Ce n’est que quelques années après la première directive NIS et, même si votre adhésion était formellement obligatoire, votre application était souhaitée entre les pays et les secteurs. Dans bien des cas, il s’agit de cadres peu homogènes et de stratégies réactives : ils se déclenchent lorsqu’il y a un incident ou lorsque le régulateur appelle à la porte. Le contexte actuel est radicalement distinct. L’augmentation exponentielle des technologies de l’information, l’hyperconnectivité du système financier et de la banque, ainsi que la dépendance des fournisseurs technologiques ont augmenté en Europe pour supporter le cadre réglementaire. Aujourd’hui, la version révisée NIS2 n’a plus d’espace pour l’improvisation.
Au cours des dernières années, la cybersécurité du secteur bancaire a été perçue comme une question éminemment technique, confinée aux départements de TI ou à la figure du RSSI. La législature de NIS2, avec des normes complémentaires à celles de DORA ou de la Cyber Resilience Act (CRA), marque définitivement la fin de cette vision.
NIS2, avec Marcos comme DORA ou CRA, consolide l’idée que la cybersécurité n’est pas une recommandation ni une valeur ajoutée, mais une obligation réglementée. Introduire des exigences claires en matière de notification d’incidents, de lieux stricts, de mesures, de preuves et de sanctions possibles avec impact économique et réputationnel. Dans ce nouveau scénario, sa réaction n’est pas efficace, mais elle est également dangereuse. La seule stratégie viable est la proactivité. Par conséquent, le principal impact pratique de celui-ci sur les banques et les fournisseurs technologiques n’est pas tant dans l’introduction de nouveaux contrôles, que les techniciens — beaucoup existent — comme le changement de mentalité qu’exigent. La question clé n’est pas « Qu’est-ce que nous devons changer pour remplir la réglementation ? », mais « tout ce que nous avons fait pour que nous puissions remplir la forme démontrable, continue et surveillée ? ». Aujourd’hui, la cybersécurité est un risque commercial de premier ordre et, en tant que tel, une responsabilité directe de la haute direction.
Oui, c’est précisément l’une des erreurs les plus courantes à l’approche de NIS2 qui est traitée comme une norme technique plus similaire à l’ISO avec une liste d’exigences vérifiée. Pas de perte. NIS2 introduit un changement profond dans la gouvernance : la haute direction doit être impliquée activement dans la gestion du risque cibernétique. Sous-estimer cette responsabilité — ou déléguer sans surveillance — peut dériver dans des sanctions qui, paradoxalement, obligent à destiner plus de recours à payer plusieurs pour améliorer la sécurité réelle.
De plus, la norme s’étend au centre de la chaîne de suministro. Les fournisseurs de technologies, les développeurs de logiciels et les fabricants de matériel ont fourni une partie explicite du périmètre réglementaire. Pour la banque, cela implique une responsabilité supplémentaire : exiger de vos sociétés le même niveau de maturité en matière de cybersécurité qu’ils exigent de la même manière.
Manos à la main
Même si la transposition nationale de NIS2 est récente, les attentes réglementaires sont claires. Le secteur financier, notamment en Europe, fait partie d’un niveau de maturité élevé grâce aux années de réglementation. Sans embargo, cette vente peut être diluée rapidement si les processus, les mesures et les preuves ne sont pas actualisés conformément aux nouveaux cadres.
Dans cette phase, les entités doivent donner la priorité à trois aspects clés. Premièrement, révisez votre modèle de gouvernance pour garantir que le risque cibernétique soit géré au plus haut niveau, avec une supervision réelle et un rendu des comptes. Deuxièmement, évaluez de manière critique la maturité de votre chaîne de suministro, en exigeant des fournisseurs de preuves claires de réussite. Et troisièmement, le plus du minimum régulateur, anticipant les exigences futures.
Et il faudra le faire avec le temps et progressivement, parce qu’il improvise des processus pour accumuler les zones sous la pression générée par les erreurs, les erreurs et les tensions dans l’ensemble de l’organisation et de son écosystème de fournisseurs. Et dans un secteur qui est interconnecté avec le financier, une chute dans un chantier peut avoir des conséquences en cascade. Par conséquent, l’irruption accélérée des technologies émergentes, comme l’intelligence artificielle, montre que nous ne passerons pas d’autres années avant de voir de nouvelles versions ou des marchés complémentaires. Adopter des contrôles solides dès maintenant permettra aux entités de construire un écosystème régulateur durable et, en tout cas, adaptable.
Caisses automatiques : un exemple clair du défi
Tout cela est particulièrement pertinent dans un secteur qui dépend le plus de la technologie toujours changeante. Par exemple, la numérisation a amélioré l’efficacité et l’expérience du client, mais a également ouvert la porte à une nouvelle forme de « robot à un banc » : le ciberataque. Aujourd’hui, l’argent n’est qu’un objet robot, mais aussi les données et les systèmes critiques.
Sur la banque, les caisses automatiques représentent de manière très visible ce problème. L’accessibilité physique vous permet de vous convertir à un point d’entrée habituel pour les logiciels malveillants, comme ils ont démontré des attaques avec des familiers et des variantes comme Ploutus, FixS, Green Dispenser ou Cutlet Maker. Une gestion déficiente de ces appareils n’affecte pas seulement le banc, mais potentiellement tout votre écosystème.
Dans un secteur relié au financier, une chute dans un bâtiment peut avoir des conséquences en cascade
L’application de DORA oblige les entités à identifier, évaluer et atténuer les risques spécifiques de ces entreprises. L’ARC, de son côté, répond à la nécessité que la sécurité soit intégrée à la phase de conception du logiciel, avec des essais périodiques, une capacité de récupération et une transparence dans la gestion des vulnérabilités. Les normes sont complémentaires et se répondent mutuellement.
Mais nous avons le champ moyen plein : NIS2, DORA et CRA ne sont pas leurs seules obligations réglementaires, mais une opportunité d’élever le niveau de sécurité et de confiance dans tout le système financier européen. Parce que, dans le nouveau monde, la cybersécurité n’est pas facultative : c’est une condition essentielle pour la pérennité du commerce.
Néstor Santolaya, expert produit cybersécurité d’Auriga
