L’échéance du 1er janvier 2025, pour la réglementation DORA sur la résilience opérationnelle numérique des acteurs financiers, approche à grand pas. Cette chronique attire l’attention sur un aspect du texte souvent moins mis sous les projecteurs.
J’ai abordé dernièrement le défi de la culture d’entreprise face à DORA. Mais ce n’est évidemment pas le seul aspect sur lequel il est encore nécessaire de braquer le projecteur. On parle souvent de DORA en se concentrant sur ses exigences techniques et organisationnelles strictes, mais je souhaiterais attirer l’attention sur un aspect souvent oublié : le cinquième pilier, qui concerne le partage d’informations entre acteurs du secteur financier et les autorités de régulation. Contrairement aux autres piliers, celui-ci n’est pas une obligation réglementaire ferme, mais plutôt une recommandation stratégique, ce qui explique qu’il reçoive moins de visibilité dans les discussions sur la conformité.
Pourtant, l’enjeu est de taille. Encourager les entreprises financières à échanger de manière proactive les informations relatives aux incidents de sécurité, aux menaces émergentes et aux pratiques de résilience pourrait renforcer la robustesse de l’ensemble de l’écosystème. En favorisant un environnement de collaboration, les entreprises pourraient bénéficier d’un réservoir collectif de connaissances et d’expériences, ce qui améliorerait leur capacité à anticiper les menaces et à y répondre de façon proactive. Cette compréhension partagée facilite le développement de bonnes pratiques et la mise en œuvre de mesures préventives plus efficaces, renforçant ainsi la résilience de chaque organisation, mais aussi celle du secteur financier dans son ensemble. La coordination devient alors un véritable levier de prévention et de réponse commune face aux cybermenaces, contribuant à une résilience qui dépasse les frontières de chaque entreprise.
Pourquoi, dès lors, ce cinquième pilier reste-t-il souvent en retrait des débats ? Pour une raison simple : le partage d’informations implique une confiance mutuelle, qui, dans un secteur concurrentiel, est loin d’être acquise. Les entreprises hésitent à divulguer des incidents qui pourraient entacher leur réputation, ou pire, exposer leurs vulnérabilités à leurs concurrents. De plus, même lorsqu’il existe des plateformes de partage d’information comme les CERTs, elles sont souvent perçues comme peu sécurisées ou mal structurées, ce qui freine les échanges volontaires.
D’autre part, la crainte de potentielles répercussions réglementaires complique encore la dynamique de confiance. Partager un incident majeur avec les autorités pourrait se traduire par un examen minutieux des mesures de sécurité en place, voire par des sanctions en cas de défaillances détectées. Face à cela, de nombreuses institutions préfèrent rester discrètes, minimisant les incidents pour ne pas attirer l’attention. Or, cette opacité rend le système financier plus vulnérable dans son ensemble, car les failles exploitées contre une organisation peuvent très vite être reproduites ailleurs.
Alors, comment transformer ce cinquième pilier en un véritable moteur de résilience collective ? Tout d’abord, il est indispensable de créer un environnement de confiance où le partage d’informations se fait de manière anonyme ou sous garantie de confidentialité. Les régulateurs devraient jouer un rôle de facilitateur, en instaurant des mécanismes de retour d’expérience constructifs plutôt que des réactions punitives. Cela signifie adopter une approche “learning-first”, où l’objectif est de renforcer la résilience systémique et non de pointer les faiblesses individuelles.
Ensuite, pour rendre ce partage attractif, il faut mettre en avant les bénéfices concrets. Partager les informations permettrait aux institutions de mieux comprendre les tendances actuelles des cybermenaces, d’anticiper les risques émergents, et de renforcer leurs propres systèmes de défense. La collaboration aiderait à établir des stratégies de gestion des risques plus robustes et à renforcer la confiance entre les acteurs du secteur.
Enfin, un autre défi est de rendre ce pilier véritablement européen. Le partage d’informations reste aujourd’hui fragmenté, chaque pays ayant ses propres infrastructures, régulateurs et pratiques. La création d’un réseau européen intégré permettrait de combler ces silos et de créer un cadre plus harmonisé, au bénéfice de l’ensemble du marché.
Ainsi, ce cinquième pilier, même s’il reste aujourd’hui au stade de la recommandation, pourrait bien être l’une des pierres angulaires d’une résilience opérationnelle véritablement effective. L’enjeu pour les régulateurs est de trouver le bon équilibre entre incitation et contrainte, pour transformer cette « bonne pratique » en un réflexe partagé par tous. Dans un monde où les cybermenaces se propagent à la vitesse de l’information, c’est le partage lui-même qui pourrait devenir notre meilleure défense.