Comment les entreprises peuvent se préparer à la mise en œuvre de DORA

Les institutions financières et les prestataires de services informatiques n'ont que six mois pour se conformerLa loi sur la résilience opérationnelle numérique (DORA) de l'Union européenne. Prévu pour s'appliquer aux entreprises à partir du 17 janvier 2025, DORA vise à renforcer la cybersécurité des banques, assureurs, sociétés d'investissement et autres institutions financières européennes, ainsi que des fournisseurs tiers qui leur fournissent des services TIC.  

Pour garantir que le secteur européen des services financiers, de plus en plus numérisé, puisse fonctionner en cas de cyberattaque grave ou de panne informatique, les exigences strictes de DORA couvrent la gestion des TIC et des risques liés aux tiers, les tests de résilience opérationnelle numérique, le reporting des cyberincidents, le partage de renseignements sur les menaces et bien d'autres domaines. Cela aura un impact non seulement sur les entreprises basées dans l'UE, mais également sur les entreprises britanniques qui fournissent des services financiers ou TIC à des clients européens. Alors, comment les entreprises peuvent-elles se préparer à la mise en œuvre de DORA ? 

Préparation pour DORA

Alors que les entreprises se préparent à l'introduction de DORA et cherchent à garantir leur conformité, elles devraient prendre le temps de comprendre ses principales exigences et leur impact sur leurs opérations et activités quotidiennes.  

Rayna Stamboliyska, PDG de RS Strategy, une société de stratégie prospective, affirme que les entreprises doivent prendre en compte deux aspects importants. La première consiste à atteindre la résilience opérationnelle en identifiant et en traitant les risques à l’aide de tests d’intrusion basés sur les menaces. Deuxièmement, les entreprises doivent s'assurer que tous leurs contrats et partenariats répondent aux exigences de DORA dans le cadre d'un processus approfondi de gestion des risques liés aux tiers.  

Elle déclare à ISMS.online : « Ensuite, vous pouvez définir une approche raisonnable et structurée pour vous aligner sur DORA et faire savoir à vos clients et partenaires que vous êtes sur la voie de la conformité. » 

Une autre étape clé consiste à mettre en œuvre les politiques de conformité DORA pour chaque outil de sécurité utilisé dans l'entreprise, selon Crystal Morin, stratège en cybersécurité chez Sysdig, société de sécurité cloud. Cela permettra aux entreprises de vérifier leurs systèmes de cybersécurité et informatiques pour détecter les problèmes politiques, dit-elle.  

Elle recommande également aux entreprises d'adopter l'infrastructure en tant que code (IaC) et la politique en tant que code (PaC) pour codifier leurs exigences de gestion et de conformité, ce qui contribuera à rationaliser le processus de conformité. 

Morin explique : « Les artefacts as-code sont défendables et peuvent être utilisés lors d'examens réglementaires, de risques et d'audit. De plus, ces artefacts évoluent facilement et maintiennent la cohérence entre les environnements. 

Gestion des risques informatiques

Pour respecter leurs obligations DORA, les entreprises doivent développer et mettre en œuvre une stratégie solide de gestion des risques informatiques. Cette stratégie devrait comprendre des politiques, des procédures et des outils pour gérer tous les domaines de risque, y compris la gouvernance, la surveillance et le reporting, affirme Graham Thomson, responsable de la sécurité de l'information au sein du cabinet d'avocats Irwin Mitchell. « Le cadre doit s'aligner sur votre stratégie et vos objectifs commerciaux, et il doit être régulièrement revu et mis à jour », dit-il.  

En cas d'incident grave affectant la continuité, l'intégrité, la sécurité ou la disponibilité du système informatique, les entreprises devront le signaler aux autorités compétentes dans le cadre de DORA. Thompson affirme que cela les oblige à établir un processus de reporting dédié utilisant un « format standardisé » qui respecte les « délais et seuils spécifiques » de chaque autorité.  

Pour identifier et atténuer les défauts techniques, Thompson exhorte les entreprises à tester régulièrement leurs systèmes informatiques à l'aide d'analyses de vulnérabilité, de tests d'intrusion, d'une gestion continue de la posture de sécurité du cloud et d'équipes rouges basées sur des scénarios. Il ajoute : « Documentez les résultats et prenez des mesures pour corriger les faiblesses. » 

Comme dernière étape de la préparation de DORA, Thompson recommande aux entreprises de faire preuve d'une diligence raisonnable approfondie auprès de leurs fournisseurs de services informatiques tiers afin d'identifier et de gérer les facteurs de risque externes. Il ajoute : « Assurez-vous que vos contrats incluent des droits importants tels que l'accès, l'inspection et la protection des données. » 

L'impact sur les entreprises britanniques

Même si le Royaume-Uni quittera l’Union européenne en 2020, de nombreuses entreprises britanniques seront touchées par l’introduction du DORA et devront par conséquent prendre des mesures pour se conformer à la nouvelle loi avant la date limite de janvier 2025.  

Stamboliyska de RS Strategy explique que toutes les entreprises basées au Royaume-Uni qui offrent des services financiers ou critiques de technologies de l'information et de la communication à des clients situés dans l'UE devront se conformer aux exigences de la DORA. 

Ignorer ces engagements réglementaires pourrait entraîner des dommages financiers et de réputation importants pour les entreprises britanniques opérant dans l'UE. « Le non-respect de DORA coûtera 1 % de votre chiffre d'affaires quotidien pendant six mois maximum », poursuit Stamboliyska. « Et comme d’habitude avec les sanctions, si vous en faites l’objet, cela entraverait également votre accès au marché européen et la réputation de votre entreprise. » 

Elle affirme que les entreprises britanniques démontreront leur engagement en faveur d’une « sécurité robuste et d’une résilience opérationnelle » en adhérant à DORA. Cela les aidera à attirer davantage de clients et de partenaires dans l’UE, augmentant ainsi leur « compétitivité globale sur le marché ». 

Outre les amendes imposées à l'entreprise dans son ensemble, les personnes qui ne respectent pas la DORA peuvent également être tenues responsables. Sean Wright, responsable de la sécurité des applications chez Featurespace, explique : « Il s'agit d'une différence significative par rapport à d'autres réglementations de ce type, où les individus ainsi que l'organisation peuvent être tenus responsables de leur non-conformité. » 

Anticipant qu'un grand nombre d'entreprises britanniques soient touchées par DORA dans les mois à venir, Morin de Sysdig les appelle à commencer à planifier de toute urgence. Une grande partie de cela consiste à évaluer leurs bases de clients, leurs chaînes d'approvisionnement et toute autre relation commerciale afin de trouver des zones de risque dans la juridiction de DORA. Elle ajoute : « De plus, ils doivent garder à l’esprit les réglementations DORA à mesure que leurs opérations commerciales et leur clientèle se développent au fil du temps. » 

Le rôle des cadres

Même si se conformer à DORA peut être une perspective intimidante pour de nombreuses entreprises, Les cadres industriels tels que la norme ISO 27001 fournissent une base de référence à partir de laquelle ils peuvent comprendre et gérer les cyber-risques. 

Marc Lueck, RSSI pour la région EMEA chez la société de sécurité informatique Zscaler, explique : « Des cadres comme ISO 27001 sont un bon début pour faire correspondre les exigences avec la nouvelle réglementation, car ils démontrent que certains des contrôles de base sont déjà en place, comme la fourniture de connectivité dans les systèmes centraux. systèmes. » 

En plus de mettre en œuvre un cadre professionnel de cybersécurité dans le cadre de la conformité DORA, Lueck conseille de le compléter par une approche zéro confiance. Il explique que cela aiderait les entreprises à évaluer et mesurer les risques liés aux tiers.  

Martin Greenfield, PDG de la plateforme de surveillance des contrôles continus de cybersécurité Quod Orbis, convient que la norme ISO 27001 et les cadres similaires fournissent aux entreprises « une base solide » pour faire face à leurs risques informatiques et respecter les exigences DORA.  

Cependant, il note comment DORA « introduit des éléments supplémentaires » concernant le risque lié aux tiers, et il affirme que les entreprises devraient comparer les pratiques ISO avec les exigences de DORA si elles envisagent de les utiliser ensemble. « Cette analyse devrait prêter une attention particulière aux aspects de gestion des risques liés aux tiers, car c'est là que peuvent résider des différences significatives », dit-il.  

Alors que le temps presse pour se préparer à l'échéance de janvier 2025 de DORA, il est clair que les sociétés financières et les fournisseurs de TIC européens et britanniques doivent commencer à comprendre et à mettre en œuvre les exigences strictes de DORA si ce n'est déjà fait. À la lumière de la panne de Crowdstrike qui a dévasté les systèmes informatiques des entreprises à l'échelle mondiale, il semble que la gestion des risques informatiques liés aux tiers dans le cadre de DORA soit dans le meilleur intérêt de toutes les entreprises et ne se résume pas à un simple exercice de cases à cocher.