmes liés aux systèmes informatiques, afin de contribuer à la résilience globale du marché.
Contrairement à la directive NIS2 qui nécessite une transposition par chaque État membre, le règlement DORA est directement applicable à partir du 17 janvier 2025 .
Conclusions et conséquences pour les entreprises
Conclusions et conséquences pour les entreprises
La directive NIS2 et le règlement DORA marquent une évolution réglementaire importante dans le domaine de la cybersécurité et leur entrée en vigueur représente un défi de taille pour de nombreuses entreprises.
L’impact de ces réglementations est notable. Les entreprises de tous les secteurs, notamment financiers, sont appelées à revoir leurs stratégies de sécurité, en investissant dans des technologies et des compétences spécialisées. La conformité à NIS2 et DORA représente un défi complexe, mais elle est essentielle pour garantir la continuité des activités et protéger les données sensibles des clients et des parties prenantes.
Les entreprises doivent adopter une culture de cybersécurité capable de mobiliser tous les niveaux de l’organisation et investir dans des solutions et processus technologiques appropriés.
