À mesure que la loi européenne sur la résilience opérationnelle numérique entre en vigueur, les entreprises du secteur financier, en particulier les plus petites, pourraient être confrontées à des contraintes de ressources, ce qui accroîtrait la pression sur les marchés des talents en matière de sécurité.
Les efforts déployés pour se conformer à la loi européenne sur la résilience opérationnelle numérique (DORA) risquent d’accroître la pression sur le marché des compétences en cybersécurité, déjà tendu.
DORA, qui entre pleinement en vigueur aujourd’hui, vise à améliorer la cybersécurité et la résilience opérationnelle des institutions financières de l’UE, notamment les banques, les compagnies d’assurance et les sociétés d’investissement.
La réglementation exige que les entreprises du secteur financier établissent un cadre complet pour la gestion des risques liés aux TIC (technologies de l’information et des communications).
Atteindre la conformité DORA nécessite la mise en œuvre de mesures essentielles de protection, de détection, de confinement, de récupération et de réparation. Les organisations du secteur financier doivent également appliquer des règles claires en matière de déclaration des incidents liés aux TIC, de tests de résilience opérationnelle et de surveillance des risques liés aux tiers liés aux TIC.
Combler le déficit de compétences
Assurer la conformité DORA nécessite une expertise dans des domaines tels que la gestion des risques liés aux TIC, la réponse aux incidents et les tests de résilience. Il s’agit de compétences hautement spécialisées, déjà rares en Europe et au-delà.
Les petites entreprises en particulier pourraient avoir du mal à attirer et à retenir du personnel suffisamment qualifié, selon Julian Brownlow Davies, vice-président mondial des services avancés chez Bugcrowd, fournisseur de plateforme de bug bounty.
Même avant DORA, les RSSI se tournaient de plus en plus vers les services de sécurité pour aider à combler les déficits de compétences. DORA va probablement accélérer cette tendance.
Simon Onyons, directeur général de la pratique cybersécurité chez FTI Consulting, a noté que DORA intègre un principe de proportionnalité permettant « de simplifier la mise en œuvre en fonction de l’échelle, de la nature et de la complexité de l’organisation ». Cette approche sur mesure devrait rendre la mise en conformité moins coûteuse (en termes de coût total) pour les petites entreprises du secteur financier que pour leurs homologues multinationales.
Pressions sur la main-d’œuvre
Les Perspectives de sécurité mondiale 2025 du Forum économique mondial révèlent que le déficit de compétences en matière de cybersécurité a augmenté de 8 % depuis 2024.
« Il est clair que la demande de professionnels qualifiés en cybersécurité dépasse déjà de loin l’offre », a commenté Suzanne Button, directrice technique pour la zone EMEA chez le fournisseur d’analyse de données Elastic. « Ces nouvelles exigences pourraient aggraver la situation, laissant les petites entreprises dans une situation sérieusement désavantageuse dans la compétition pour les talents. »
Pierre Noel, RSSI terrain d’Expel, est du même avis : « Comme la demande en professionnels de la cybersécurité dépasse de loin l’offre, le résultat est un grand jeu de chaises musicales, avec du braconnage partout. »
Le respect de la réglementation DORA implique des dépenses accrues en matière d’infrastructure et de personnel de cybersécurité pour établir et maintenir le cadre obligatoire de gestion des risques liés aux TIC. Il y aura également des coûts permanents associés aux tests réguliers de résilience opérationnelle numérique, y compris les évaluations de vulnérabilité et les tests d’intrusion.
Safi Raza, directeur principal de la cybersécurité chez Fusion Risk Management, a indiqué que les organisations peuvent appliquer une combinaison de formation des employés, d’externalisation vers des services gérés et de perfectionnement des compétences pour alléger le fardeau des compétences nécessaires pour atteindre et maintenir la conformité avec DORA.
Sabeen Malik, vice-président des affaires gouvernementales mondiales et des politiques publiques chez Rapid7, n’est pas d’accord avec le consensus général selon lequel DORA mettra davantage à rude épreuve les ressources en main-d’œuvre en cybersécurité.
« DORA en lui-même n’aggravera pas le déficit de compétences en matière de cybersécurité, car de nombreuses sociétés financières qui se conformeront à DORA seront également soumises au NIS2 et à la Cyber Resilience Act », a soutenu Malik. « En conséquence, ce seront les mêmes équipes qui se prépareront aux nouvelles règles et réglementations. »
Malik a ajouté que l’IA peut également apporter une aide « car elle aidera à libérer les membres de l’équipe de certaines des tâches les plus répétitives pour se concentrer sur de nouvelles implémentations ».
La conformité à NIS2, entrée en vigueur en octobre 2024, a eu un impact significatif sur les contraintes de ressources et les déficits de compétences, selon une enquête menée par l’éditeur de logiciels Veeam, qui a révélé que 95 % des entreprises touchées par NIS2 ont dû détourner des fonds d’autres activités. domaines pour couvrir les coûts de conformité NIS2.
« Les entités non réglementées, telles que les agences de notation de crédit et certains types de prêts exonérés, d’affacturage et de mini-obligations, ainsi que celles associées aux nouveaux modèles financiers, tels que les échanges cryptographiques et les plateformes de prêt peer-to-peer, entrent dans le champ d’application de DORA, » fit remarquer Rose. « Pour eux, ces exigences peuvent imposer un nouveau niveau de contrôle, ainsi qu’une surveillance formalisée, nécessitant des dépenses en solutions et en personnel. »
Lacunes de conformité
Une enquête commandée par le cabinet de conseil en sécurité Orange Cyberdefense a révélé que malgré deux ans de préparation, 43 % du secteur des services financiers britannique ne se conformera pas à DORA avant au moins trois mois.
Les obstacles à la conformité DORA cités par les 200 participants à l’enquête d’Orange Cyberdefense comprenaient une priorisation insuffisante de la part de l’organisation dans son ensemble (28 %) et un manque de compétences/connaissances (24 %).
Bien que les contraintes budgétaires ne soient pas actuellement considérées comme un obstacle à la conformité, 66 % des RSSI et des décideurs de haut niveau en matière de sécurité interrogés dans le cadre de l’enquête estiment que DORA augmentera considérablement les coûts de cybersécurité à long terme.
Orange Cyberdefense estime que le retard de certaines entreprises à se mettre en conformité avec DORA résulte de la combinaison de la difficulté d’appliquer des normes qui se chevauchent, telles que NIS2 et DORA, combinée à un certain degré de complaisance quant à l’application précoce des nouvelles réglementations.
« Le paysage réglementaire de l’UE est fortement encombré avec plusieurs normes et lois qui se chevauchent désormais en vigueur », a déclaré Richard Lindsay, consultant principal chez Orange Cyberdefense. « Il y a beaucoup de chemin à parcourir, et nous voyons de plus en plus d’entreprises adopter une approche plus réactive face aux exigences de conformité une fois que la menace de représailles devient tangible. »
Lindsay a ajouté : « Même si nous nous attendons à une certaine amnistie pour les organisations non conformes à court terme, l’UE envisage clairement DORA comme une réglementation avec du mordant. Les amendes allant jusqu’à 1 % du chiffre d’affaires quotidien mondial et supérieures à 1 million d’euros pour les hauts dirigeants individuels sont importantes. Notre conseil aux retardataires de DORA est de mettre rapidement de l’ordre dans leur maison.
Crystal Morin, stratège en cybersécurité chez Sysdig, a fait valoir que, étant donné que les sociétés financières et bancaires sont habituées à des changements périodiques en matière de conformité et de reporting – et sont généralement attentives à la maturité en matière de cybersécurité – la mise en conformité avec DORA ne devrait pas être un obstacle majeur.
« Même si les petites sociétés financières ne sont peut-être pas entièrement conformes dès le départ, elles devraient activement rechercher une conformité totale et travailler en étroite collaboration avec les régulateurs fédéraux », a conseillé Morin.
D’autres experts ont fait valoir qu’une application efficace de la loi sera essentielle si l’on veut que DORA atteigne ses objectifs.
« L’efficacité de DORA en termes d’amélioration de la résilience opérationnelle numérique du secteur européen des services financiers dépendra dans une large mesure de la qualité des régulateurs locaux », a déclaré Noel d’Expel. « S’ils connaissent leur sujet et posent les bonnes questions, DORA apportera des améliorations à l’ensemble du secteur. Dans le cas contraire, ce sera l’une des nombreuses réglementations qui n’auront pas permis d’apporter des améliorations significatives.»
Analyse coûts-avantages
Le coût potentiel d’un projet de conformité DORA peut varier considérablement. Un rapport de juin 2024 du consultant en gestion McKinsey estime que les coûts du programme DORA varient généralement entre 5 et 15 millions d’euros rien que pour la stratégie, la planification, la conception et l’orchestration.
Les coûts de mise en œuvre peuvent être cinq fois supérieurs ou supérieurs aux coûts initiaux du programme une fois les investissements dans les nouvelles technologies et la formation réalisés.
« Les coûts initiaux de mise en œuvre seront relativement importants, en particulier pour les petites entreprises », a déclaré Tim Wright, associé et avocat spécialisé en technologie chez Fladgate. « On s’attend à ce que les avantages à long terme d’une résilience opérationnelle renforcée et d’une meilleure gestion des risques rentabilisent l’investissement, car la mise en œuvre conduira à un écosystème financier plus sûr et plus résilient. »
Une entreprise du secteur financier qui est plus résiliente face aux pannes de service et aux cyberattaques est susceptible de subir moins de perturbations dans ses opérations commerciales en étant moins exposée aux risques de temps d’arrêt coûteux.
« Le coût d’un incident de cybersécurité important ou d’une panne opérationnelle éclipsera presque certainement toute dépense initiale de conformité », a déclaré Davies de Bugcrowd. « En fin de compte, les dépenses nécessaires pour répondre à ces exigences ne se limitent pas à cocher des cases ; c’est un investissement stratégique dans la fiabilité et la confiance du marché.
Sam Peters, chef de produit chez le spécialiste de la conformité ISMS.online, a fait valoir que les entreprises du secteur financier doivent équilibrer les coûts immédiats de la conformité à DORA avec les avantages commerciaux à long terme.
« Une résilience opérationnelle améliorée réduit les temps d’arrêt et atténue les pertes financières associées aux cyberincidents », a déclaré Peters. « Parallèlement, des cadres améliorés de gestion des risques peuvent contribuer à éviter les amendes réglementaires et à maintenir la confiance des clients. »
Les investissements visant à améliorer la résilience de la cybersécurité en se conformant à la DORA pourraient permettre aux entreprises du secteur financier d’obtenir plus facilement une protection contre la cyber-assurance à des tarifs plus avantageux.
« L’un des avantages importants que nous pouvons constater est la possibilité de réduire les primes d’assurance pour les entreprises démontrant une solide posture de cybersécurité », a ajouté Peters.