Avec le Digital Operational Resilience Act (Dora), l’Union européenne veut renforcer la résilience du secteur financier dans le domaine numérique. De quoi parle-t-on?
. – «Il s’agit d’augmenter la capacité des institutions financières à se relancer très rapidement après un incident numérique. Pour ce faire, Dora prévoit d’harmoniser les processus et de renforcer la transparence, le partage d’informations et le suivi des fournisseurs de services tiers, en particulier ceux liés au cloud. C’est une réglementation qui couvre très largement le secteur financier : les banques, les sociétés de paiement, les fournisseurs de services crypto, mais aussi les fonds et l’assurance.
Les cyberattaques sont-elles le risque numéro un?
A.K. – «Dora vise en fait tout type d’incident opérationnel qui peut bloquer les outils que nous utilisons au quotidien : banque en ligne, cartes, etc. Cela peut provenir d’une cyberattaque, mais aussi d’un incident opérationnel lié à une défaillance informatique interne ou d’un prestataire de services.
Comment est née cette nouvelle réglementation?
A.K. – «Elle a été lancée par la Commission européenne en 2020 dans le cadre du Digital Finance Package – qui comprend plusieurs volets, notamment la protection des consommateurs. Pourquoi 2020 ? Il y a eu le Covid, mais cela n’explique pas tout. Il s’agit plus largement d’une réaction à la transition numérique et à la multiplication des incidents cyber dans le monde. Ceux-ci ont triplé entre 2019 et 2020. Il y avait donc une urgence.
Quelles défaillances ces incidents ont-ils révélées?
A.K. – «Beaucoup de sociétés ont été attaquées via leur chaîne d’approvisionnement. Les enquêtes du Forum économique mondial et d’Anchore indiquent qu’entre 39% et 62% des organisations ont été touchées par un cyberincident impliquant un tiers. Ce type d’incident constituait même le deuxième vecteur d’infection initiale le plus répandu en 2021, selon Mandiant 4. Il représentait 17% des intrusions en 2021, contre moins de 1% en 2020.
Dora est-elle une forme de réponse à l’essor du cloud dans la finance?
A.K. – «Oui, en partie. Les banques adoptent de plus en plus les services cloud pour gagner en efficacité, flexibilité et innovation. Cela crée de nouvelles formes de dépendance aux prestataires de services cloud. La Banque centrale européenne (BCE) indique qu’en 2022, 16% des contrats de sous-traitance par les entités financières concernent des solutions cloud, et 51% de ces contrats sont considérés comme «critiques», sur un marché très concentré.
Quel type d’institution est particulièrement exposé au Luxembourg?
A.K. – «Je ne vois pas d’activité qui serait plus à risque qu’une autre. L’approche de Dora varie selon la taille et la nature des institutions financières, ce qui est à saluer.
Comment voyez-vous cette nouvelle réglementation?
A.K. – «De manière positive. Elle ne nous amène pas sur un terrain complètement nouveau, mais introduit une harmonisation qui permet à toutes les entités d’un même groupe en Europe d’appliquer les mêmes règles. Dora augmente aussi le niveau de cyber-résilience, avec davantage de documentation, de processus décisionnels, de tests, etc. L’objectif de la Commission européenne est que Dora puisse aider le secteur financier à mieux résister, répondre et se remettre des menaces qui pèsent sur les technologies de l’information et de la communication (TIC). Dora vise à encore augmenter la stabilité et la confiance au sein du système financier.
Quelles sont les nouveautés intéressantes?
A.K. – «Le partage d’informations au sein du secteur devient obligatoire, par exemple. À l’heure actuelle, si une banque partage les détails d’une cyberattaque, mais que d’autres ne le font pas, elle est perdante. Autre avancée positive: du fait de leur importance, certains prestataires informatiques critiques – les grands fournisseurs cloud comme Microsoft ou Google – seront supervisés directement par les autorités européennes. Ce cadre, le plus strict au monde, va permettre au secteur d’être plus à l’aise dans l’utilisation du cloud, sachant aussi que les fournisseurs doivent être implantés en Europe.
Les incidents cyber ont triplé entre 2019 et 2020. Il y avait une urgence.
Et quels sont les points sensibles?
A.K. – «Les membres de la direction d’une institution financière sont désormais personnellement responsables des risques financiers liés aux TIC. Ils s’exposent donc à des sanctions. D’où l’importance pour l’ABBL de sensibiliser les directions à ces enjeux. Comme les standards réglementaires de Dora sont en cours de finalisation, nous espérons que certains critères seront moins prescriptifs et davantage basés sur une approche de gestion du risque. Une question sensible concerne la définition des «incidents majeurs» (qui entraînent notamment des obligations de reporting).
À ce stade, un incident est considéré comme majeur si, par exemple, il touche un grand nombre de clients. Cependant, un incident critique peut concerner un seul client très important. Pour nous, le critère décisif devrait être l’impact économique sur les clients – sachant qu’a contrario, pour une grande banque, les seuils de nombre de clients peuvent être vite touchés pour des incidents portant très peu de risque. Dora ne devrait pas entraîner un «sur-reporting» vers le régulateur, car la prise en charge de la résolution de l’incident lui-même est la priorité.
Dora entre en vigueur de façon échelonnée entre janvier 2023 et janvier 2025. La Place est-elle prête?
A.K. – «C’est un challenge pour chaque institution, mais je suis confiante que nous serons dans les temps. Il y a une bonne préparation à ce stade, avec une forte collaboration entre le secteur et les autorités pour anticiper les impacts et intégrer les nouvelles exigences dans les processus opérationnels. L’ABBL a créé une task force dédiée à Dora, beaucoup de nos membres en font partie et la majorité d’entre eux ont démarré leur «gap analysis». On sent une vraie prise de conscience des impacts multiples de cette réglementation. Car l’enjeu n’est pas petit pour les institutions financières, notamment sur le plan des ressources.
Ananda Kautz: «Au-delà de la préparation des banques, la sensibilisation des citoyens aux problématiques liées à la fraude fait aussi partie de nos missions.» (Photo: Romain Gamba/Maison Moderne)
Où faut-il investir?
A.K. – «Au niveau des ressources humaines, il y aura des recrutements et des besoins en formation. D’autre part, Dora exige la mise en place de tests réguliers par des parties indépendantes. Les résultats et les plans de remédiation devront être communiqués et validés par le régulateur. Les entités classées comme significatives auront des tests d’intrusion tous les trois ans. Notre objectif est que les banques prévoient les coûts liés à la mise en conformité dans leur budget 2024, pour qu’elles puissent commencer à embaucher et à former le personnel. Et que tout soit en place début 2025.
Quid des coûts liés à l’acquisition de technologies avancées?
A.K. – «La BCE indique que le budget dépensé en 2022 par les entités financières auprès des fournisseurs de services critiques serait de 25 milliards d’euros. Nous n’avons pas de données sur le coût technologique sur le marché bancaire luxembourgeois, cela dépend de plusieurs facteurs tels que l’activité de la banque, les besoins, la maturité de l’infrastructure, les fournisseurs de services, etc.
Le Luxembourg peut-il être prêt avant d’autres places financières?
A.K. – «En tout cas, en matière de cyber-résilience, on ne part pas de zéro. Plusieurs pays européens suivent les recommandations de l’Autorité bancaire européenne (ABE) sur la sous-traitance, et au Luxembourg, la Commission de surveillance du secteur financier (CSSF) a implémenté l’an dernier les lignes directrices de l’ABE en la matière – avec des objectifs qui s’approchent de ceux de Dora, offrant une bonne préparation. L’autre avantage du Luxembourg est que les fournisseurs de services exerçant une activité connexe au secteur financier font déjà l’objet d’une surveillance de la part de la CSSF (via leur statut de PSF de support). Nos prestataires sont donc mieux préparés à Dora qu’ailleurs en Europe. C’est un avantage comparatif par rapport à d’autres places financières européennes.
Quelle est la contribution de l’ABBL à ces préparatifs?
A.K. – «Nous travaillons énormément avec la House of Training pour répondre à la demande de nos membres, qui souhaitent davantage de formations certifiantes et de qualité au Luxembourg. Nous avons créé un certificat en cybersécurité ainsi qu’un programme destiné aux responsables cloud. Au-delà de la préparation des banques, la sensibilisation des citoyens aux problématiques liées à la fraude fait aussi partie de nos missions. Nous avons un groupe de travail qui se penche activement sur l’anti-phishing. Nous venons ainsi d’organiser une conférence avec les banques de détail pour expliquer les bons comportements et présenter les fraudes les plus fréquentes aux citoyens.
Le crédit d’impôt sur les projets de numérisation doit passer de 12% à 18%.
Que savez-vous de l’évolution de la cyberfraude dans le secteur bancaire au Luxembourg?
A.K. – «Nous n’avons pas de chiffres officiels ou publics. En ce qui concerne l’ingénierie sociale, nos membres font état d’une augmentation des tentatives de phishing au début de l’année 2023. Et les banques nous confirment que les méthodes de phishing deviennent de plus en plus sophistiquées. Tomber dans le piège peut désormais vraiment arriver à tout le monde, pas seulement au stéréotype des grands-parents qui ne connaissent pas grand-chose au numérique. On voit désormais des personnes qui, malgré de bonnes connaissances financières, dans un moment de stress, vont tomber dans le panneau, parce que le fraudeur sait les mettre en confiance et que sa mise en scène est crédible.
À quelles sanctions s’exposent les institutions financières qui ne respecteront pas les règles de Dora?
A.K. – «Elles s’exposent d’abord à des amendes administratives, qui peuvent atteindre 5 millions d’euros ou 10% de leur chiffre d’affaires annuel total – le montant le plus élevé est retenu. Les autorités peuvent également imposer des restrictions commerciales aux contrevenantes, en leur interdisant par exemple d’offrir certains produits ou services ou d’étendre leurs activités. Dans les cas les plus graves, l’autorisation d’exercer peut être retirée. Ajoutons qu’outre ces sanctions, les institutions fautives peuvent voir leur réputation entachée et leur responsabilité juridique engagée.
Quel genre de comportement peut conduire à des sanctions?
A.K. – «Vous êtes en faute si, par exemple, vous n’effectuez pas régulièrement des tests de résilience des TIC, si vous ne gérez pas de manière adéquate les risques pour les tiers ou encore si vous ne signalez pas les incidents aux autorités compétentes.
Avez-vous estimé le coût de Dora?
A.K. – «Il est difficile d’évaluer précisément l’impact financier de Dora, mais il est certain que cela représente une pression supplémentaire pour les banques, alors que le ratio coûts sur revenus des plus petites entités est déjà très élevé. Il y a quelques années, l’ABBL et EY ont publié une étude sur le coût de la réglementation au Luxembourg. Résultat: 38% des investissements réalisés par le secteur bancaire en 2019 concernent des projets réglementaires.
D’un autre côté, si Dora se traduit par moins de fraudes et moins de pertes économiques, cela peut aussi procurer des gains aux institutions financières…
A.K. – «Absolument. Pour cette raison, le résultat sera très différent d’une institution à l’autre. Si une entité a perdu beaucoup d’argent dans des incidents, le coût de Dora s’en trouve relativisé. Ajoutons à cela qu’à partir du 1er janvier 2024, si tout va bien, le crédit d’impôt sur les projets de numérisation passera de 12% à 18% pour toutes les entreprises. Cela inclut la formation, la consultance, les tests… Tous les nouveaux projets de digitalisation sur une période de trois ans, sans limite de montant, pourront entrer dans ce programme. Pour les banques, auxquelles la numérisation coûte cher, il s’agit d’un incitatif de taille.
Quels sont les principaux facteurs de coûts liés au numérique à côté de Dora?
A.K. – «D’autres domaines sont en voie d’être réglementés: instant payment, open finance, APIsation des données… Sans oublier que les banques souhaitent innover pour mieux servir leurs clients: migration vers le cloud, modèles de core banking plus agiles… Ce sont de gros projets, très coûteux.
Dora en quatre volets
1. Gestion du risque lié aux TIC meilleure gouvernance, nouveaux processus, nouvelles fonctions au sein des institutions financières.
2. Tests plus fréquents et plus lourds notamment des tests de pénétration réalisés par de «gentils hackers».
3. Reporting des incidents majeurs au régulateur meilleure transparence vis-à-vis du client, partage d’informations au sein du secteur.
4. Gestion du risque lié aux fournisseurs de TIC tous les fournisseurs de la chaîne, pas seulement les sous-traitants.
38%
C’est la part des investissements réalisés par le secteur bancaire en 2019 pour des projets réglementaires, selon une étude publiée par l’ABBL et EY. Cette valeur atteint 52% dans les plus petits établissements. En 2019, les banques luxembourgeoises ont ainsi dépensé 548 millions d’euros en matière réglementaire, dont 40% des coûts provenant de nouveaux investissements et 60% du coût récurrent. Entrée en force à partir de janvier 2023, Dora n’était pas encore sortie au moment de la réalisation de l’étude.
Cet article a été rédigé pour l’édition magazine de , paru le 22 novembre. Le contenu du magazine est produit en exclusivité pour le magazine. Il est publié sur le site pour contribuer aux archives complètes de Paperjam.
Votre entreprise est membre du Paperjam+Delano Business Club? Vous pouvez demander un abonnement à votre nom. Dites-le-nous via