La loi sur la résilience opérationnelle numérique (DORA) définit les normes techniques que les institutions financières et leurs fournisseurs de services technologiques critiques doivent mettre en œuvre dans leurs systèmes TIC (technologies de l’information et de la communication) au début de l’année 2025. Mais les entreprises sont-elles vraiment prêtes à se conformer à ces exigences et, par conséquent, à gérer correctement les risques dans leur supply chain ? Réponse de Jaggaer, leader dans la digitalisation des achats et la collaboration au sein de la supply chain.
En France comme dans de nombreux pays d’Europe, l’ascension de l’intelligence artificielle et les tensions mondiales alimentent fortement le risque de cybercriminalité. L’Agence de cybersécurité de l’Union européenne (ENISA) a averti que le nombre d’attaques contre les infrastructures a doublé entre le quatrième trimestre 2023 et le premier trimestre 2024, probablement pour des motifs géopolitiques. Les cyberattaques entraînent la fuite de millions de données internes, notamment des données clients. Ce qui peut laisser aux cybercriminels la main pour mener plus facilement d’autres types d’attaques, comme des escroqueries où ils tentent de tromper l’utilisateur en lui communiquant des données personnelles qui sont réelles. Face à un phénomène qui semble ne pas avoir de limites, la loi sur la résilience opérationnelle numérique (DORA) fixe légalement les exigences à respecter par les établissements bancaires et d’assurance. Elle permet de renforcer la sécurité et de maintenir une bonne résilience numérique.
La gestion des risques liés aux TIC
D’ici le 17 janvier 2025, un cadre contraignant et complet sera donc mis en place pour la gestion des risques liés aux technologies de l’information et de la communication (TIC) dans le secteur financier de l’UE. Mais aussi pour celle des tiers essentiels qui leur fournissent des services connexes, tels que les plateformes en nuage ou les services d’analyse de données. En d’autres termes, leurs principaux fournisseurs. Ainsi, les fournisseurs de TIC qui seront jugés « critiques » par la Commission européenne seront directement surveillés par les autorités européennes de surveillance (AES). Comme les autorités compétentes, elles pourront exiger des mesures de sécurité et de remédiation et sanctionner les fournisseurs qui ne s’y conforment pas.
L’analyse des contrats en cours
Cette nouvelle réglementation implique que certains contrats, qui n’ont pas été analysés sous l’égide de l’Autorité bancaire européenne, devront être revus. Cela implique un travail important d’analyse des contrats en cours : d’une part, pour identifier les nouvelles clauses qui étaient déjà incluses dans les anciens d’autre part, pour identifier les contrats qui devront être renégociés afin d’y inclure de nouvelles clauses. Cette nouvelle réglementation DORA est une avancée pour la sécurité des entreprises. Les cyberattaques en provenance des fournisseurs, notamment lorsqu’ils sont de petite taille, représentent un danger qui n’était pas encore contrôlé.
La question des fournisseurs
Pour la plupart des entreprises, la loi DORA n’aura pas d’impact majeur, car elles utilisent déjà des protocoles de sécurité pour améliorer la gestion des risques exposés. Toutefois, elles devront procéder à des tests de résilience supplémentaires en augmentant le nombre d’évaluations qu’elles effectuent, en affinant les méthodologies et en incorporant les meilleures pratiques en matière de contrôle et de surveillance des systèmes. Jusqu’ici tout va bien, mais une question se pose : les entreprises et leurs équipes sont-elles vraiment prêtes à auditer et à certifier leurs fournisseurs ? Selon une enquête organisée par Forsitis, 72 % des grandes entreprises enregistrent et approuvent tous leurs fournisseurs. Un pourcentage qui tombe à 18 % dans celles dont le chiffre d’affaires est inférieur à 20 millions. Et parmi ces dernières, huit sur dix se limitent à l’enregistrement. L’une des conclusions les plus inquiétantes de cette étude, réalisée il y a moins d’un an, est que 82 % des entreprises de moins de 20 millions d’euros ne contrôlent pas les risques de leurs fournisseurs, mais que 35 % des entreprises de plus de 100 millions d’euros ne le font pas non plus. Ces organisations mettent en danger l’entreprise elle-même.
Le contrôle pour mieux digitaliser
Dans les opérations d’achats du secteur financier, de celui des assurances et, par extension, dans toute relation impliquant la gestion avec des fournisseurs, de nombreuses parties interviennent et les processus deviennent très complexes. Cela nécessite une évaluation permanente des risques, et les procédures manuelles et traditionnelles ne garantissent pas un contrôle efficace. Face à ces tâches chronophages, répétitives et à faible valeur ajoutée, la technologie doit gagner du terrain. En plus de leur propre équipe de conseillers juridiques, les entreprises choisissent des partenaires externes spécialisés dans la gestion des risques et l’accréditation par le biais de plateformes innovantes qui mesurent et qualifient les fournisseurs partout dans le monde à l’aide d’une cartographie des risques complète et diversifiée. Ceux qui le font seront avantagés dans le nouveau scénario qu’apportera la réglementation DORA pour les entreprises qui gèrent d’énormes volumes de données. Ce n’est qu’avec la technologie et, bien sûr, la conformité qu’elles pourront protéger efficacement leurs clients contre la menace constante qui pèse sur leur sécurité.