C. DORA : LES DISPOSITIONS SPÉCIFIQUES AUX SECTEURS FINANCIER, BANCAIRE ET ASSURANTIEL
Le titre III du projet de loi transpose dans le droit interne les dispositions de la directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 en ce qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ».
Ces dispositions viennent elles-mêmes modifier plusieurs directives encadrant les secteurs bancaire, financier et assurantiel pour prévoir que leur politique de gestion des risques liés aux technologies de l'information et de la communication est conforme au règlement (UE) 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier.
En effet, le secteur financier est une cible de choix pour les cyberattaques : il n'est que de rappeler la recapitalisation de la filiale américaine de la banque chinoise ICBC à hauteur de plusieurs milliards de dollars en 2024 du fait d'un rançongiciel. Par ailleurs, comme le souligne un rapport du comité européen du risque systémique (CERS) de 2020, le niveau élevé d'interconnexion dans le secteur financier, et notamment les interdépendances de leurs systèmes de technologies de l'information et de la communication (TIC), est susceptible de constituer une vulnérabilité systémique du fait d'une propagation possible d'un cyber incident de l'une des 22 000 entités financières à l'ensemble du système financier.
Ainsi que l'indique la direction générale du Trésor dans une étude sur le sujet, le risque cyber est en forte augmentation depuis plusieurs années . Dans son rapport sur la stabilité financière de décembre 2024, la Banque de France indique que le risque lié aux menaces cyber est très élevé, un niveau plus menaçant que le risque climatique, le risque de marché, le risqué lié à l'endettement des acteurs non financiers et le risque pour les intermédiaires financiers, qui n'est qu'élevé (cf. graphique ci-après).
Évaluation des risques du système financier français en décembre 2024
Source : Banque de France, rapport sur la stabilité financière, décembre 2024
Selon l'Autorité des marchés financiers (AMF), les entités financières sont exposées à une large gamme de risques « TIC » : le déni de service sur l'infrastructure de trading, et donc plus globalement l'atteinte à la disponibilité de l'infrastructure de trading, l'atteinte à la confidentialité et l'intégrité des ordres, la compromission de l'algorithme de négociation (porte dérobée, code malveillant ou simplement présentant des bogues importés depuis des sources externes comme l'open source ou ChatGPT), ou encore l'atteinte à l'intégrité du Système d'Information (SI) supportant les services algorithmiques en vue de compromettre et modifier l'algorithme.
Au total, donc, une réglementation plus rigoureuse que celle qui prévalait par le passé s'avère nécessaire.