Ransomwares et institutions financières : la loi DORA est une opportunité

Ces outils d’un nouveau genre s’appuient désormais sur des technologies d’IA pour identifier les cibles, exécuter les logiciels malveillants, s’introduire dans les systèmes, et enfin extorquer une rançon – ce qui facilite grandement la tâche pour les criminels qui n’ont plus besoin de compétences avancées pour les utiliser.

Face à cette situation et pour défendre ses économies nationales face à cette menace croissante, l’UE s’est accordée et a mis en place la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA). Cette dernière détermine les exigences spécifiques en matière de gestion des risques pour les prestataires de services financiers. La loi DORA légifère également spécifiquement sur des domaines clés tels que l’exactitude des rapports sur les incidents liés aux TIC¹ et la gestion des risques vis-à-vis des tiers. En cas d’attaque contre un prestataire de services financiers, les décisions et les mesures prises dans l’heure seront décisives et auront des conséquences légales importantes pour l’organisation.

Pour les institutions financières, c’est l’opportunité de prévenir plutôt que de guérir

Les équipes IT doivent se préparer et mettre en œuvre des pratiques efficaces de résilience opérationnelle pour sécuriser leurs données et anticiper une potentielle attaque. Pour cela, la formation continue des équipes IT et commerciales, ainsi que l’adoption d’outils d’identification et de visibilité des données, sont essentielles pour répondre aux différentes exigences réglementaires.

Dans le cadre du processus de gestion des risques liés aux TIC et pour se conformer à la DORA, un audit spécifique doit être réalisé pour identifier tous les emplacements, les classifications, et les types de données de l’entreprise, ainsi que son infrastructure de stockage. Ces règles ont été élaborées afin de prévenir et d’atténuer les cybermenaces tout en s’assurant que les entités financières puissent résister, réagir et se remettre de toutes les perturbations et de menaces liées aux TIC.

En outre, cette conformité – qui nécessite l’utilisation d’outils reliant des ensembles de données isolés – permet aux politiques de sécurité d’être déployées dans tous les environnements. Les équipes IT peuvent alors voir en un seul coup d’œil quelles sont les données détenues par l’entreprise, dans quel environnement elles sont stockées, et ainsi signaler rapidement et précisément les pertes. Pour rester conformes, ces politiques doivent être constamment mises à jour pour garantir leur pertinence et leur résilience face aux dernières menaces en constante évolution.

La détection précoce des menaces est essentielle pour la résilience opérationnelle

Tous les experts du secteur de la cybersécurité le savent : les données critiques sont la cible privilégiée des attaques. Ainsi, il est nécessaire de surveiller constamment les accès ou les schémas d’utilisation des ensembles de données, car cela permet de faire remonter toutes les informations utiles auprès des instances de contrôle européennes.

Si elles ne sont pas détectées à temps, ces attaques peuvent corrompre le cœur des données d’une victime. En implantant un code au sein de la base de données, le cybercriminel va attendre pour les modifier ou les corrompre discrètement bien après la date d’intrusion. Ainsi, ce type d’attaque peut infecter le cœur des sauvegardes et compromettre la restauration de données de l’entreprise, qui conservera alors sans le savoir un passage ouvert qui permettra aux criminels de réitérer leurs méfaits ultérieurement. Par ailleurs, dans cette situation, les victimes ne savent généralement pas quelles données ont été modifiées ou corrompues avant que les répercussions ne se fassent sentir, rendant ainsi toutes leurs données indignes de confiance. La seule solution consiste à conserver des copies des données sécurisées et vérifiées, et s’assurer à 100 % qu’elles sont incorruptibles et rapidement restaurables.

Les outils d’IA sont capables de surveiller en continu les changements de comportement des utilisateurs afin de détecter les compromissions. Si l’IA détecte une activité suspecte, elle peut également lancer des processus de récupération automatiques et proposer des mesures immédiates. De plus, en isolant les sauvegardes contenant des malwares, elle minimise aussi l’impact des attaques réussies. Par ailleurs, pour que les sauvegardes restent résilientes et fiables en cas d’attaque, les systèmes (tels que les serveurs et les métaserveurs) doivent être en mesure de communiquer en permanence les uns avec les autres en toute sécurité.

Toutefois, dans le cas où les fichiers de sauvegarde auraient été chiffrés suite à une attaque par ransomware, les systèmes de stockage immuables permettent de restaurer les données, sans contrefaçon. Enfin, dernier conseil en la matière, les institutions financières doivent être également vigilantes quant à l’emplacement physique des copies de sauvegarde et tester régulièrement le processus de restauration.

Rester sur le qui-vive et réagir rapidement

Lorsqu’une attaque est signalée, chaque minute compte pour limiter son impact sur l’entreprise. L’équipe IT doit intervenir immédiatement et s’assurer que les utilisateurs finaux et les systèmes affectés sont isolés du réseau. Pour ce faire, des outils de gestion de données peuvent être utilisés pour identifier rapidement quelles données sont consultées par quels utilisateurs. En analysant ces informations, il est alors possible de déterminer quelles données ont été infectées ou quelles données sont manquantes. Tant que les sauvegardes de l’entreprise sont correctement protégées, les informations peuvent être restaurées sans que la question de payer la rançon se pose.

De surcroît, pour éviter au maximum le risque d’amendes pour non-conformité, il est nécessaire de saisir le plus de détails possibles au sujet des ransomwares responsables de l’attaque et de les partager avec les autorités compétentes. Là encore, un outil complet de gestion des données et de création de rapports peut être un élément clé pour préparer sa résilience organisationnelle.

Anticiper pour éviter les poursuites

Pour garantir la cybersécurité et une véritable résilience opérationnelle face aux ransomwares, les institutions financières doivent préparer leurs défenses en amont. Du reste, la loi DORA en fait une exigence réglementaire ; dont le non-respect pourrait entraîner de lourdes sanctions pouvant aller jusqu’à 2% du chiffre d’affaires annuel mondial de l’entreprise négligente.

Toutefois, la peur de l’amende ne doit pas être la motivation première de l’entreprise : elle doit comprendre parfaitement les enjeux liés à la cybersécurité. Ainsi, ce n’est que par l’adoption d’une culture de la transparence et un contrôle total de leurs données que les prestataires de services financiers pourront être sûrs de rester en conformité. Il doit pouvoir s’accompagner d’un plan d’action interne bien préparé, régulièrement éprouvé et évolutif en fonction des nouvelles menaces. En effet, la construction d’une stratégie efficace de reprise après sinistre doit être globale et prendre en compte différents volets interconnectés à l’ensemble des activités de l’entreprise.

Bien que cela représente un coût en termes de temps, de technologie et d’investissement en personnel, la conformité à la loi DORA (et à d’autres réglementations similaires) permet aux entreprises travaillant pour ou dans le secteur financier de réduire les risques et d’accroître leur rentabilité. En prouvant la sécurité et la fiabilité de leurs propres systèmes TIC, elles réduisent également les coûts potentiels liés à la gestion des crises pour elles-mêmes et pour leurs clients.