Les banques d’affaires et les fonds d’investissement, en tant qu’intermédiaires dans les opérations de fusion-acquisition, possèdent des failles que les hackers exploitent sans hésitation, les rendant ainsi des cibles de choix.
En juin 2023, le gang russe Clop a mené une attaque contre l’un des principaux prestataires de services de fusions-acquisitions, la plateforme « Datasite », spécialement conçue pour ces opérations et facilitant l’échange de documents confidentiels. Ariel Zommer, un responsable chez le spécialiste de l’identité numérique Okta, a souligné que « les données financières et de fusions-acquisitions figurent parmi les informations les plus confidentielles qu’une organisation puisse posséder ».
C’est dans ce contexte que le Parlement européen a adopté, le 10 novembre 2022, le règlement sur la résilience opérationnelle numérique, connu sous le nom de « DORA » (Digital Operational Resilience Act), visant à renforcer la cybersécurité du secteur financier. Bien que ce règlement ne s’appliquera directement dans tous les États membres qu’à partir du 17 janvier 2025, les hackers n’ont pas attendu cette échéance pour agir. Ils profitent des vastes projets de mise en conformité pour perturber les banques.
Étant donné que la sécurité est une obligation générale et de principe, la banque peut être tenue responsable par les victimes. Le responsable de traitement se trouve toujours en première ligne, même lorsqu’il utilise plusieurs prestataires. En effet, il pourrait être tenu responsable de la protection des données, indépendamment du fait que les opérations de traitement soient déléguées à des sous-traitants.
