Face à un faible développement de résilience numérique et à un fort développement de cyberattaques au sein des entreprises des technologies de l’information et de la communication (y compris leurs tiers), l’Union Européenne a adopté une nouvelle réglementation informatique : la DORA. D’ici 2025, les organisations sont supposées d’être en conformité avec la DORA pour performer la sécurité des activités critiques, notamment celles des Banques, Finances et Assurances (BFA).
« Le règlement DORA a été adopté, nous travaillons déjà avec les DSI, les RSSI mais aussi les directions du risque opérationnel pour mettre en place leur feuille de route de conformité DORA en fonction des autres cadres normatifs et réglementaires déjà existants tels que NIS v2, NIST, ISO 27002, RGPD, … » Bertrand HELFRE
La DORA, késako ?
La Digital Operational Resilience Act, autrement dit DORA, a pour objectif de réduire toute perte et fuite de données en cas de sinistre au sein des organisations. La nouvelle réglementation, dont le projet était prévu à partir de septembre 2020, a été adopté en fin 2022 par les institutions européennes. Actuellement, les organisations ont pour devoir de revoir ou de préparer une mise en conformité avec la DORA jusqu’en 2025. Également, leurs prestataires des technologies de l’information et des communications sont concernées par cette nouvelle exigence européenne.
La résilience informatique a commencé de prendre l’importance depuis la crise financière de 2008. Par la suite, de nombreuses autorités et organismes de sécurité, bancaires, financières et d’assurances ont développé davantage de mesures et exigences en matière de résilience et de sécurité informatique au fur et à mesure des années, comme les directives NIS (Newtork Information Systems) en 2016 et 2022 puis la DORA en 2023.
En raison de nombreuses cyberattaques diverses visant le marché financier, une mise en conformité à la DORA doit permettre une meilleure gestion et gouvernance de risques. En assurant une résilience opérationnelle et informatique au sein des entités financières, les impacts de risques pourront être diminués le plus possible. En parallèle, la dépendance des organisations par rapport à leurs tiers et prestataires des technologies de l’information et de la communication seront réduits sur des sujets critiques. Par la suite, cela amènera à une meilleure maitrise de la situation en cas de sinistre.
En conséquence, les tiers, les prestataires et les services du TIC sont tenus de respecter aux inspections et aux mesures exigeantes pour installer des plans de continuité performants et de vérifier leur bon fonctionnement.
Pourquoi le projet DORA ?
Actuellement, de nombreuses incertitudes de sécurité et des risques dans le secteur financier se développent. Des vulnérabilités sur le plan humain, organisationnel et technologique se multiplient. Les aspects d’attaques se développent, tels que le télétravail et la numérisation, ce qui nécessite une vigilance accrue. L’objectif principal n’étant pas de se limiter uniquement à la maîtrise du risque opérationnel, la résilience opérationnelle doit être améliorée.
Au sein des autorités européennes de surveillance (AES), des équipes superviseront des prestataires considérés comme « critiques » selon l’échelle européenne en fonction. Des prestataires vont devoir se soumettre aux obligations formelles. Également, les superviseurs gardent le droit de suite vis-à-vis des entreprises du secteur financier ayant des prestataires, classés « critiques », peu fiables en résilience.
Toute entreprise du secteur financier demeure responsable des risques, et doivent être gérés en fonction de leurs niveaux de risques. En outre, une stratégie élaborée par des organisations en fonction des risques des tiers est nécessaire. Un registre d’information comme de signalement est nécessaire pour des contrats attribuant des fonctions importantes ou critiques. Enfin, il est essentiel de réaliser une étude de l’accès aux données, de sécurité et de risques ainsi qu’une stratégie de sortie.
L’ensemble des articles du règlement DORA se repose sur ces 5 principaux piliers :
La vision onepoint pour se mettre en conformité avec la DORA après ?
Onepoint a développé un catalogue d’assets autour de la DORA. Ce catalogue est constitué de plusieurs ressources, dont un questionnaire d’évaluation basé sur les 5 principaux piliers et objectifs du règlement DORA. L’objectif de cet outil est d’accompagner les organisations dans une démarche d’analyse de maturité et d’identification des chantiers prioritaires à mettre en place afin d’atteindre la cible de conformité.
Pour ces 5 piliers et en 20 questions, le DMM permet :
- D’identifier les faiblesses et les impacts potentiels en termes de gestion de la cybersécurité de l’institution financière
- D’évaluer la capacité de l’institution financière à protéger ses actifs et à répondre aux potentielles attaques
- De cibler les actions de remédiation à déployer
- De fournir aux Directions Générales un reporting et une feuille de route claire
En tenant compte de chaque pilier de la DORA, nous avons pu mener une évaluation afin de déterminer les scores actuels par rapport aux scores ciblées avant le deuxième trimestre de 2024, comme précisé sur le graphe ci-dessous :
En étendant la résilience dans toutes les institutions appartenant au secteur financier, la redondance sera accrue. La fonction des activités et des tiers du TIC classés « critiques » pourra être moins impactée en cas de sinistre. Grâce à la DORA, le développement de la résilience opérationnel numérique sera solidement favorisé !
Afin d’assurer une bonne préparation pour une conformité à la DORA, un renforcement de la gouvernance est fortement recommandé. Ainsi, il est encouragé de retenir des enseignements des expériences vécues par des pilotes de registre des fournisseurs externes, de la détection comme des alertes d’incidents ou bien des tests de pénétration. La DORA bientôt obligatoire pour tous les secteurs professionnels par l’UE ? A suivre de près…
Cet article a été écrit avec la participation de Waël BENABADJI, Mehdi EL OUAKOUAK, Ouafia HERMAN, sous la direction de Bertrand HELFRE
