00:00 [Musique]
00:04 Et nous continuons ces échanges en parlant toujours de réglementaires,
00:09 mais d'autres pans de la finance qui sont concernés par les dispositifs réglementaires
00:14 sur lesquels planche encore et toujours la Commission européenne avec Alain Lecor.
00:18 Vous êtes Managing Director chez Accenture. Bonjour.
00:20 Bonjour.
00:20 Merci d'être avec nous.
00:22 Alors on va parler avec vous de Dora.
00:24 Ce n'est pas le prénom d'une exploratrice bien connue.
00:27 On aimerait, selon un dispositif, donc je le disais, sur lequel planche la Commission européenne,
00:32 qu'il vise à renforcer la résilience, la robustesse des établissements financiers
00:36 et qu'il devrait entrer en application début 2025.
00:39 Alors pour qu'on ait une petite longueur d'avance,
00:41 est-ce que vous pouvez nous expliquer un petit peu quels en sont les objectifs ?
00:44 Alors tout d'abord Dora, ce n'est vraiment pas une énième réglementation
00:48 avec un exercice de mise en conformité ponctuelle.
00:51 C'est vraiment là ce qui est demandé à la place financière au niveau européen.
00:55 C'est de pouvoir poser une résilience efficace et constante dans le temps justement
01:01 par rapport à toutes ces évolutions, par rapport au secteur financier qui évolue beaucoup,
01:05 par rapport à ces métiers intrinsèques, par rapport à la digitalisation, la robotisation,
01:09 l'automatisation et l'avènement de tout ce qui est intelligence artificielle.
01:13 Pour justement venir prendre en compte tous ces nouveaux sujets,
01:18 parfois ces ruptures vraiment technologiques et parfois changements de métier
01:21 au sein de ces établissements pour pouvoir assurer au niveau européen
01:25 une efficacité sur les sujets de continuité d'activité, de robustesse
01:30 et aussi de protection par rapport aux cyberattaques.
01:34 Donc là on est vraiment sur un texte unique, innovant au niveau européen
01:40 pour permettre aux établissements financiers de se positionner par rapport à ces menaces,
01:45 faire face à ces risques et aussi de pouvoir avoir une surveillance peut-être un peu plus accrue
01:50 et un contrôle renforcé sur des grands prestataires qui fournissent ces services liés à la technologie et à l'information.
01:57 Justement vous parliez de cyberattaques puisque c'est ça le sujet vraiment d'Aurare,
02:01 le noyau dur on va dire c'est de protéger encore mieux les établissements financiers contre ces attaques.
02:06 Elles ont augmenté, elles ont bondi en quelques années ?
02:10 Malheureusement oui.
02:12 Les établissements financiers ont montré leur robustesse quand on a vécu la pandémie
02:18 et leur solution pouvoir continuer l'activité avec justement le déploiement de plein de solutions technologiques
02:22 qui ont permis de pouvoir continuer et de servir les clients.
02:26 Malheureusement on a vu aussi une explosion des cyberattaques.
02:30 Juste un de chiffre, aujourd'hui il y a quand même à peu près 45% des entreprises qui déclarent avoir subi une attaque.
02:37 Et quand on parle de 45% c'est déjà les entreprises qui ont pu détecter cette attaque
02:42 et deux qui ont bien voulu déclarer l'attaque.
02:45 Le second chiffre aussi important c'est le coût du risque.
02:49 Le coût du risque par rapport à ces nouvelles technologies, il a bondi de 50% en deux ans.
02:54 Donc c'est vraiment une évolution énorme, une menace forcément de plus en plus prégnante.
03:00 Et l'objectif par rapport à cette réglementation c'est de passer d'une gestion des risques informatiques,
03:05 des risques cyber à vraiment une approche globale sur la résilience opérationnelle numérique.
03:10 Alors concrètement est-ce qu'on peut avoir en tête pour illustrer un petit peu l'impact de cette réglementation des cas d'usage,
03:15 qu'est-ce que ça implique pour une banque demain de se mettre en conformité avec DORA ?
03:19 Alors ce que ça implique déjà, DORA définit en première approche qu'il y a plusieurs textes.
03:24 Donc il y a des textes de niveau 1 qui sont sortis avec d'ailleurs un certain nombre d'exigences
03:29 qui sont positionnées dans cinq grands piliers.
03:31 Premier pilier c'est poser vraiment un cadre de référence pour gérer ces risques liés à la technologie et au système d'information.
03:39 Poser ces risques, c'est pas juste identifier les côtés, mais c'est surtout derrière pouvoir mettre en place,
03:45 identifier les parades et les bons niveaux de robustesse par rapport à ça.
03:49 Ça c'est le premier pilier.
03:50 Le second pilier c'est vraiment de pouvoir aussi définir un dispositif de gestion des incidents.
03:55 Alors tous les établissements ont des dispositifs de gestion des incidents,
03:59 mais par rapport à ces typologies de risques, par rapport à ces cyberattaques,
04:02 de pouvoir justement bien les classifier et surtout avoir l'obligation,
04:06 dès que cet incident dépasse un événement majeur qui impacte l'établissement et plus globalement peut impacter la place,
04:14 de pouvoir déclarer systématiquement ces typologies d'incidents.
04:19 Et donc d'avoir un dispositif avec une notion d'alerte aussi à tout moment pour pouvoir réagir très vite.
04:25 Le troisième pilier, je vais passer assez vite, le but c'est pas de...
04:28 Le troisième pilier c'est aussi de montrer dans quelle mesure ces dispositifs sont efficaces.
04:34 Donc l'objectif de tester la résilience.
04:37 Donc tester, il y a parfois des traverses, on aime bien tester ce qui marche bien.
04:41 Là c'est vraiment tester sur l'ensemble de la chaîne et d'éviter les trous dans la raquette,
04:46 d'avoir une porte blindée mais finalement un petit portillon dans la cuisine
04:50 qui permet parfois de rentrer dans les systèmes d'information.
04:53 Donc c'est vraiment d'avoir cette politique de test.
04:56 Objectif aussi, d'avoir une vue côté régulateur
05:00 pour pouvoir contrôler que ces tests sont bien réalisés et sont bien efficaces.
05:04 Quatrième pilier, point important, c'est aussi de pouvoir intégrer dans cette gestion des risques
05:08 tout ce qui est environnement et donc tout ce qui est prestataire de services liés à ces technologies.
05:15 Donc les encadrer, c'est pas juste définir un contrat, tout le monde a des contrats.
05:19 C'est vraiment de pouvoir les contrôler mais que ça se fasse de manière aussi efficace
05:24 que l'échange d'informations puisse être constant pour justement, en fonction de la menace,
05:29 réévaluer les niveaux de sécurité.
05:32 Et puis au niveau européen, qu'il y ait aussi un contrôle de ces prestataires par les régulateurs.
05:37 Et le cinquième pilier, c'est tout ce qui est partage d'informations entre les établissements financiers.
05:41 Donc là c'est vraiment créer une zone de confiance pour que chaque établissement puisse communiquer
05:46 quand ils sont touchés, impactés par un événement.
05:49 Communiquer aussi sur leur dispositif pour mettre en place des parades
05:54 et aussi pouvoir interagir avec les prestataires
05:57 parce que souvent les prestataires sont appelés même dans les établissements.
06:00 Nous arrivons déjà au terme de notre échange, c'était très clair.
06:04 Merci beaucoup parce que c'est très appréciable sur ces sujets ô combien complexes
06:07 d'avoir un éclairage concret, limpide.
06:10 Donc un grand merci Alain Lecorp pour cette immersion d'Andorra
06:14 et j'imagine qu'on n'a pas fini d'en entendre parler.
06:18 Les échanges de cette matinée se poursuivent.
06:20 Il est temps pour moi de donner la parole à mon confrère Raphaël Legendre.
06:24 [Musique]
Commentaires