Les dernières réglementations en matière de cybersécurité 2024 et leur impact sur le secteur financier

Actualité Cybersécurité

D’après le dernier rapport de Flare, les attaques de ransomware avec extorsion des données ont augmenté de +112 % dans le monde en 2023. 47 % d’entreprises victimes de ransomwares ont choisi de payer la rançon (Source : rapport “Cost Of A Data Breach” d’IBM).
En France, l’ANSSI a estimé une hausse de + 400 % des cyberattaques depuis 2020, sachant que pour une PME, le coût financier moyen d’une cyberattaque est évalué entre 300 000 et 500 000 € (Source : CISCO 2021). 

La sécurité informatique est donc plus que jamais un sujet d’actualité, surtout pour les entreprises des secteurs de la finance et des assurances, qui détiennent des informations sensibles. Découvrez toutes les nouvelles directives et qui ont été adoptées pour 2024 afin de renforcer la cybersécurité et limiter les risques de vols de données.

La cybersécurité : un enjeu de taille pour les experts de la finance

Cyberlaw

Mettre au point un système de cybersécurité est un enjeu de plus en plus crucial pour les professionnels de la finance et de l’assurance. Ces métiers sont fréquemment la cible de cyberattaques, que ce soit en France ou à l’étranger. 

Selon un rapport du Financial Services Information Sharing and Analysis Center (FS-ISAC), les attaques DDoS ciblant les institutions financières ont augmenté de 22% en 2022 dans le monde, et de 73% en Europe ! 

Selon Netwrix, spécialisé dans la sécurité des données, 77% des organisations financières ont détecté une cyberattaque en 2023.

La nouvelle Loi de Programmation Militaire (LPM)

La loi du 13 juillet 2018 relative à la Programmation Militaire pour les années 2019-2025 a été mise à niveau pour 2024. 

L’objectif de ce dispositif est de prendre en compte les impacts de la cyber menace sur la nation française. 

Le Dispositif SAIV (Sécurité des Activités d’Importance Vitale) est l’une des composantes essentielles de la LPM. Contrôlé de près par l’ANSSI, l’autorité nationale en matière de cybersécurité, le SAIV vise à protéger les Opérateurs d’Importance Vitale (OIV), c’est-à-dire les organismes jugés indispensables à la survie de la nation. La liste des OIV est gardée secrète pour des raisons de sécurité mais ils sont répartis dans 12 secteurs d’activité, y compris le secteur de la finance. 

Les OIV sont notamment tenus de déployer des mesures techniques et organisationnelles dans le but de sécuriser leurs systèmes d’information d’importance vitale (SIIV). Ils doivent aussi notifier tout incident à l’ANSSI. 

La nouvelle Loi de Programmation Militaire publiée au Journal Officiel en août 2023 entre en vigueur en 2024 et s’appliquera jusqu’en 2030 . Elle élargit les obligations relatives à la cybersécurité, pour de nouvelles entreprises du numérique et notamment les éditeurs de logiciels. Les éditeurs de logiciels doivent ainsi notifier à l’ANSSI toute vulnérabilité de leur produit et informer les utilisateurs des risques posés par ces vulnérabilités en matière de sécurité.

La Directive NIS 2

Adoptée en juillet 2016, la directive européenne NIS (Network and Information System Security) a pour but de protéger les entités à risque des cyberattaques pour assurer la sécurité des données des personnes et des organisations. Les mesures de ce règlement sont notamment applicables aux OSE (Opérateurs de Services Essentiels), c’est-à-dire les entreprises dont la mise à l’arrêt de leur activité aurait un impact négatif sur l’économie et sur la société. Les banques (établissements de crédit), assurances, infrastructures de marchés financiers et prestataires de services financiers font partie des OSE. 

Les FSN (Fournisseurs de Services Numériques) sont aussi concernés : il s’agit par exemple des moteurs de recherche ou des places de marchés en ligne. 

Face à l’augmentation des risques, l’Union Européenne a renforcé cette directive avec une deuxième version, la directive NIS 2. Publiée au Journal Officiel en décembre 2022, cette nouvelle norme s’appuie sur le règlement NIS 1 mais élargit ses objectifs et son périmètre d’application. Elle constitue un niveau de protection encore plus élevé, avec la mise en place de nouvelles mesures. Elle concerne pas moins de 160 000 entreprises en Europe, dont des services de l’administration publique mais aussi des établissements financiers. 

C’est encore une fois l’ANSSI qui est garante de la bonne mise en œuvre des mesures pour les nouveaux établissements concernés. Les mesures de contrôle vont donc se durcir. En cas de non respect des normes, les sanctions peuvent atteindre jusqu’à 1,4 % du CA pour les entités importantes et 2 % pour les entités essentielles.

La mise en œuvre de la directive est un processus complexe qui requiert l’engagement des États membres de l’Union européenne. Cette directive vise à renforcer la cybersécurité en élargissant son champ d’application et en imposant des mesures plus strictes aux Entités Essentielles (EE) et aux Entités Importantes (EI). Cependant, sa mise en conformité s’avère être un défi, avec une échéance fixée à mars 2025 pour les EE et les EI.

La directive étend son champ d’application à un plus large éventail d’organisations, y compris les Opérateurs de Services Essentiels (OSE) tels que les secteurs critiques et les Fournisseurs de Services Numériques (FSN), ainsi qu’aux Entités Importantes (administrations, petites et moyennes entreprises et grandes entreprises). Les OSE et les EI devront mettre en place des mesures de sécurité renforcées, notamment en matière de gestion des risques, de tests de pénétration et de notification des incidents.

Sa mise en œuvre en France implique une supervision à la fois nationale et européenne. La supervision européenne est assurée par le nouveau groupe de coordination européen en matière de cybersécurité (GECS), tandis que la supervision nationale repose sur deux entités principales, en fonction de la catégorie des organisations concernées. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est chargée de superviser directement les opérateurs de services essentiels (OSE), assurant des contrôles de conformité, des conseils, un support technique et des mesures coercitives en cas de non-respect de la directive. Les entités importantes (EI), quant à elles, sont supervisées par les Autorités Nationales Compétentes (ANC) désignées par l’État, telles que des ministères ou des agences gouvernementales. La répartition des responsabilités entre l’ANSSI et les ANC dépend du niveau de risque associé à l’activité de l’organisation, les OSE bénéficiant d’une supervision plus stricte en raison de leur importance critique pour le fonctionnement de la société et des infrastructures nationales. La coordination entre l’ANSSI et les ANC est cruciale pour garantir une application uniforme de la directive sur tout le territoire français, avec l’ANSSI jouant également un rôle de coordination et de support pour les ANC en partageant son expertise et ses bonnes pratiques. Les modalités précises de la supervision par les ANC seront définies dans la loi de transposition de la directive NIS 2 en droit français.

Le réglement DORA

Adoptée par le Parlement européen et le Conseil le 5 juillet 2022, DORA vise à renforcer la résilience opérationnelle numérique du secteur financier face aux incidents de cybersécurité et aux perturbations opérationnelles. Son objectif principal est de garantir la continuité des services financiers critiques en cas de crise tout en renforçant la confiance des clients dans le système financier numérique.

DORA s’applique à un large éventail d’entités financières, notamment les établissements de crédit, les entreprises d’investissement, les prestataires de services de paiement, les organismes d’infrastructure de marché et les compagnies d’assurance.

Tout comme pour NIS 2, sa mise en œuvre repose sur un rétroplanning précis : janvier 2025 pour la transposition en droit national par les États membres et janvier 2026 pour la mise en conformité des entités financières concernées par le règlement.

Les principales exigences de DORA incluent la cartographie des risques, la mise en place d’une gouvernance des risques solide, la réalisation de tests de résistance, la création de plans de reprise d’activité et la notification des incidents de cybersécurité importants. Ces mesures visent à renforcer la résilience opérationnelle numérique des entités financières et à assurer la stabilité du système financier européen.

La supervision de DORA est assurée à la fois au niveau national et européen. En France, l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) et l’Autorité des Marchés Financiers (AMF) seront responsables de la supervision, tandis qu’au niveau européen, l’Autorité européenne des marchés financiers (ESMA) jouera un rôle crucial. L’ESMA coordonnera la supervision des entités financières par les autorités nationales compétentes, développera des orientations et recommandations pour la mise en œuvre de DORA, et réalisera des tests de résistance pan-européens.

La coopération entre les autorités nationales et européennes est essentielle pour garantir une application uniforme du règlement DORA sur l’ensemble du territoire européen. En mettant en place des mesures de sécurité robustes et en renforçant la supervision à tous les niveaux, DORA représente un pas important vers un secteur financier européen plus sûr et plus résilient face aux défis numériques croissants.

La Loi Cyberscore

La loi n° 2022-309 du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public (ou Loi Cyberscore) est effective en 2024. Elle impose aux opérateurs de plateformes numériques des audits de sécurité valables 12 mois. Le résultat de ces audits réglementaires, appelé cyberscore, devra être affiché publiquement par les opérateurs (à la manière du nutri-score dans l’alimentaire). 

Pour le moment, seuls les sites de visioconférence, les messageries instantanés et autres plateformes numériques  recevant plus de 25 millions d’utilisateurs uniques depuis la France sont concernés. Mais il y a fort à parier que dans les prochaines années, ce système va s’élargir.

IA Act

L’adoption par le Parlement européen du Règlement sur l’intelligence artificielle (IA Act) en mars 2024 marque une avancée majeure dans la gouvernance de l’IA, posant ainsi les bases d’une régulation européenne ambitieuse face aux défis croissants posés par le développement et l’utilisation de cette technologie. Le recours aux Intelligences artificielles connaît une croissance exponentielle, avec des applications diverses dans des domaines tels que la santé, la finance, les transports et la sécurité. Cette évolution rapide s’accompagne de risques potentiels tels que les biais algorithmiques, la discrimination, ainsi que l’accroissement du cybercrime engendré par les opportunités offertes par l’IA.

L’IA Act vise donc à promouvoir une IA digne de confiance en Europe, tout en gérant les risques associés, en particulier ceux posés par les systèmes d’IA à haut risque. Le règlement s’applique à une gamme variée de systèmes d’IA, classés selon leur niveau de risque, allant des systèmes interdits à ceux à risque limité.

Pour les systèmes d’IA à haut risque, la réglementation impose plusieurs exigences, notamment la mise en place d’un système de gestion des risques et d’un système de qualité, l’utilisation de données d’apprentissage de haute qualité, la transparence et la supervision humaine adéquate.

Son entrée en vigueur a été effectuée 20 jours après sa publication au Journal officiel de l’UE, avec un délai supplémentaire pour la transposition en droit national par les États membres. En France, cette transposition implique des modifications législatives et la mise en place de nouvelles structures et procédures. Au niveau de la supervision, la Commission européenne sera chargée de l’application du règlement et de la coordination entre les États membres, tandis que des organismes nationaux désignés seront responsables de la surveillance des systèmes d’IA à haut risque.

Loi SREN

Malgré son absence de lien direct avec le secteur financier, la loi SREN pour “Sécuriser et Réguler l’Espace Numérique” a une importance particulière à mentionner ici en raison de son influence significative sur la régulation de l’espace numérique en France.

Adoptée le 10 avril 2024, la loi SREN, marque un tournant important dans la régulation d’internet en France. Face aux nouveaux défis posés par le numérique, ce texte vise à protéger les citoyens, à lutter contre les dérives en ligne et à favoriser un espace numérique plus juste et plus concurrentiel.

La loi encadre des problématiques « nouvelles » liées à l’utilisation de l’espace numérique :

  • La protection des mineurs : la loi encadre l’accès aux sites pornographiques et aux réseaux sociaux pour les plus jeunes, impose aux plateformes le retrait rapide des contenus pédopornographiques et renforce les sanctions en cas de cyberharcèlement.
  • La lutte contre les contenus illicites et dangereux : la loi prévoit un dispositif plus efficace pour lutter contre le cyber harcèlement, le contenu haineux en ligne, la désinformation et les arnaques, notamment en renforçant les pouvoirs des autorités compétentes et en obligeant les plateformes à mettre en place des mesures de modération plus strictes.
  • La protection des données personnelles : la loi SREN vise à garantir le respect des principes du RGPD par les plateformes en ligne et encadre davantage l’utilisation des cookies.
  •  La régulation des géants du numérique : en transposant les règlements européens DSA et DMA, la loi SREN s’attaque au pouvoir croissant des grandes plateformes technologiques, en limitant leurs pratiques anticoncurrentielles et en renforçant la transparence de leurs algorithmes.

Elle se dote d’outils concrets pour concrétiser ses ambitions :

  • Obligations renforcées pour les plateformes : la loi impose aux plateformes en ligne de nouvelles obligations en matière de modération, de transparence et de protection des données. Elles devront notamment mettre en place des filtres contre les contenus illicites, fournir des informations claires sur leurs algorithmes et respecter les principes du RGPD.
  • Renforcement des pouvoirs des autorités : la loi dote les autorités compétentes, telles que l’Arcom, la Cnil et l’Ancre, de nouveaux pouvoirs pour mieux contrôler les activités des plateformes en ligne et sanctionner les manquements à la loi.
  • Création de nouvelles instances : la loi crée de nouvelles instances, telles que le Conseil National des Numériques (CNCN), pour favoriser le dialogue entre les acteurs du numérique et contribuer à l’élaboration des politiques publiques.

Quel impact sur le secteur financier ?

La conséquence de ces nouvelles mesures, c’est un renforcement et un durcissement des contrôles en matière de cybersécurité. En pratique, les enjeux sont élevés pour les établissements financiers, qui gèrent des informations sensibles et doivent donc obtenir la confiance de leurs utilisateurs, garantir sa réputation et se prémunir des pertes. 

Il est de la responsabilité de chaque organisation financière de se mettre en conformité avec les nouvelles instructions. Pour cela, plusieurs actions peuvent être menées : 

  • L’intégration de la sécurité dès la mise en place de nouveaux systèmes d’information
  • La sensibilisation des collaborateurs aux risques et aux bonnes pratiques de la sécurité numérique
  • La notification des incidents et vulnérabilités dans les plus brefs délais
  • Le choix de partenaires et fournisseurs certifiés
  • La réalisation d’audits et de contrôles de sécurité réguliers

Point Forum des Compétences :

Le Forum des Compétences occupe une place essentielle dans l’information et le suivi des évolutions réglementaires, offrant ainsi une plateforme précieuse pour rester à l’affût des évolutions et s’adapter aux dernières exigences en matière de cybersécurité

Dans ce cadre, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) intervient régulièrement pour informer sur les changements réglementaires et partager son expertise sur ces questions cruciales. Des spécialistes du domaine interviennent également pour apporter des éclaircissements et des recommandations sur ces sujets.

Un exemple concret de cette démarche proactive est la mise en place d’un groupe de travail réglementaire dédié à DORA (Digital Operational Resilience Act). Ce groupe se penche sur la transition de cette réglementation dans le droit français, identifie les entités concernées et travaille sur la mise en conformité des établissements financiers.

Un autre groupe de travail est dédié à la Directive NIS (Network and Information Security), visant à promouvoir une approche cohérente dans la mise en œuvre de cette directive par le secteur des assurances. L’objectif est de diffuser les meilleures pratiques de conformité à l’ensemble du secteur, en mettant particulièrement l’accent sur les Opérateurs d’Importance Vitale (OIV) et les Opérateurs de Services Essentiels (OSE), qui sont tenus de signaler tout incident affectant un réseau ou un système d’information critique.

NOS ACTUALITÉS