Naviguer dans la loi sur la résilience opérationnelle numérique (DORA)

L'Union européenne est sur le point d'adopter une réglementation qui modifiera radicalement le cadre opérationnel numérique des institutions financières. Le Digital Operational Resilience Act (DORA) est un ensemble complet de règles destinées à accroître la résilience des systèmes financiers face aux cybermenaces et aux autres risques posés par la transformation numérique.

Les implications de la loi DORA sont considérables, allant des procédures de sécurité informatique aux plans d'intervention en cas d'incident, en passant par les protocoles de communication avec les clients.

En explorant les complexités de DORA, il apparaît clairement que pour se préparer, les organisations financières doivent se concentrer sur les quatre piliers des données : disponibilité, authenticité, intégrité et confidentialité.

Comprendre la cyber-résilience

Cyber-résilience La cyber-résilience désigne la capacité d'une entité à obtenir les résultats escomptés malgré des cyber-événements négatifs continus. Une cyber-résilience efficace englobe la capacité à résister, à s'adapter rapidement et à se remettre des cyber-incidents qui pourraient compromettre la confidentialité, l'intégrité ou la disponibilité des ressources numériques.

Un cadre pour la cyber-résilience - DORA

DORA est une proposition législative ambitieuse qui vise à établir un cadre harmonisé pour la supervision des accords d'externalisation, des opérations informatiques et de la gestion des risques informatiques dans le secteur financier. Elle s'applique à diverses institutions financières, des banques aux prestataires de services de paiement, en passant par les bourses et les chambres de compensation.

Avec DORA, l'UE envoie un message clair : les opérations numériques ne peuvent pas être cloisonnées ; elles doivent être intégrées dans le contexte plus large de la résilience opérationnelle.

La directive exige une approche holistique de la gestion des risques numériques, en commençant par la cartographie des dépendances numériques complexes d'une organisation. Cela signifie qu'il faut comprendre non seulement les systèmes principaux, mais aussi les nombreux services et plateformes sur lesquels ils reposent.

L'objectif est d'identifier et d'évaluer les vulnérabilités potentielles de chaque maillon de la chaîne et d'élaborer des stratégies solides pour prévenir, détecter et résoudre les incidents. Les applications patrimoniales sont particulièrement sensibles aux vulnérabilités et peuvent présenter des risques accrus pour la résilience opérationnelle. Lors de la réalisation d'une étude interne et de l'analyse de tous les systèmes, vous devez tenir compte des résultats suivants.

Gestion des risques liés aux TIC

Un processus solide de gestion des risques liés aux TIC garantit que toutes les vulnérabilités et menaces potentielles sont identifiées, évaluées et atténuées de manière structurée. Dans cette section, les entreprises doivent définir les responsabilités essentielles de la fonction de contrôle, afin de garantir la responsabilité de la mise en œuvre et de la supervision des mesures de sécurité des TIC.

Gestion des risques liés aux TIC pour les tiers

De nombreuses institutions financières s'appuyant sur des services tiers, une gestion rigoureuse de ces relations est cruciale pour maintenir la résilience et prévenir les violations qui pourraient provenir de partenaires externes.

Cette partie du cadre s'aligne sur les dernières tâches, où l'entreprise doit définir les responsabilités en matière de contrôle de la gestion des risques internes et externes.

Surveillance des fournisseurs tiers essentiels

Les fournisseurs de services tiers essentiels doivent faire l'objet d'un contrôle approfondi afin de minimiser le risque qu'ils peuvent représenter pour la résilience opérationnelle du secteur financier. Mettre en place des politiques, des procédures, des protocoles et des outils pour la gestion de la sécurité des réseaux et la sécurisation des informations en transit, contribuant ainsi à la résilience numérique et opérationnelle globale.

Test de résilience opérationnelle numérique

Des tests réguliers des opérations numériques permettent d'identifier les faiblesses et de prendre des mesures proactives contre les cybermenaces. Souligner l'importance du maintien de l'intégrité, de la confidentialité et de la disponibilité des données et des systèmes. Chaque entreprise devra mettre en œuvre des politiques et des procédures pour évaluer la criticité des actifs TIC.

Incidents liés aux TIC

Des plans d'intervention en cas d'incident et des mécanismes de signalement appropriés permettent de gérer efficacement tout incident. Incidents de sécurité liés aux TIC. Ces plans couvrent les procédures opérationnelles, la gestion des capacités et des performances, la gestion des vulnérabilités et des correctifs, la sécurité des données et des systèmes, et la journalisation.

Partage d'informations

Les entités financières peuvent bénéficier d'une intelligence collective et améliorer leurs mécanismes de défense en partageant des informations sur les risques et les violations, en soulignant le rôle essentiel du chiffrement dans la protection des données sensibles et en proposant une politique globale pour les contrôles cryptographiques.

Cela va au-delà de ce que vous partagez avec vos fournisseurs, vos clients ou vos employés. Il s'agit également d'améliorer en permanence votre résilience cybernétique et de faciliter la communication avec les autorités compétentes.

Une mise en œuvre cruciale de tout ce qui précède consiste à s'assurer que votre entreprise promeut la sensibilisation à la cybernétique. L'intégration de la cyber-résilience dans les réglementations de votre entreprise et du DORA souligne la nécessité de programmes de sensibilisation à la sécurité des TIC et de formation à la résilience opérationnelle numérique afin d'améliorer la sensibilisation et la préparation de l'organisation à l'égard de la cyber-résilience.

Se préparer à DORA

Les autorités européennes de surveillance (l'ABE, l'EIOPA et l'ESMA) ont été chargées d'élaborer une série de politiques visant à faciliter l'application de la directive DORA. En collaboration avec l'Agence européenne pour la cybersécurité (ENISA), elles visent à normaliser des éléments tels que les politiques de sécurité des TIC, la gestion des accès et la détection des anomalies, continuité des activitéset des plans d'intervention et de récupération.

La mise en œuvre de la loi DORA est prévue pour le début de l'année 2025 et est donc encore en cours d'élaboration. Nous examinerons ci-dessous les quatre piliers essentiels de la loi afin que vous puissiez préparer votre entreprise à s'adapter aux politiques futures. 

Disponibilité

Dans le contexte de DORA, la disponibilité fait référence à l'accessibilité des données et des services informatiques. Les institutions financières doivent veiller à ce que leurs systèmes puissent être accessibles et exploités comme convenu, indépendamment de la maintenance programmée ou d'incidents inattendus. La haute disponibilité n'est pas seulement une question de respect des normes ; il s'agit de tenir la promesse fondamentale de service qui sous-tend la confiance dans le secteur.

Pour garantir l'accessibilité de vos données, vous devez procéder à un audit méticuleux de vos systèmes et services informatiques. Identifiez les points de défaillance uniques et corrigez-les à l'aide de redondances et de plans d'urgence. Utilisez des outils de surveillance avancés pour contrôler en permanence la santé et les performances du système.

La collaboration est essentielle pour maintenir la disponibilité. Cela signifie qu'il faut travailler en étroite collaboration avec des fournisseurs tiers pour s'assurer que leurs services respectent vos objectifs de disponibilité. Cela signifie également qu'il faut se coordonner avec d'autres institutions financières afin d'établir des protocoles à l'échelle du secteur pour maintenir le service en cas de crise.

Authenticité

L'authenticité est un autre élément essentiel de DORA. Les institutions financières doivent être en mesure de vérifier l'origine des données et l'intégrité des processus informatiques. Il s'agit d'un élément fondamental pour prévenir la fraude et maintenir l'exactitude des informations financières.

Mise en œuvre des signatures numériques

Les signatures numériques jouent un rôle important pour garantir l'authenticité des données dans un environnement numérique. En utilisant des techniques cryptographiques solides, les institutions financières peuvent créer une "empreinte digitale" numérique de leurs documents qui est pratiquement impossible à falsifier.

Renforcer la vérification de l'identité

Outre les données, l'authenticité des participants aux transactions est également essentielle. Des processus robustes de vérification de l'identité sont essentiels. Cela inclut l'authentification multifactorielle pour les clients et des contrôles d'accès complets pour les employés.

Intégrité

L'intégrité des données garantit que les informations sont complètes, exactes et à jour. L'intégrité des données n'est pas négociable dans le secteur financier, où les décisions sont prises sur la base des informations les plus récentes et les plus précises.

Surveillance de la manipulation

La détection et la prévention des modifications de données non autorisées est un combat permanent. Mettez en place des outils et des processus qui surveillent les activités inhabituelles et prenez des mesures proactives pour sécuriser les données critiques.

Mettre en œuvre une gestion robuste du changement

Les modifications apportées aux systèmes informatiques peuvent introduire de nouveaux risques pour l'intégrité des données. Un processus rigoureux de gestion des changements est nécessaire pour évaluer et autoriser les mises à jour et pour revenir sur les changements qui causent des problèmes inattendus.

Confidentialité

Les institutions financières traitent des informations sensibles, y compris des données personnelles et des données commerciales exclusives. Le maintien de la confidentialité de ces informations est essentiel pour se conformer à la loi DORA et pour préserver la confiance des clients et des parties prenantes.

Utiliser les meilleures pratiques pour sécuriser le stockage et la transmission des données. Cela inclut le cryptage, les contrôles d'accès et les canaux de communication sécurisés. L'erreur humaine est l'une des principales causes des violations de données. Il faut donc contrôler l'accès à toutes les données sensibles.

Stratégies organisationnelles de résilience

Pour les institutions financières, l'élaboration d'une stratégie de résilience organisationnelle consiste à se conformer à la loi DORA et à préserver la confiance de leurs clients et parties prenantes. Cette stratégie doit intégrer des politiques et des procédures de sécurité des TIC qui sécurisent les réseaux, protègent l'intégrité des données et garantissent la continuité des services.

Les entités financières doivent adapter ces stratégies à leurs profils de risque spécifiques, à la nature, à l'échelle et à la complexité de leurs services. La personnalisation est essentielle, compte tenu de la taille de l'organisation et de la nature distincte des activités dans les différents secteurs financiers.

Évaluations proactives des risques

La réalisation d'évaluations proactives des risques permet d'obtenir rapidement une vue d'ensemble de la résilience opérationnelle numérique de votre organisation. Ces informations sont essentielles pour hiérarchiser les efforts et les ressources en matière de conformité.

Partenariat pour la préparation

Des partenariats stratégiques avec des experts en conformité et des fournisseurs de technologie peuvent accélérer la mise en œuvre des changements nécessaires et garantir que votre institution est bien positionnée pour répondre aux exigences rigoureuses de la loi DORA.

Systèmes hérités

La prédominance de systèmes obsolètes dans le secteur financier constitue un défi considérable dans le cadre de la mise en conformité avec la loi DORA. Bien qu'ils fassent partie intégrante des opérations actuelles, ces systèmes doivent être révisés pour répondre aux exigences strictes de la loi DORA.

Les systèmes existants posent deux problèmes. Premièrement, ils sont plus vulnérables aux cyber-attaques en raison de protocoles de sécurité obsolètes. Deuxièmement, ils sont plus difficiles à mettre à jour ou à entretenir en raison de leur ancienneté et de la difficulté à trouver du personnel qualifié pour les soutenir.

Décider de moderniser ou d'archiver

Pour de nombreuses institutions financières, la question n'est pas de savoir si elles doivent se moderniser, mais comment et quand. Les efforts de modernisation peuvent être massifs et impliquer des changements dans les systèmes et les processus de base. Ils nécessitent un engagement à long terme et une approche soigneusement échelonnée pour minimiser les perturbations.

Le moyen le plus rentable est de archiver les informations nécessaires à la poursuite des activités opérationnelles ou à la réalisation d'audits. Dans le cadre des normes DORA, tout doit être disponible, authentique, maintenir une intégrité totale et être totalement confidentiel. Cela signifie que vous devez rechercher un système d'archivage qui vous permette de respecter ces quatre piliers. 

Comprendre la nécessité pour les systèmes existants de communiquer avec des plateformes et des services plus récents signifie également que l'archivage doit être disponible à long terme et que le système en place doit permettre d'exporter les documents sous les formes technologiques les plus récentes. 

L'importance de la gestion du changement

Une gestion efficace du changement est cruciale pour l'adoption rapide de nouveaux processus et de nouvelles technologies. Une communication claire, l'implication des parties prenantes et des tests rigoureux peuvent garantir une mise en œuvre réussie des changements et une perturbation minimale des opérations.

Dans la hâte de répondre aux exigences de conformité technique, il peut être facile de négliger les éléments humains et les processus de la résilience opérationnelle. Pour réussir l'adaptation à la DORA, il faudra comprendre que les personnes et leur rôle au sein des processus sont tout aussi essentiels que les systèmes qu'elles exploitent.

Saisir les opportunités

Si les défis de la DORA sont importants, les opportunités le sont tout autant. Les institutions financières peuvent acquérir un avantage concurrentiel en investissant dans la résilience opérationnelle, en renforçant la confiance avec les clients et les parties prenantes et en se protégeant contre l'évolution constante des risques numériques.

En fin de compte, DORA n'est pas seulement un mandat de changement, mais un appel à l'action pour l'ensemble du secteur financier. Sa mise en œuvre sera complexe et exigeante, mais elle promet également une plus grande résilience opérationnelle numérique, à la fois sûre et tournée vers l'avenir. En se préparant dès maintenant, les organisations financières peuvent s'assurer non seulement de survivre à ces changements, mais aussi d'en ressortir plus fortes et plus résilientes que jamais.