Le
point de vue d’Olivier Patole chez Trustable.
La réglementation DORA
impose aux institutions financières de renforcer la gestion des risques tiers
en s’assurant que leurs prestataires respectent des exigences strictes en
matière de cybersécurité.
Dans ce contexte,
s’appuyer sur des dispositifs permettant de s’assurer sa conformité s’impose
comme une priorité stratégique. Pour permettre aux entreprises de répondre aux
exigences réglementaires et de manière plus large de renforcer leur lien de
confiance avec les différents acteurs de leur écosystème digital, une approche
outillée est fondamentale.
En effet, dans un monde
où les cybermenaces évoluent constamment, la sécurité de son entreprise dépend
non seulement de ses propres défenses, mais aussi de celles de ses partenaires
et fournisseurs. L’évaluation des tiers est alors essentielle pour identifier
et atténuer les risques liés à ses fournisseurs, partenaires et autres parties
prenantes externes.
S’appuyer sur une
démarche industrielle se positionne dès lors comme un prérequis pour assurer
une évaluation cyber performante
Depuis le 17 janvier
2025, les institutions financières doivent démontrer la robustesse et la
résilience de leur écosystème IT, en particulier vis-à-vis de leurs
fournisseurs critiques. Dans ce contexte, les professionnels de l’industrie
financière se doivent de prendre en considération le projet dans son ensemble
au travers de différents points comme un programme d’évaluation adapté à la
typologie de tiers ou encore un processus d’évaluation simple, structuré,
ergonomique et guidé, garantissant la complétude des contrôles.
Nous pourrions aussi
évoquer la nécessité de bénéficier d’une profondeur d’analyse proportionnée au
risque que représente le tiers (OSINT, questionnaire, test technique passif,
test technique actif) pour une gestion du risque optimisée. Enfin, un suivi continu
des niveaux de conformité d’une année sur l’autre permettant d’anticiper les
risques sera une brique centrale du dispositif.
Le processus
d’évaluation est alors piloté de de bout en bout : évaluation proportionnée et
efficace en fonction de la criticité des tiers, évaluation dynamique et
continue permettant une surveillance proactive et en temps réel des tiers, etc.
Dans un monde où les cybermenaces évoluent constamment, la sécurité des professionnels de la finance dépend non seulement de leurs propres défenses, mais aussi de celles de leurs partenaires et fournisseurs. L’évaluation des tiers est alors essentielle pour identifier et atténuer les risques liés à ses fournisseurs, partenaires et autres parties prenantes externes est donc le sujet phare qui vont les animer ses prochaines années. Seules les institutions financières qui géreront l’évaluation cyber des tiers de manière poussée pourront ainsi mener leurs opérations en toute sécurité et mesurer des bénéfices tangibles exploitables par les DSI, les services achats et les directions générales.