DORA, à la recherche de la continuité du système bancaire
L’important cumul d’incidents de sécurité ces 10 dernières années a mené l’Union Européenne à adopter le règlement sur la résilience opérationnelle numérique du secteur financier, dit DORA. La conjonction de crises économiques en chaîne et de crises informatiques comme en 2017 avec NotPetya a conduit les établissements financiers à prendre des mesures drastiques de sécurité de leurs systèmes.
Cette attaque massive fut le premier grand déclencheur d’une prise de conscience remarquable que la législation a ensuite consacrée.
La notion de vulnérabilité et sa détection obligatoire sont certainement les mots d’ordre à retenir de ce texte.
Adopté et publié fin 2022, Dora vise dans toute l’Europe 22 000 entités financières. 15 000 prestataires spécialisés dans la fourniture de services au secteur financier sont directement concernés et devront se mettre en conformité avant 2025.
L’objectif de cette législation n’est pas spécifiquement la sécurité des réseaux et des systèmes d’information mais précisément le maintien de la fourniture en continu des services financiers et de leur qualité.
Banque-assurance : tous concernés ou presque par DORA
Le concept de résilience opérationnelle numérique repose sur le fait d’accepter de perdre en efficience pour gagner en résistance, c’est-à-dire s’organiser pour continuer malgré les cyberattaques. Seules ne sont pas concernées les microentreprises et les toutes petites entreprises de moins de 10 salariés ou réalisant moins de 2 millions de CA. Mais le plus complexe sera d’identifier les prestataires IT du secteur financier touchant à des fonctions critiques ou importantes, lesquels par ailleurs ne bénéficieront pas de l’exception « toute petite entreprise ».
La liste des organisations impliquées est extrêmement longue et témoigne de la modernité du texte européen. On citera notamment les services de cryptoactifs, les agences de notation de crédit, les institutions de retraite professionnelle, les gestionnaires de fonds d’investissement alternatifs, les plateformes de négociation, etc.
Un texte très avant-gardiste sur la sécurité de l’information
DORA reste un texte long, complexe à appréhender mais également novateur. Il repose sur 6 piliers principaux, représentant les étapes de mise en conformité, et dont la finalité est très clairement la sécurité de la donnée.
Les obligations de gouvernance confient les responsabilités et les décisions en matière de cybersécurité au COMEX et à la direction générale, qui doivent assumer le traitement des risques.
Les mesures techniques s’enchaînent en relation avec une litanie de clauses spécifiques à retrouver formellement dans les futurs contrats IT.
Les audits internes et externes sont généralisés, pour la quasi-totalité des sujets intéressant de près ou de loin la cybersécurité. Rejoignant la notion d’audits, les tests de résilience opérationnelle deviennent obligatoires. Enfin, la formation à tous les niveaux est exigée, documentée et justifiée.
Le processus est un cycle que les organisations répètent chaque année, la menace étant très évolutive.
DORA fait évoluer les paradigmes de la sécurité
La protection, la préservation de la donnée trouve son illustration dans la rédaction obligatoire d’une PSI, politique de sécurité de l’information et non plus d’un PSSI, plan de sécurité des systèmes d’information.
Autre changement majeur, la sécurité active passe au premier plan. Au-delà des menaces déjà identifiées, il s’agit d’être capable de réagir mieux et plus vite qu’avant, dès la détection d’une nouvelle menace, sans attendre d’éventuelles publications de documentation la concernant. Objectif ultime : le temps réel. C’est l’esprit de la législation, complété de cycle de tests et d’amélioration continue, au même rythme que l’évolution agressive de la menace.
Enfin (ou presque), les plans de procédures doivent être entièrement auditables, mais surtout audités. Les organisations ont l’obligation de démontrer que les actifs de TIC (c’est-à-dire logiciels et matériels) et les actifs informationnels (la donnée, en clair) sont surveillés et protégés à l’état de l’art, et ce chaque année.
Quid des organisations certifiées ISO/IEC 27001:2013 ou 2022 ?
Le respect des dispositions de DORA devient une condition d’octroi (ou de maintien) de l’agrément. D’application directe, DORA entre en vigueur dans un peu plus d’un an mais certaines dispositions doivent encore être précisées jusqu’en 2025, notamment des détails sur les mesures techniques de détection de vulnérabilités.
En attendant ces ultimes précisions, il s’agit pour les organisations financières et leurs prestataires d’avancer et de couvrir ce qui peut l’être déjà. L’application des recommandations d’hygiène numérique de l’ANSSI permet de répondre à un large pan des attentes. Pour les organisations financières les plus matures, DORA représente principalement une adaptation de leurs process et l’adjonction du concept (et des technologies) de surveillance en continu des actifs. Ainsi, les organisations certifiées ISO/IEC 27001:2013 voire 2022 sur un large périmètre remplissent leurs obligations de conformité à DORA à 90 %.
Il restera à suivre avec attention les prochaines publications des autorités européennes de surveillance.
Il est indispensable de ne pas faire reposer tout l’édifice sur les seules épaules du RSSI. DORA nécessite l’engagement des métiers et le sponsoring du plus haut niveau de l’organisation. La détection des vulnérabilités, la veille, l’analyse de risque doivent être, elles, réalisées en continu, donc automatisées par définition. Outre la continuité opérationnelle, l’automatisation permet d’apporter la preuve de l’effectivité et de l’exhaustivité des mesures de surveillance et donc de leur conformité.
L’important cumul d’incidents de sécurité ces 10 dernières années a mené l’Union Européenne à adopter le règlement sur la résilience opérationnelle numérique du secteur financier, dit DORA. La conjonction de crises économiques en chaîne et de crises informatiques comme en 2017 avec NotPetya a conduit les établissements financiers à prendre des mesures drastiques de sécurité de leurs systèmes.
Cette attaque massive fut le premier grand déclencheur d’une prise de conscience remarquable que la législation a ensuite consacrée.
La notion de vulnérabilité et sa détection obligatoire sont certainement les mots d’ordre à retenir de ce texte.
Adopté et publié fin 2022, Dora vise dans toute l’Europe 22 000 entités financières. 15 000 prestataires spécialisés dans la fourniture de services au secteur financier sont directement concernés et devront se mettre en conformité avant 2025.
L’objectif de cette législation n’est pas spécifiquement la sécurité des réseaux et des systèmes d’information mais précisément le maintien de la fourniture en continu des services financiers et de leur qualité.
Banque-assurance : tous concernés ou presque par DORA
Le concept de résilience opérationnelle numérique repose sur le fait d’accepter de perdre en efficience pour gagner en résistance, c’est-à-dire s’organiser pour continuer malgré les cyberattaques. Seules ne sont pas concernées les microentreprises et les toutes petites entreprises de moins de 10 salariés ou réalisant moins de 2 millions de CA. Mais le plus complexe sera d’identifier les prestataires IT du secteur financier touchant à des fonctions critiques ou importantes, lesquels par ailleurs ne bénéficieront pas de l’exception « toute petite entreprise ».
La liste des organisations impliquées est extrêmement longue et témoigne de la modernité du texte européen. On citera notamment les services de cryptoactifs, les agences de notation de crédit, les institutions de retraite professionnelle, les gestionnaires de fonds d’investissement alternatifs, les plateformes de négociation, etc.
Un texte très avant-gardiste sur la sécurité de l’information
DORA reste un texte long, complexe à appréhender mais également novateur. Il repose sur 6 piliers principaux, représentant les étapes de mise en conformité, et dont la finalité est très clairement la sécurité de la donnée.
Les obligations de gouvernance confient les responsabilités et les décisions en matière de cybersécurité au COMEX et à la direction générale, qui doivent assumer le traitement des risques.
Les mesures techniques s’enchaînent en relation avec une litanie de clauses spécifiques à retrouver formellement dans les futurs contrats IT.
Les audits internes et externes sont généralisés, pour la quasi-totalité des sujets intéressant de près ou de loin la cybersécurité. Rejoignant la notion d’audits, les tests de résilience opérationnelle deviennent obligatoires. Enfin, la formation à tous les niveaux est exigée, documentée et justifiée.
Le processus est un cycle que les organisations répètent chaque année, la menace étant très évolutive.
DORA fait évoluer les paradigmes de la sécurité
La protection, la préservation de la donnée trouve son illustration dans la rédaction obligatoire d’une PSI, politique de sécurité de l’information et non plus d’un PSSI, plan de sécurité des systèmes d’information.
Autre changement majeur, la sécurité active passe au premier plan. Au-delà des menaces déjà identifiées, il s’agit d’être capable de réagir mieux et plus vite qu’avant, dès la détection d’une nouvelle menace, sans attendre d’éventuelles publications de documentation la concernant. Objectif ultime : le temps réel. C’est l’esprit de la législation, complété de cycle de tests et d’amélioration continue, au même rythme que l’évolution agressive de la menace.
Enfin (ou presque), les plans de procédures doivent être entièrement auditables, mais surtout audités. Les organisations ont l’obligation de démontrer que les actifs de TIC (c’est-à-dire logiciels et matériels) et les actifs informationnels (la donnée, en clair) sont surveillés et protégés à l’état de l’art, et ce chaque année.
Quid des organisations certifiées ISO/IEC 27001:2013 ou 2022 ?
Le respect des dispositions de DORA devient une condition d’octroi (ou de maintien) de l’agrément. D’application directe, DORA entre en vigueur dans un peu plus d’un an mais certaines dispositions doivent encore être précisées jusqu’en 2025, notamment des détails sur les mesures techniques de détection de vulnérabilités.
En attendant ces ultimes précisions, il s’agit pour les organisations financières et leurs prestataires d’avancer et de couvrir ce qui peut l’être déjà. L’application des recommandations d’hygiène numérique de l’ANSSI permet de répondre à un large pan des attentes. Pour les organisations financières les plus matures, DORA représente principalement une adaptation de leurs process et l’adjonction du concept (et des technologies) de surveillance en continu des actifs. Ainsi, les organisations certifiées ISO/IEC 27001:2013 voire 2022 sur un large périmètre remplissent leurs obligations de conformité à DORA à 90 %.
Il restera à suivre avec attention les prochaines publications des autorités européennes de surveillance.
Il est indispensable de ne pas faire reposer tout l’édifice sur les seules épaules du RSSI. DORA nécessite l’engagement des métiers et le sponsoring du plus haut niveau de l’organisation. La détection des vulnérabilités, la veille, l’analyse de risque doivent être, elles, réalisées en continu, donc automatisées par définition. Outre la continuité opérationnelle, l’automatisation permet d’apporter la preuve de l’effectivité et de l’exhaustivité des mesures de surveillance et donc de leur conformité.
À propos de Patrowl
Fondée en 2020 par Nicolas Mattiocco, Vladimir Kolla et Florent Montel, la société Patrowl est éditrice de la solution d’Offensive Security-as-a-Service éponyme qui :
– cartographie (EASM) et teste en continu (PTaaS/CART) les actifs exposés sur internet (applications, site web, accès distants, Cloud, etc.),
– identifie les faiblesses (vulnérabilités et défauts de configuration),
– propose un plan de remédiation et les moyens de contrôler l’exécution des corrections.
Développée par 3 spécialistes de la cybersécurité, la solution Patrowl est accessible à des utilisateurs non experts et leur permet d’élever rapidement le niveau de sécurité de leur système d’information. Patrowl s’adresse en priorité aux ETI et grands comptes, tous secteurs confondus
Patrowl
Fondée en 2020 par Nicolas Mattiocco, Vladimir Kolla et Florent Montel, la société Patrowl est éditrice de la solution d’Offensive Security-as-a-Service éponyme qui :
– cartographie (EASM) et teste en continu (PTaaS/CART) les actifs exposés sur internet (applications, site web, accès distants, Cloud, etc.),
– identifie les faiblesses (vulnérabilités et défauts de configuration),
– propose un plan de remédiation et les moyens de contrôler l’exécution des corrections.
Développée par 3 spécialistes de la cybersécurité, la solution Patrowl est accessible à des utilisateurs non experts et leur permet d’élever rapidement le niveau de sécurité de leur système d’information. Patrowl s’adresse en priorité aux ETI et grands comptes, tous secteurs confondus
Patrowl
-----------------------------------------------------------------------
Disclaimer: The text above is an advertising that was not written by Finyear.com.
The issuer is solely responsible for the content of this announcement.
Avertissement : Le texte ci-dessus est une publicité qui n'a pas été rédigée par Finyear.com.
L'émetteur est seul responsable du contenu de cette annonce.
-------------------------------------------------------------------------
Les avis financiers et/ou économiques présentés par les contributeurs de Finyear.com (experts, avocats, observateurs, bloggers, etc...) sont les leurs et peuvent évoluer sans qu’il soit nécessaire de faire une mise à jour des contenus. Les articles présentés ne constituent en rien une invitation à réaliser un quelconque investissement.
The financial and/or economic opinions presented by Finyear.com contributors (experts, lawyers, observers, bloggers, etc.) are their own and may change without the need to update the content. The articles presented do not constitute an invitation to make any investment.
Disclaimer: The text above is an advertising that was not written by Finyear.com.
The issuer is solely responsible for the content of this announcement.
Avertissement : Le texte ci-dessus est une publicité qui n'a pas été rédigée par Finyear.com.
L'émetteur est seul responsable du contenu de cette annonce.
-------------------------------------------------------------------------
Les avis financiers et/ou économiques présentés par les contributeurs de Finyear.com (experts, avocats, observateurs, bloggers, etc...) sont les leurs et peuvent évoluer sans qu’il soit nécessaire de faire une mise à jour des contenus. Les articles présentés ne constituent en rien une invitation à réaliser un quelconque investissement.
The financial and/or economic opinions presented by Finyear.com contributors (experts, lawyers, observers, bloggers, etc.) are their own and may change without the need to update the content. The articles presented do not constitute an invitation to make any investment.
Autres articles
-
Freqens : 3 millions pour la fintech afin de peaufiner sa plateforme de benchmarking des prix B2B
-
Wero, le portefeuille de paiement numérique d'EPI, arrive en Belgique
-
Etude | Les Fintechs Durables font leur Panorama
-
Banque Internationale à Luxembourg - Internship - Corporate Finance - Jan 2025 - Luxembourg
-
Payhawk s'associe à J.P. Morgan Payments pour simplifier & amplifier ses services bancaires