Les régulations et les finances sont deux faces d’une même pièce qui vont de pair constamment. Le monde des finances est étroitement lié à celui des régulations dans la mesure où l’un détermine les limites de l’autre.
Ainsi, dès lors qu’une catastrophe financière mondiale se produit, qu’elle se profile à l’horizon ou qu’elle ait déjà eu lieu, la réaction des législateurs ne se fait pas attendre. Ces derniers ont pris l’habitude de proposer une avalanche de réglementations dont l’unique but est d’endiguer le flux des perturbations au fur et à mesure qu’elles apparaissent.
Néanmoins, alors que les régulateurs s’appliquent encore à peaufiner les réformes traditionnelles du marché économique classique, il est désormais nécessaire qu’ils s’intéressent aussi à un écosystème web3 en pleine expansion. C’est dans cette optique que les législateurs de l’Union Européenne ont établi le projet de loi DORA visant à protéger les utilisateurs du web3 contre l’exploitation par des criminels et autres acteurs malveillants sévissant dans le milieu.
En quoi consiste le projet DORA ?
DORA est l’acronyme anglais du terme “Digital Operational Resilience Act” ou Loi sur la Résilience Opérationnelle Numérique. C’est un projet de loi approuvé récemment par le Conseil européen de l’Union Européenne. Il s’agit du tout dernier d’une série de règlements actuellement en cours d’élaboration sur les nouvelles technologies du numérique avec MiCA l’ayant précédée.
Ainsi, DORA a pour but de consolider et d’harmoniser les exigences essentielles de cybersécurité en matière de résilience numérique dans le secteur financier. Elle s’applique à 21 différents types d’institutions financières dont les grandes entreprises comme les banques, les compagnies d’assurance et les fonds de pension, ainsi que les petits fournisseurs de monnaie électronique numérique, les émetteurs de tokens et les fournisseurs de crypto-monnaies (comme les plateformes d’échange).
L’un des facteurs les plus importants à prendre en compte sur le projet DORA : ce n’est pas une réglementation unique et indépendante. En effet, ce projet fait partie d’un ensemble plus large de mesures politiques européennes visant spécifiquement les fintechs. Ces mesures comprennent entre autres une proposition de règlement sur les marchés de crypto-actifs (MiCA) et une autre sur la technologie des registres distribués (DLT).
Cette série de réglementations aura pour but d’imposer aux entreprises la mise en œuvre d’actions leur permettant de faire face aux cyberattaques et aux perturbations opérationnelles grâce à des mesures de gouvernance, de cybersécurité, de gestion des risques liés aux TIC et de signalement des incidents.
L’investissement en crypto-monnaies est proposé par eToro (Europe) Ltd en tant que PSAN, enregistré auprès de l’AMF. Les crypto-monnaies sont très volatiles. Pas de protection des consommateurs.
Quelles sont les innovations apportées par cette nouvelle régulation ?
Pour la grande majorité des experts de l’industrie des finances et du Web3, DORA est une excellente initiative. Tous les acteurs sont conscients du fait que les cybermenaces ont augmenté avec une intensité alarmante au cours de la dernière décennie. Elles ont eu un impact assez considérable autant sur les économies des individus que sur les économies mondiales.
Parmi les principaux problèmes auxquels les entreprises font aujourd’hui face, on compte la prolifération des appareils à distance, l’internet des objets, le travail à distance, les réseaux sociaux et les serveurs en cloud. Chacun de ces éléments peuvent très rapidement se transformer en des points de défaillance uniques au sein d’un système de sécurité d’une agence.
S’il est vrai qu’auparavant, il était possible pour une entreprise de limiter ses initiatives de cybersécurité aux limites de son organisation, ce n’est plus possible aujourd’hui. Avec le nouvel ordre numérique, les frontières n’existent plus et les entreprises sont vulnérables aux attaques provenant de milliers de points d’accès.
Selon les législateurs, la loi DORA tiendra désormais toute entreprise pour responsable des violations causées par un niveau de sécurité insuffisant. Il est donc recommandé aux entreprises de tout mettre en œuvre pour atténuer ces menaces le plus vite possible.
Toutefois, pour certains experts financiers, les entreprises continuent jusqu’à aujourd’hui à se servir de vieilles technologies dépassées peu efficaces à la protection de leurs données. Si elles espèrent réellement battre les cybercriminels à leur propre jeu, elles se doivent d’adopter une approche entièrement différente sur leur usage de la technologie.
L’industrie des crypto-monnaies n’est pas en reste sur ce point-ci avec le nombre d’arnaques ou de piratages qui ont lieu chaque année. On pense notamment au hack du pont Ronin par exemple en mars 2022 qui a coûté plus de 600 millions de dollars.
Les limites de DORA
S’il est vrai que DORA représente une excellente base pour les régulations futures sur le monde du web3, elle est encore incomplète. En effet, la plupart des règlements proposés au sein de cette loi sont quelque peu ambiguës et manquent de clarté.
Il n’y a aucune indication nulle part par exemple du montant minimal que les entreprises doivent s’efforcer de dépenser en matière de cybersécurité, ou encore les méthodes à employer pour atteindre une meilleure capacité d’atténuation des menaces.
En outre, certains analystes déplorent l’absence de règles pouvant inciter les entreprises à adopter plus fermement les nouvelles technologies en termes de sécurité et de protection. La loi suggère et encourage plutôt l’usage de solutions de cybersécurité traditionnelles et centralisées. Ces mêmes méthodes qui se sont avérées inefficaces pour protéger les écosystèmes web2 et web3 contre les menaces au cours de ces dernières années.
Il est important que les législateurs comprennent que les solutions de cybersécurité actuelles sont non seulement dépassées, mais qu’elles n’ont pas été, pour la plupart, conçues pour s’intégrer au web3. L’usage par les entreprises d’une technologie centralisée pour combattre les risques présents sur les marchés décentralisés n’est pas une solution viable.
Aussi pour les acteurs de l’industrie web3, tant que les régulations ne mettront pas l’accent sur les technologies de pointe comme la cybersécurité décentralisée, les entreprises continueront à être confrontées à une multitude de dangers chaque jour.
Source : Conseil de l’Union Européenne
Tandis que DORA voit le jour, le projet de loi MiCA a vu son vote reporté pour avril 2023 alors que celui-ci devait avoir lieu en février prochain. Consultez notre article pour en apprendre plus sur les raisons de ce retard.
Share
Emmanuel Mounier
Rédacteur
