Les pannes et interruptions qui ont affecté le secteur financier ce mois-ci sont révélatrices, si besoin était, des faiblesses inhérentes à la dépendance aux technologies. Une loi telle que DORA montre toutefois, selon les experts, une certaine maturité en ce qui concerne l’anticipation de ce genre de problèmes.
Le mois d’août a connu sa part de perturbations techniques : des courtiers en ligne tels que Fidelity Investments et Charles Schwab ont ainsi été pris dans ce que Reuters a qualifié de « journée de transactions frénétique ». Les utilisateurs ne pouvaient plus consulter leurs positions, encore moins les gérer, quoique les problèmes aient été résolus le jour même.
La mise à jour défectueuse de CrowdStrike le 19 juillet a en outre provoqué une panne historique qui a touché des millions d’utilisateurs de Microsoft, rappelant une nouvelle fois à quel point la technologie était vulnérable. Une analyse de Parametrix a estimé à 5,4 milliards de dollars les pertes financières des entreprises américaines du Fortune 500, à l’exception de Microsoft, du fait de la panne. Les secteurs médical et bancaire ont été les plus durement touchés avec, respectivement, environ 1,9 milliard et 1,1 milliard de dollars.
Le jour de la panne, la Commission de Surveillance du Secteur Financier (CSSF), l’autorité de surveillance luxembourgeoise, a appelé, dans une déclaration, « tous les gestionnaires d’investissement et organismes de placement collectif (OPC) basés au Luxembourg, ainsi que toutes les entités impliquées dans le fonctionnement de ces entités », à évaluer sérieusement l’impact de cette panne informatique et à prendre les mesures adéquates en vue de garantir la continuité des OPC.
La CSSF a aussi mentionné un rapport technique du CIRCL, le Computer Incident Center Luxembourg, hébergé par la Luxembourg House of Cybersecurity (LHC). Le CIRCL documente des questions similaires, établit des rapports et réagit régulièrement, se positionnant en quelque sorte comme le « pompier » des cybermenaces.
Un cyber-écosystème robuste
Lors d’un récent entretien avec Investment Officer le fondateur et CEO de la LHC, Pascal Steichen, a évoqué quelques classements luxembourgeois en matière de cybersécurité : l’indice Global Security classe le Grand-Duché en onzième position mondiale et septième européenne pour ses efforts en la matière.
Pour Pascal Steichen, « c’est plutôt bien pour un si petit pays. L’évolution du secteur financier au cours des dix dernières années a donné lieu, du fait de sa forte sensibilité en matière de sécurité et confidentialité des données, à la naissance d’un écosystème de cybersécurité considérable au Luxembourg. »
Plus de 320 entreprises sont actives dans des services liés à la cybersécurité et Pascal Steichen souligne également l’engagement à long terme du gouvernement auprès du secteur, avec le lancement, dès 2012, de la toute première stratégie nationale de cybersécurité. Et, bien que la mise à jour de CrowdStrike n’ait aucun rapport avec une intrusion malveillante, Pascal Steichen affirme que « ce qui me préoccupe un peu, quoi que cela n’ait pas de lien direct avec l’affaire, c’est l’augmentation du nombre d’attaques auxquelles nous avons assisté ces dernières années, mais aussi d’autres problèmes concernant les produits de sécurité eux-mêmes, parce qu’ils s’appuient davantage sur l’IA et l’automatisation. » Par exemple, les attaques VPN sont de plus en plus fréquentes.
Aujourd’hui, des acteurs tels que la LHC tiennent également compte des menaces futures, comme l’informatique quantique. « Les algorithmes actuels sont basés sur certaines procédures mathématiques extrêmement difficiles à traiter avec des ordinateurs traditionnels, mais très faciles avec des ordinateurs quantiques », ajoute le CEO.
Si le Digital Operational Resilience Act (DORA) de l’UE – qui entrera en vigueur le 17 janvier 2025 – n’est pas la première loi visant les cybervulnérabilités au sein du secteur financier, Pascal Steichen décèle tout de même, dans ce texte, une certaine maturité. Ce dernier ne se focalise en effet pas uniquement sur la technologie ou les entreprises informatiques externes ; DORA « met en avant davantage d’aspects procéduraux » : nécessité de disposer de processus clairs, continuité des entreprises, rapports et communication, organisation et gouvernance, etc.
Une gouvernance renforcée
Marc Mouton et Yann Fihey, chez Arendt, partagent ce ressenti. Marc Mouton, partenaire en services banquiers et financiers, souligne que la CSSF applique déjà des normes élevées et que les acteurs financiers tels que les banques, établissements de paiement et sociétés d’investissement sont soumis à de nombreuses exigences.
Marc Mouton évoque cependant d’« importantes nuances » concernant DORA, comme une gouvernance et des procédures renforcées, une extension du processus de reporting des incidents et la présence d’un cadre bien documenté. « Le message des autorités de surveillance, notamment la CSSF, est clair : ne comptez pas trop sur les règlements existants, mais analysez très en détail les lacunes et les mises à niveau devant être effectuées », précise Marc Mouton.
Yann Fihey, partenaire et membre du comité de direction d’Arendt Regulatory & Consulting, souligne quant à lui que l’incident de CrowdStrike/Microsoft montre non seulement à quel point les systèmes sont de plus en plus intégrés et comment un simple bug peut générer un effet « boule de neige » ou « domino », mais corrobore également l’importance de la gestion des risques. « Une approche basée sur les risques est nécessaire dans l’esprit de DORA », ajoute-t-il.
Les services à la clientèle d’Arendt liés à DORA incluent des analyses des lacunes destinées à déterminer ces risques, des conseils pour combler ces lacunes, mais aussi la sécurité informatique comme service. À noter que la non-conformité au règlement peut coûter cher : Marc Mouton précise que les amendes administratives infligées aux entreprises peuvent aller jusqu’à 5 millions d’euros ou 10 % du chiffre d’affaires annuel total sur une base consolidée.
S’il est vrai que les mesures politiques, procédures ainsi que les négociations contractuelles, entre autres, impliquées par DORA peuvent prendre du temps à mettre en œuvre, Yann Fihey fait observer que leur impact sur les systèmes peut se révéler particulièrement complexe : « Si l’analyse révèle la présence de vulnérabilités dans un système et qu’il vous faut une solution de sauvegarde ou de contournement pour compenser le risque d’indisponibilité du système, cette solution pourra être assez longue à mettre en œuvre du point de vue technique. »
La CSSF a lancé cette semaine une enquête sur l’état de préparation à DORA ; cette enquête compte dix questions et les entités pertinentes sont invitées à y participer. Son but est d’évaluer la préparation du marché à DORA ainsi que les défis impliqués, mais aussi de sensibiliser davantage les entreprises et les encourager à se préparer convenablement.
La version originale de cet article est disponible en anglais sur investmentofficer.lu.