Face à une cybercriminalité en constante progression et à la complexité croissante des paysages numériques façonnés par des avancées technologiques rapides, la mise en place d’un cadre réglementaire robuste en matière de cybersécurité s’impose comme une nécessité impérieuse aux échelles nationale, européenne et internationale. Ces réglementations, loin d’être de simples listes d’exigences, constituent un socle fondamental pour guider les entreprises, notamment au sein du secteur financier, dans l’adoption de mesures proactives visant à prévenir les cyberattaques et à en atténuer les conséquences potentiellement dévastatrices. L’urgence de définir des règles claires et d’harmoniser les normes existantes n’a jamais été aussi palpable pour faire face aux défis cyber de demain.
Dans ce contexte en pleine mutation, le rôle des autorités de régulation prend une importance capitale. Elles sont les architectes de ces cadres normatifs, garantes de leur application et moteurs de leur adaptation continue face à l’évolution des menaces et des technologies. L’harmonisation des réglementations, quant à elle, représente un enjeu crucial pour transcender les frontières et assurer une réponse coordonnée et efficace à la nature intrinsèquement transnationale de la cybercriminalité. Cet article se propose d’explorer en profondeur le rôle croissant de ces régulateurs et les défis et opportunités liés à l’harmonisation des règles dans un écosystème numérique globalisé et de plus en plus exposé aux risques cyber.
L'importance de la coopération internationale
La règlementation européenne en matière de cybersécurité
La réglementation européenne en matière de cybersécurité a connu une évolution significative pour répondre aux défis croissants du paysage numérique.
En 2014, l’Union européenne a mis en place un cadre stratégique de cyberdéfense, régulièrement actualisé depuis. Une étape clé fut la création en 2017 d’une équipe permanente d’intervention en cas d’urgence informatique (CERT-UE), chargée d’assurer une réponse coordonnée aux cyberattaques ciblant les institutions de l’UE.
L’année 2019 a marqué un tournant avec l’adoption du Règlement sur la cybersécurité, établissant des normes à l’échelle européenne et renforçant considérablement le rôle de l’ENISA (Agence de l’Union européenne pour la cybersécurité). L’ENISA est désormais un acteur central dans l’élaboration des normes techniques, la fourniture d’expertise, la promotion de la coopération entre les États membres et la sensibilisation aux enjeux de cybersécurité.
Par la suite, le Conseil européen a adopté diverses conclusions sur des sujets tels que les risques de la 5G, la stratégie numérique de l’UE et la cybersécurité des dispositifs connectés.
En 2021, le Centre de compétences en matière de cybersécurité a été installé à Bucarest, soulignant l’engagement continu de l’UE dans ce domaine.
Plus récemment, deux textes majeurs sont entrés en vigueur : la directive NIS2 le 17 octobre 2024, qui a considérablement élargi le champ d’application des obligations en matière de cybersécurité pour inclure un large éventail d’entités “essentielles” (comme l’énergie, les transports, la santé) et “importantes” (y compris les fournisseurs de services numériques et le secteur public), renforçant également la gouvernance et la responsabilité des organes de direction.
Le règlement DORA, entré en vigueur le 17 janvier 2025, impose de nouvelles exigences strictes en matière de résilience opérationnelle numérique au secteur financier, notamment l’obligation de signaler rapidement tout incident majeur.
Il est également crucial de mentionner l’AI Act, bien que principalement axé sur l’intelligence artificielle, qui comporte des dispositions importantes en matière de cybersécurité pour les systèmes d’IA à haut risque, reconnaissant ainsi les enjeux spécifiques liés à la sécurité de ces technologies émergentes.
Il est important de noter que d’autres initiatives et législations sectorielles contribuent également à ce cadre, à l’instar du RGPD, qui impose des obligations de sécurité pour la protection des données personnelles, et des efforts en cours concernant la cybersécurité des produits connectés (comme le Cyber Resilience Act proposé) et la législation sur les infrastructures critiques. La coopération et le partage d’informations entre les États membres, facilités par des structures comme le réseau CSIRT, ainsi que les initiatives en matière de formation et de sensibilisation, et la dimension internationale de la cybersécurité pour l’UE, sont des éléments essentiels de cette approche globale.
L'harmonisation des réglementations au niveau international
La nécessité d’une harmonisation des réglementations en cybersécurité au niveau international est de plus en plus pressante face à la nature transfrontalière des cybermenaces et à la complexité d’un paysage numérique globalisé. La fragmentation et la complexité des réglementations actuelles posent des défis considérables aux entreprises opérant à l’échelle mondiale, rendant difficile la conformité et risquant de conduire à une négligence de la prévention des cyberattaques. La création d’un cadre juridique global apparaît ainsi comme un impératif pour l’avenir.
Cependant, l’harmonisation des règles et des normes à l’échelle mondiale se heurte à de nombreux défis. La diversité des approches et des priorités nationales en matière de cybersécurité, influencées par des contextes politiques, économiques, sociaux et culturels spécifiques, complexifie l’alignement des réglementations. De plus, les obstacles juridiques et souverains sont significatifs, les États étant souvent réticents à céder une partie de leur pouvoir réglementaire ou à adopter des normes qui ne correspondent pas à leurs traditions juridiques. L’harmonisation est également compliquée par les divergences concrètes dans les législations, comme les lois sur la protection des données, les obligations de notification des violations ou les approches en matière de localisation des données. Enfin, l’application transfrontalière des lois et la coopération judiciaire internationale restent des défis majeurs, exacerbés par les tensions géopolitiques croissantes dans le cyberespace.
Malgré ces obstacles, des efforts notables ont été déployés au niveau international. La Convention de Budapest sur la cybercriminalité (Conseil de l’Europe), adoptée en 2001, constitue le premier traité international visant à harmoniser les législations nationales et à améliorer la coopération. L’Organisation des Nations Unies (ONU) a adopté plusieurs résolutions soulignant l’importance de la coopération et établissant des normes de comportement responsable des États. L’OCDE a publié des principes directeurs pour la sécurité de l’information. Des normes et standards techniques internationaux développés par l’ISO et la CEI sont largement adoptés par les entreprises. Enfin, diverses initiatives et cadres de coopération régionaux complètent ce paysage juridique international en constante évolution.
–> Découvrir aussi notre article sur le role de l’AI dans la lutte contre les fraudes financières
La responsabilisation des dirigeants du secteur financier
Les dirigeants des institutions financières sont de plus en plus tenus responsables des incidents de sécurité. Le règlement DORA a changé beaucoup de choses. A partir du 23 avril 2025, les institutions financières doivent mettre en place une politique de gestion des incidents de sécurité, avec notamment la signalisation des incidents à l’Autorité des Marchés Financiers (AMF). En cas de non-conformité, les dirigeants peuvent être tenus responsables, avec un risque de sanction personnelle.
La responsabilité des dirigeants des institutions financières face aux incidents de sécurité est significativement renforcée par l’entrée en application imminente du règlement DORA (Digital Operational Resilience Act). Dès demain, les institutions devaient mettre en place une politique de gestion des incidents, incluant la signalisation à l’AMF. DORA étend la responsabilité des organes de direction à la mise en place, la surveillance et le pilotage du cadre de résilience opérationnelle numérique, intégrant activement les risques cyber dans les décisions stratégiques, contrairement aux régulations précédentes.
En cas de non-conformité, les dirigeants s’exposent à des sanctions personnelles, allant des amendes aux injonctions, voire des répercussions sur leur aptitude à exercer leurs fonctions. DORA souligne l’importance d’une culture de la cybersécurité au niveau de la direction et renforce l’intégration des risques cyber dans la gestion globale des risques, s’inscrivant dans un contexte réglementaire plus large.
L'amélioration de la communication et de la transparence
Les institutions financières sont également encouragées à améliorer leur communication avec les régulateurs et à être plus transparentes sur leurs risques cyber. La réglementation DORA exige que les institutions financières soient transparentes quant à leur exposition aux risques liés aux TIC et qu’elles prennent des mesures pour les réduire.
Pour cela, les entreprises du secteur financier doivent mettre en place une stratégie de surveillance et d’audit. Elles doivent identifier les points de vulnérabilité dans leur système TIC et mettre en place des mesures pour les protéger. Elles doivent aussi s’assurer que leurs prestataires respectent des normes strictes en matière de cybersécurité, en établissant des contrats clairs, en réalisant des audits réguliers et en maintenant une communication optimale avec eux.
En cas d’incident, celui-ci doit être reporté aux membres de l’organe de direction puis aux autorités compétentes. En cas de manquement à cette obligation, les institutions financières s’exposent à des amendes pouvant aller jusqu’à 10 millions d’euros ou 5 % de leur chiffre d’affaires annuel total.
