{ Tribune Expert } - Quel est l'impact de DORA pour les utilisateurs de Java du secteur financier ?

Dès janvier 2025, les entreprises européennes de services financiers devront se conformer au Digital Operational Resilience Act (DORA). Cette nouvelle réglementation vise à renforcer la cyber résilience du secteur financier, sa maturité et posture en matière de cybersécurité. L'enjeu est crucial. Selon le rapport IBM Cost of a Data Breach 2024, le coût moyen d'une violation de données pour les entreprises du secteur financier dans le monde est de 6,1 millions de dollars en 2024, soit plus de 20 % de plus que pour toutes les industries réunies.

Pourtant, selon une étude de McKinsey, moins d'un tiers des institutions financières (31 %) sont convaincues qu'elles répondront à toutes les attentes de la DORA d'ici janvier 2025 ; le même nombre doute de leur capacité à se conformer pleinement d'ici la date limite. Le délai de mise en conformité, l'approche centrée sur la gestion des risques et des (services) tiers, la définition des responsabilités, les sanctions encourues, autant d'adaptations qui démontrent à quel point DORA bouscule le secteur tout entier.

DORA et Java, je t'aime moi non plus ?

DORA est une occasion parfaite pour les entreprises et institutions du secteur de se pencher sur leurs environnements Java. Car c'est bien là que de nombreux risques de conformité et de sécurité sommeillent. Elles vont devoir faire l'inventaire des risques associés à leurs applications (à celles des tiers également) qui soutiennent leurs services ou processus métier pour s'assurer de leur conformité et sécurité. DORA fait référence aux actifs TIC, qui sont définis comme des « actifs logiciels ou matériels dans le réseau et les systèmes d'information d'un établissement financier ».

Selon le rapport 2022 de FINOS State of Open Source in Financial Services, 51 % du code logiciel de l'ensemble de données sur les services financiers est écrit en Java. Java est donc le langage de programmation préféré du secteur financier. La sécurité Java joue donc un rôle important dans la conformité. Le rapport actuel sur l'état de DevSecOps montre que le plus haut niveau d'attention est requis ici. Selon le rapport, 90 % des services Java examinés présentent au moins une vulnérabilité grave à critique, et 55 % peuvent être attaqués à l'aide d'exploits connus.

Comment concilier DORA, Java, conformité et sécurité ?

Pour toutes les entreprises, et particulièrement celles du secteur financier, les cyberattaques ne sont plus à considérer selon la question du "si je suis attaquée" mais plutôt du "quand je serai attaquée". Dès lors, investir dans des outils de détection, dans la préparation à la réponse post-violation peut aider à réduire considérablement les coûts de violation pour les entreprises financières et leurs clients.

Java sous-tend une énorme quantité d'infrastructure informatique et exécute de nombreuses applications critiques. Les institutions financières doivent s'assurer que leur empreinte Java, et celle de leurs prestataires ou services tiers, est bien conforme à la réglementation DORA. C'est aux dirigeants (DSI, RSSI), aux experts techniques des institutions financières de faire ce travail d'évangélisation auprès du conseil d'administration, de la direction générale car ces derniers sont désormais tenus comme responsables en cas de non-respect ou non-conformité à la réglementation DORA.

Pour garantir leur conformité, les acteurs de secteur bancaire et financier utilisant Java peuvent s'assurer de respecter ces 5 piliers :

Garantir la gestion des risques TIC
Les distributions OpenJDK non prises en charge peuvent exposer les institutions financières à des risques importants, tels que des vulnérabilités de sécurité non corrigées et des problèmes de performance. Il faut donc s'assurer de disposer d'une distribution OpenJDK capable de fournir des correctifs de sécurité afin de garantir que les applications Java restent résilientes et conformes aux exigences de gestion des risques TIC induites dans DORA.

Signaler les incidents rapidement
Toutes les distributions OpenJDK ne fournissent pas des mises à jour et des correctifs en même temps, ce qui entraîne des incidents non signalés et inaperçus pouvant entraîner une non-conformité. Les acteurs du secteur doivent s'équiper d'outils capables de fournir une surveillance continue des vulnérabilités et du code inutilisé ou mort en production. Cela permet aux organisations de détecter, signaler et corriger rapidement et avec précision les vulnérabilités.

Réaliser des tests de pénétration et de sécurité réguliers et rigoureux
L'utilisation de mises à jour obsolètes ou vulnérables de Java peut ne pas refléter avec précision les environnements de production, ce qui conduit à de fausses hypothèses de sécurité. Il est donc important de disposer de distributions Java à jour et testées, y compris pour les versions héritées comme Java 6 et 7 et les architectures comme Windows x86 32 bits, permettant des environnements de test fiables et précis pour les institutions financières.

Renforcer la gestion des risques des tiers
S'affilier à des distributions OpenJDK non prises en charge par des tiers augmente le risque de failles de sécurité et de défaillances opérationnelles. Il faut donc s'assurer que les applications et services tiers basés sur Java répondent aux normes de sécurité et de performance les plus élevées, réduisant ainsi les risques de tiers.

Participer au partage d'informations sur les cybermenaces
L'utilisation de distributions OpenJDK non prises en charge peut entraîner une méconnaissance des mises à jour et des correctifs de sécurité, reléguant ces applications et services à un maillon faible de la chaîne de partage de l'information. Les organisations doivent s'assurer qu'elles sont au courant des dernières vulnérabilités et peuvent partager des informations pertinentes sur les menaces avec d'autres entités pour améliorer la cybersécurité collective.

Bien que la conformité DORA nécessite des moyens, des processus, du personnel, un audit et une surveillance robustes de son écosystème IT, de partenaires et de son empreinte Java, il s'agit d'une évolution nécessaire pour les institutions financières. Elle est garante de la confiance, de la résilience et de la performance d'un secteur clé de notre économie, de la vie quotidienne des entreprises et des consommateurs.

* Simon Ritter est directeur technique adjoint chez Azul Systems