Le changement de réglementation que les entreprises sous-estiment
Dans le DIFC et l'ADGM, de nombreuses entreprises réglementées structurent encore le risque informatique autour de distinctions héritées. La cybersécurité est traitée comme une discipline technique axée sur la protection. La résilience opérationnelle est traitée séparément, autour de la récupération et de la continuité. La gouvernance se situe au-dessus des deux, approuvant les cadres et examinant les rapports périodiques.
Cette structure ne reflète plus la manière dont la DFSA et la FSRA évaluent les risques.
L'attention des autorités de surveillance s'est orientée vers une interprétation unique du risque technologique, qui tient compte à la fois des contrôles de sécurité et des résultats en matière de résilience. Les régulateurs s'attachent à déterminer si une organisation peut rester dans des limites acceptables lorsque les contrôles sont testés, dégradés ou défaillants.
Ce changement tend à apparaître progressivement à travers des questions d'audit, des conclusions de contrôle et des discussions sur les mesures correctives. Les entreprises l'ignorent souvent en continuant à optimiser les domaines individuels tout en accordant moins d'attention à la manière dont l'environnement de contrôle global se comporte en cas de stress.
De l'incident à l'impact
Sur le plan réglementaire, l'importance d'un incident cybernétique est de plus en plus évaluée en fonction de ses conséquences opérationnelles.
Une défaillance d'accès, un abus d'autorité ou une perte de confiance dans un système peuvent trouver leur origine dans le domaine de la sécurité. Les préoccupations réglementaires apparaissent lorsque ces événements perturbent les services critiques, compromettent l'intégrité des données ou retardent les obligations réglementaires.
Les évaluations de la DFSA et de la FSRA suivent de près cette séquence. L'attention passe de la cause aux conséquences :
Quels services ont été affectés ?
- Les tolérances prédéfinies ont-elles été dépassées ?
- Quelle a été l'efficacité de la réponse de la direction ?
- Le rétablissement a-t-il été rapide, contrôlé et visible pour la haute direction ?
Ces questions se situent à l'intersection de la sécurité et de la résilience. Elles portent sur la préparation, le jugement et la responsabilité plutôt que sur des détails techniques.
L'identité, une question de gouvernance
La convergence de la sécurité et de la résilience est particulièrement visible dans la manière dont les régulateurs considèrent désormais l'identité et l'accès.
De nombreux incidents matériels impliquent un accès légitime utilisé de manière non intentionnelle. Du point de vue de la surveillance, les systèmes d'identité représentent des points d'autorité organisationnelle. Ils déterminent qui peut agir, ce qui peut être modifié et la rapidité avec laquelle le contrôle peut être rétabli.
Les régulateurs attendent donc des entreprises qu'elles comprennent
- si la perte d'accès peut perturber les services critiques
- Comment l'autorité est limitée pendant les périodes d'incertitude.
- où se situe la responsabilité des décisions en matière d'accès et de rétablissement.
L'identité figure en bonne place dans les discussions sur la résilience parce qu'elle concentre le risque opérationnel d'une manière que les conseils d'administration sont censés reconnaître et superviser.
Comment les audits testent désormais la compréhension des dirigeants
Les audits récents de la DFSA et de la FSRA mettent de plus en plus l'accent sur les évaluations basées sur des scénarios.
Les auditeurs étudient la manière dont les dirigeants réagiraient en cas de détérioration de la situation, en examinant les voies d'escalade, les droits de décision et les compromis entre la rapidité du rétablissement et l'intégrité du contrôle.
Cette approche permet de mettre en évidence des déséquilibres que la documentation seule ne permet pas de corriger. Les organisations découvrent souvent que si les responsabilités sont comprises au sein des équipes individuelles, les attentes à travers les couches techniques, opérationnelles et de gouvernance restent inégales.
Pour les conseils d'administration, cela renforce l'importance d'une surveillance fondée sur des scénarios réalistes plutôt que sur des assurances abstraites.
Des preuves de cohérence, pas d'activité
À l'horizon 2026, les régulateurs devraient accorder plus d'importance à la cohérence des contrôles.
Les éléments qui font autorité démontrent l'alignement :
- entre les scénarios de sécurité et les hypothèses de résilience,
- entre les priorités opérationnelles et les décisions de reprise,
- entre la tolérance approuvée par le conseil d'administration et la capacité réelle.
La confiance des autorités de réglementation est déterminée par le fait que les contrôles fonctionnent comme un système qui se comporte de manière prévisible sous la pression.
De nombreuses organisations éprouvent des difficultés à ce niveau. Les investissements sont souvent importants dans les domaines de contrôle individuels, mais plus faibles lorsque ces domaines sont considérés collectivement.
Ce que cela signifie pour le contrôle supérieur
Pour les conseils d'administration et la direction générale, la convergence de la sécurité et de la résilience modifie les responsabilités en matière de contrôle. Le risque technologique représente désormais une préoccupation constante en matière de gouvernance, avec des implications directes pour la confiance des autorités de régulation et la crédibilité de l'organisation.
Pour les DSI et les RSSI, il est nécessaire d'encadrer les décisions techniques en termes d'impact, de tolérance et de capacité de récupération, afin de permettre aux dirigeants d'exercer un jugement éclairé.
La supervision de la DFSA et de la FSRA reflète la manière dont les défaillances se propagent dans des environnements complexes. La sécurité et la résilience sont évaluées ensemble en tant qu'environnement de contrôle unique.
Dans le domaine de la conformité informatique, cette convergence est désormais établie. Elle définit la ligne de base de l'audit.
