Préparez-vous à la loi sur la résilience opérationnelle numérique

Par John Leyden • 6 Juin 2023

Les organisations de services financiers seront mises au défi d’améliorer leur résilience opérationnelle avec un nouvel ensemble de réglementations dont l’impact s’étendra bien au-delà du secteur.

Le Digital Operational Resilience Act (DORA) consolide et étend les règles existantes en matière de cybersécurité et de résilience opérationnelle pour les sociétés de services financiers opérant dans l’Union européenne.

Plus précisément, DORA introduit des exigences spécifiques et prescriptives en matière de gestion des risques liés aux technologies de l'information et des communications (TIC) et de reporting des incidents. Les règlements ont été approuvés par le Conseil de l’UE en janvier 2023, marquant le début d’une période de mise en œuvre de 24 mois.

Les entreprises du secteur financier et leurs fournisseurs de technologies TIC (tels que les plateformes cloud et les fournisseurs d’analyse de données) ont jusqu’au 17 janvier 2025 pour se conformer à la nouvelle réglementation.

Will Richmond-Coggan, associé du cabinet d'avocats britannique Freeths et spécialiste des protection des données et les cyber-litiges, a commenté : « La nécessité de cette réglementation était motivée par la dépendance croissante des institutions financières à l'égard de leurs systèmes numériques et par l'interconnectivité de ces systèmes dans l'ensemble du secteur financier.

Les banques sont depuis longtemps tenues de gérer le risque opérationnel par le biais d’audits, de contrôles et d’un accès à des capitaux suffisants. Les mesures visant à assurer la résilience opérationnelle face au problème croissant des attaques de logiciels malveillants et du piratage criminel sont moins matures, une lacune que les réglementations DORA cherchent à combler.

"Il est clair que le principal moteur de la législation est de créer une cohérence et une certitude quant à la résilience technologique de chaque entité du secteur financier européen, ainsi que de ses intermédiaires, filiales et fournisseurs tiers", a déclaré Richmond-Coggan à ISMS.com. . "La législation vise à améliorer la transparence des incidents et la robustesse du système en augmentant les attentes minimales envers les entreprises de services financiers."

Cinq piliers

Les cinq piliers clés de la législation couvrent des questions telles que la gestion des risques, le reporting des incidents, les tests de résilience standardisés, le partage de renseignements et la gestion des risques tiers.

Le règlement offre la possibilité d'améliorer la robustesse du secteur dans son ensemble, mais seulement si « les organisations saisissent les opportunités de mutualiser les informations et renseignements sur les menaces pour s'entraider pour identifier et remédier aux points de faiblesse », a conclu Richmond-Coggan.

Luke Dash, directeur général d'ISMS.online, a commenté : « L'un des principes essentiels de DORA est que les organisations doivent adopter une approche proactive qui implique une identification continue des risques et la mise en place de mesures de protection et de prévention robustes. »

Dash a poursuivi : « Cela permettra aux organisations d'identifier et d'éliminer rapidement toute faiblesse, déficience ou lacune au sein de leurs opérations numériques, préservant ainsi l'intégrité et la sécurité de leurs systèmes. »

John Elliott, conseiller en sécurité chez Jscrambler, fournisseur d'outils de sécurité Web, a déclaré que l'introduction de DORA signifierait qu'au lieu de simplement établir des contrôles préventifs, les organisations seraient obligées d'adopter « une vision plus globale englobant la détection, la réponse et la récupération ».

"Cela exige également que les entités non seulement disposent de systèmes résilients, mais qu'elles testent et prouvent leur résilience", a ajouté Elliott.

Jeter les bases

Normes telles que ISO 27001 peut jouer un rôle crucial en aidant les organisations à se conformer à la loi sur la résilience opérationnelle numérique (DORA).

La norme ISO 27001 couvre divers domaines pertinents pour la conformité DORA, notamment l'évaluation des risques, la réponse aux incidents, la continuité des activités et la résilience opérationnelle. « Les organisations qui ont déjà obtenu la certification ISO 27001 ou qui ont mis en œuvre ses principes disposeront d'une base solide pour aborder de nombreux aspects de sécurité et de résilience requis par DORA », ISMS. Dash en ligne a expliqué.

« De plus, l'accent mis par la norme ISO 27001 sur une approche basée sur les risques et une amélioration continue s'aligne sur l'esprit de DORA, car les deux normes favorisent une gestion proactive des risques et l'amélioration continue de la résilience opérationnelle », a-t-il ajouté.

Dash a poursuivi : « La mise en œuvre de la norme ISO 27001 peut aider les organisations à identifier et à traiter les vulnérabilités potentielles, à renforcer leur posture de sécurité et à établir les processus et contrôles nécessaires pour se conformer aux exigences DORA.

D'autres experts ont convenu que l'application de la norme ISO 27001 jette les bases d'un objectif plus ambitieux consistant à progresser vers la conformité à DORA.

Elliott de Jscrambler a expliqué : « Comme l'article 5(4) [de DORA] exige que les organisations mettent en œuvre un système de gestion de la sécurité de l'information ou ISMS, suivre des normes comme 27001 sera le choix naturel pour la plupart des organisations pour leur donner à la fois une structure pour leur sécurité de l'information et être en mesure de démontrer à un régulateur qu’il a mis en place un SMSI.

Dash d'ISMS.online a ajouté qu'en utilisant 27001 comme tremplin, « les organisations peuvent rationaliser leurs efforts de conformité et démontrer un engagement proactif en faveur de la sécurité des informations et de la résilience opérationnelle », un aspect essentiel pour évoluer vers la conformité avec DORA.

"ISO 27001 peut également permettre aux organisations de superposer d'autres normes au fil du temps, simplifiant ainsi la conformité de manière plus générale pour les organisations à mesure que le paysage des risques s'adapte", a conclu Dash.

Anglo-Fichier

DORA est un règlement européen et, comme le Royaume-Uni ne fait pas partie de l’UE, il n’a aucun effet direct – du moins sur la législation britannique. Les entités basées au Royaume-Uni proposant leurs services à des clients dans l’UE doivent toutefois se conformer à DORA.

"Le gouvernement a indiqué qu'il légiférerait sur la résilience opérationnelle des tiers, et la BOE [Banque d'Angleterre]/PRA et la FCA [Finacial Conduct Authority] ont mené des consultations conjointes sur ce domaine, même si aucune réglementation formelle n'est encore apparue." selon Elliott de Jscrambler. "La banque a mis en place d'autres programmes qui s'alignent sur certains aspects de DORA, par exemple l'exigence de tests d'intrusion des menaces dans CBEST."

ISMS.en ligne a invité le Bureau du commissaire à l'information (ICO) à commenter la rapidité avec laquelle DORA pourrait être adoptée par les organisations britanniques et si l'ICO aura ou non un rôle dans la promotion ou l'application de la réglementation. Il a refusé de commenter.

Obstacles

Parvenir à la conformité avec DORA sera probablement un projet majeur.

Elliott de Jscrambler a commenté : « Le plus gros problème que je prévois concerne les institutions financières de taille moyenne qui sont trop grandes pour profiter des exemptions accordées aux petites entreprises et aux micro-entreprises, mais qui n'ont pas eu auparavant besoin d'une approche aussi sophistiquée en matière de cybersécurité. Ils n’ont pas beaucoup de temps pour procéder aux changements techniques et philosophiques requis par la réglementation.»

La rapidité avec laquelle les organisations concernées pourront se conformer à DORA sera influencée par de nombreux facteurs, notamment « la taille de l'entreprise, la complexité de l'infrastructure et la préparation de l'organisation à adopter de nouvelles méthodes de travail » ISMS. Dash en ligne a expliqué.

« La réglementation DORA comporte de nombreuses exigences, notamment la réalisation d'évaluations des risques, le renforcement de la résilience opérationnelle et l'établissement de procédures robustes de réponse aux incidents », a conclu Dash. « Travailler pour atteindre ces objectifs et intégrer suffisamment ces processus peut prendre plusieurs mois, voire quelques années. »

Les professionnels et les plateformes de conformité peuvent « aider à rationaliser le processus de mise en œuvre et à garantir une conformité continue », a conclu Dash.

Liste de contrôle DORA en 15 étapes

Téléchargez cette liste de contrôle pratique en 15 étapes pour vous aider à démarrer votre démarche vers la conformité. À seulement 18 mois de l’entrée en vigueur de la loi sur la résilience opérationnelle numérique, il n’y a jamais eu de meilleur moment pour se lancer !

Téléchargez

John Leyden

John Leyden écrit sur les réseaux informatiques et la cybersécurité depuis plus de 20 ans. Avant l'avènement d'Internet, il travaillait comme journaliste policier dans un journal local de Manchester. John est titulaire d'un diplôme en ingénierie électronique de la City, Université de Londres.

Lire la suite de John Leyden

Confidentialité des données 22 Août 2024

les entreprises sont invitées à suivre la réglementation sur l'IA « à évolution rapide »

Les entreprises sont invitées à suivre les réglementations « en évolution rapide » sur l’IA

L'intelligence artificielle (IA) transforme le secteur des technologies de l'information à une vitesse vertigineuse. Elle a transformé des applications, notamment la gestion des données…

John Leyden

La cyber-sécurité 20 Juin 2024

pourquoi les fournisseurs peuvent avoir du mal à maintenir la bannière « sécurisé dès la conception »

Pourquoi les fournisseurs peuvent avoir du mal à maintenir la dynamique de la « sécurité dès la conception »

De nombreux fournisseurs de technologies ont adhéré à l'engagement « Secure by Design » soutenu par le gouvernement américain. Mais cet engagement marquera-t-il une rupture avec le passé ?

John Leyden

La cyber-sécurité 28 mai 2024

décoder les nouvelles directives du ncsc pour la bannière scada hébergée dans le cloud

Décoder les nouvelles directives du NCSC pour les SCADA hébergés dans le cloud

Les systèmes de technologie opérationnelle (OT) surveillent et contrôlent automatiquement les processus et les équipements qui exécutent tout, des centrales électriques aux hôpitaux intelligents...

John Leyden