La réglementation DORA impose aux institutions financières de renforcer la gestion des risques tiers en s’assurant que leurs prestataires respectent des exigences strictes en matière de cybersécurité.
Dans ce contexte, s’appuyer sur des dispositifs permettant de s’assurer sa conformité s’impose comme une priorité stratégique. Pour permettre aux entreprises de répondre aux exigences réglementaires et de manière plus large de renforcer leur lien de confiance avec les différents acteurs de leur écosystème digital, une approche outillée est fondamentale.
En effet, dans un monde où les cybermenaces évoluent constamment, la sécurité de son entreprise dépend non seulement de ses propres défenses, mais aussi de celles de ses partenaires et fournisseurs. L’évaluation des tiers est alors essentielle pour identifier et atténuer les risques liés à ses fournisseurs, partenaires et autres parties prenantes externes.
S’appuyer sur une démarche industrielle se positionne dès lors comme un prérequis pour assurer une évaluation cyber performante
Depuis le 17 janvier 2025, les institutions financières doivent démontrer la robustesse et la résilience de leur écosystème IT, en particulier vis-à-vis de leurs fournisseurs critiques. Dans ce contexte, les professionnels de l’industrie financière se doivent de prendre en considération le projet dans son ensemble au travers de différents points comme un programme d’évaluation adapté à la typologie de tiers ou encore un processus d’évaluation simple, structuré, ergonomique et guidé, garantissant la complétude des contrôles.
Nous pourrions aussi évoquer la nécessité de bénéficier d’une profondeur d’analyse proportionnée au risque que représente le tiers (OSINT, questionnaire, test technique passif, test technique actif) pour une gestion du risque optimisée. Enfin, un suivi continu des niveaux de conformité d’une année sur l’autre permettant d’anticiper les risques sera une brique centrale du dispositif.
Le processus d’évaluation est alors piloté de de bout en bout : évaluation proportionnée et efficace en fonction de la criticité des tiers, évaluation dynamique et continue permettant une surveillance proactive et en temps réel des tiers, etc.
Dans un monde où les cybermenaces évoluent constamment, la sécurité des professionnels de la finance dépend non seulement de leurs propres défenses, mais aussi de celles de leurs partenaires et fournisseurs. L’évaluation des tiers est alors essentielle pour identifier et atténuer les risques liés à ses fournisseurs, partenaires et autres parties prenantes externes est donc le sujet phare qui vont les animer ses prochaines années. Seules les institutions financières qui géreront l’évaluation cyber des tiers de manière poussée pourront ainsi mener leurs opérations en toute sécurité et mesurer des bénéfices tangibles exploitables par les DSI, les services achats et les directions générales.
Par Olivier PATOLE chez Trustable
