L'année dernière, la présidence du Conseil de l'Union européenne et le Parlement européen sont parvenus à un accord intérimaire sur la loi sur la résilience opérationnelle numérique (DORA) afin d'améliorer la cybersécurité des institutions financières en Europe. Une fois DORA adoptée par les pays de l'UE, les sociétés financières devront s'assurer qu'elles peuvent contrer, réagir et se remettre de tous les types de perturbations et de menaces liées aux technologies de l'information et de la communication (TIC), dans le but ultime de prévenir et d'atténuer les cybermenaces. La réglementation adopte une approche différenciée pour réglementer les petites, les micro-entités et les entités interconnectées.
Flexibilité des tests
Les Autorités européennes de surveillance (AES), à savoir l'Autorité bancaire européenne (ABE), l'Autorité européenne des marchés financiers (ESMA) et l'Autorité européenne des assurances et des pensions professionnelles (AEAPP) - élaborent des "normes techniques que tous les établissements de services financiers doivent conformer à". En outre, les fournisseurs de services TIC tiers critiques, en particulier les fournisseurs de cloud aux institutions financières de l'UE, devront créer une filiale au sein de l'UE pour une surveillance appropriée, et des auditeurs seront impliqués dans les futurs examens du règlement.
La nouvelle loi obligera les entreprises FSI de l'UE à tester la résilience de leurs organisations ; c'est-à-dire qu'ils devront essentiellement gérer les risques et utiliser un cadre de gouvernance des risques pour répondre aux exigences de DORA. Par conséquent, il est recommandé à tous les RSSI du secteur financier d'envisager de travailler avec des fournisseurs et des partenaires de cybersécurité parfaitement informés sur DORA.
Autres recommandations 2023 pour les RSSI des services financiers
D'autres recommandations plus concrètes sont également données pour les institutions du secteur financier qui planifient 2023. Les RSSI (responsables de la sécurité de l'information) travaillant dans le secteur des services financiers doivent comprendre que 2023 ne sera pas comme 2022 ; De grands changements sont en cours et le cyber-risque augmente.
Passer à un état d'esprit d'intervention et de rétablissement
Il y a une augmentation des ransomwares, et c'est un problème majeur pour toutes les institutions, pas seulement les institutions financières. Traditionnellement, la mentalité du secteur des services financiers est la suivante : « Non, nous ne voulons pas de risque ». Jusqu'à présent, tout était question de protection et de détection. Cependant, compte tenu de la nature du cyber-risque actuel, cette approche n'est plus réaliste.
Les RSSI du secteur financier doivent comprendre l'évolution rapide du paysage des menaces et s'efforcer d'être plus résilients. Cela signifie que la stratégie d'une institution du secteur financier devrait passer de la tentative d'éviter tous les risques à la capacité de se remettre rapidement d'une attaque. Cela conduira naturellement à des investissements dans des plates-formes qui permettent des fonctions telles que la détection et la réponse aux terminaux (EDR), la détection et la réponse étendues (XDR) et l'orchestration, l'automatisation et la réponse de la sécurité (SOAR).
Les risques liés à la finance intégrée
Un autre problème que les RSSI des institutions financières doivent prendre en compte en 2023 est la tendance à la hausse de la finance intégrée.
Qu'est-ce que la finance intégrée ?
« La finance intégrée est le processus d'intégration de tous les services financiers en un seul endroit au lieu de traiter avec les institutions traditionnelles. Il offre un moyen sûr, simple et efficace de rassembler tous les services qu'un détaillant peut utiliser dans un modèle unique et facile à gérer. Les solutions financières peuvent être intégrées dans l'infrastructure d'une entreprise, facilitant l'accès aux services financiers tels que les prêts, les assurances ou les transactions de paiement sans diriger les gens vers des destinations tierces. Cela signifie moins d'applications à manipuler, moins de personnes avec qui gérer l'argent, moins de soucis et moins de temps passé à suivre la logistique financière. L'intérêt pour cette industrie a augmenté rapidement au cours des dernières années. Le marché américain de la finance intégrée a atteint 2020 milliards de dollars en 22,5 et devrait décupler pour atteindre 2025 milliards de dollars d'ici 230. » (RCN, 8 août 2022)
La finance deviendra plus répandue dans le monde de 2023 et au-delà. Par exemple, considérons la finance intégrée, où les organisations non traditionnelles utilisent des produits financiers pour des ventes « achetez maintenant, payez plus tard ». Cette méthode augmente les ventes mais augmente également les risques pour les organisations.
La finance intégrée est facilitée par les technologies de banque en tant que service (BaaS) et d'interface de programmation d'application (API). Cette méthode devrait générer plus de 2026 milliards de dollars de revenus annuels pour les banques d'ici 25, et d'ici 2025, les banques en place transféreront 25 % des revenus des petites et moyennes entreprises vers les canaux en place. (Applications embarquées : nouveaux revenus et nouveaux risques pour les banques (garp.org)
Pour 2023 et au-delà, les RSSI du FSI doivent accorder une attention particulière aux points suivants :
- Les organisations doivent s'assurer qu'elles disposent de politiques solides en matière de cybersécurité et de protection des données, y compris des mesures pour prévenir les violations de données et l'accès non autorisé aux informations sensibles.
- Lorsque les institutions travaillent avec des partenaires non financiers qui peuvent ne pas avoir le même niveau d'expertise ou d'expérience dans les services financiers, elles doivent surveiller les risques potentiels d'utilisation abusive ou abusive des données.
- Lors de l'intégration de produits et services financiers dans des produits ou plateformes non financiers, le potentiel de conflits d'intérêts doit être examiné et les institutions doivent être transparentes avec les clients sur les termes et conditions de ces produits et services.
- Il est nécessaire de se tenir au courant des évolutions réglementaires liées à la finance intégrée et de s'assurer que l'organisation se conforme à toutes les lois et réglementations applicables.
- L'organisation doit s'associer à des entreprises spécialisées ou envisager de consulter des experts dans le domaine pour s'assurer qu'elle dispose des connaissances et des ressources nécessaires pour gérer efficacement les risques de cybersécurité et de confidentialité dans le contexte de la finance intégrée.
La sensibilisation est également importante car la technologie seule ne peut pas y parvenir. Les institutions financières doivent commencer à former leurs employés sur DevSecOps, l'intelligence artificielle, l'apprentissage automatique et la sécurité des API. À ce stade, Fortinet souligne son engagement à aider à combler le déficit de cyber-compétences et à accroître la cyber-sensibilisation grâce à l'initiative TAA et aux programmes de l'Institut d'éducation.
Soyez le premier à commenter