Naviguer dans la loi sur la résilience opérationnelle numérique (DORA)
L'Union européenne est sur le point d'adopter une réglementation qui modifiera radicalement le cadre opérationnel numérique des institutions financières. La loi sur la résilience opérationnelle numérique (DORA) est un ensemble complet de règles destinées à accroître la résilience des systèmes financiers face aux cybermenaces et aux autres risques posés par la transformation numérique. Les implications de la loi DORA sont considérables et touchent à tous les domaines, des procédures de sécurité informatique aux plans de réponse aux incidents et aux protocoles de communication avec les clients. En explorant les complexités de la DORA, il devient clair que pour se préparer, les organisations financières doivent se concentrer sur les quatre piliers des données : disponibilité, authenticité, intégrité et confidentialité. Comprendre la cyber-résilience La cyber-résilience désigne la capacité d'une entité à obtenir les résultats escomptés en dépit d'événements cybernétiques défavorables et continus. Une cyber-résilience efficace englobe la capacité à résister, à s'adapter rapidement et à se remettre des cyber-incidents qui pourraient compromettre la confidentialité, l'intégrité ou la disponibilité des ressources numériques. Un cadre pour la cyber-résilience - DORA DORA est une proposition législative ambitieuse qui vise à établir un cadre harmonisé pour la supervision des accords d'externalisation, des opérations informatiques et de la gestion des risques informatiques dans le secteur financier. Elle s'applique à diverses institutions financières, des banques aux prestataires de services de paiement, en passant par les bourses et les chambres de compensation. Avec la directive DORA, l'UE envoie un message clair : les opérations numériques ne peuvent pas être cloisonnées ; elles doivent être intégrées dans le contexte plus large de la résilience opérationnelle. La directive exige une approche holistique de la gestion des risques numériques, en commençant par cartographier les dépendances numériques complexes d'une organisation. Cela signifie qu'il faut comprendre non seulement les systèmes principaux, mais aussi les nombreux services et plateformes sur lesquels ils reposent. L'objectif est d'identifier et d'évaluer les vulnérabilités potentielles de chaque maillon de la chaîne et de développer des stratégies solides pour prévenir, détecter et résoudre les incidents. Les applications patrimoniales sont particulièrement sensibles aux vulnérabilités et peuvent présenter des risques accrus pour la résilience opérationnelle. Lors de la réalisation d'une étude interne et de l'analyse de tous les systèmes, vous devez tenir compte des résultats suivants. Gestion des risques liés aux TIC Un processus solide de gestion des risques liés aux TIC garantit que toutes les vulnérabilités et menaces potentielles sont identifiées, évaluées et atténuées de manière structurée. Dans cette section, les entreprises doivent définir les responsabilités essentielles de la fonction de contrôle, afin de garantir la responsabilité de la mise en œuvre et de la supervision des mesures de sécurité des TIC. Gestion des risques liés aux TIC et aux tiers De nombreuses institutions financières ayant recours à des services de tiers, une gestion rigoureuse de ces relations est cruciale pour maintenir la résilience et prévenir les violations qui pourraient provenir de partenaires externes. Cette partie du cadre s'aligne sur les dernières tâches, où l'entreprise doit définir les responsabilités en matière de contrôle de la gestion des risques internes et externes. Surveillance des fournisseurs tiers essentiels Les fournisseurs de services tiers essentiels doivent faire l'objet d'une surveillance approfondie afin de minimiser le risque qu'ils peuvent représenter pour la résilience opérationnelle du secteur financier. Mise en place de politiques, de procédures, de protocoles et d'outils pour la gestion de la sécurité des réseaux et la sécurisation des informations en transit, contribuant ainsi à la résilience numérique et opérationnelle globale. Tests de résilience opérationnelle numérique Des tests réguliers des opérations numériques permettent d'identifier les faiblesses et de prendre des mesures proactives contre les cybermenaces. Souligner l'importance de préserver l'intégrité, la confidentialité et la disponibilité des données et des systèmes. Chaque entreprise devra mettre en œuvre des politiques et des procédures pour évaluer la criticité des actifs TIC. Incidents liés aux TIC Des plans de réponse aux incidents et des mécanismes de notification appropriés permettent de gérer efficacement tout incident de sécurité lié aux TIC. Ces plans couvrent les procédures opérationnelles, la gestion des capacités et des performances, la gestion des vulnérabilités et des correctifs, la sécurité des données et des systèmes, et la journalisation. Partage d'informations Les entités financières peuvent bénéficier d'une intelligence collective et améliorer leurs mécanismes de défense en partageant des informations sur les risques et les violations, en soulignant le rôle essentiel du cryptage dans la protection des données sensibles et en proposant une politique globale pour les contrôles cryptographiques. Cela va au-delà de ce que vous partagez avec vos fournisseurs, vos clients ou vos employés. Il s'agit également d'améliorer en permanence votre résilience cybernétique et de faciliter la communication avec les autorités compétentes. Une mise en œuvre cruciale de toutes les mesures susmentionnées consiste à veiller à ce que votre entreprise promeuve la cyberconscience. L'intégration de la cyber-résilience dans votre entreprise et les réglementations DORA soulignent la nécessité de programmes de sensibilisation à la sécurité des TIC et de formation à la résilience opérationnelle numérique afin d'améliorer la sensibilisation et la préparation de l'organisation à la cyber-résilience. Les autorités européennes de surveillance (l'ABE, l'EIOPA et l'ESMA) ont été chargées d'élaborer une série de produits stratégiques pour faciliter l'application de la réglementation DORA. En collaboration avec l'Agence européenne pour la cybersécurité (ENISA), elles visent à normaliser des éléments tels que les politiques de sécurité des TIC, la gestion des accès, la détection des anomalies, la continuité des activités et les plans de réponse et de récupération. La mise en œuvre de DORA est prévue pour le début de l'année 2025 et est donc encore en cours de construction. Nous examinerons ci-dessous les quatre piliers essentiels de la loi afin que vous puissiez préparer votre entreprise à s'adapter aux futures politiques. Disponibilité Dans le contexte de la loi DORA, la disponibilité fait référence à l'accessibilité des données et des services informatiques. Les institutions financières doivent veiller à ce que leurs systèmes puissent être accessibles et exploités comme convenu, indépendamment de la maintenance programmée ou d'incidents inattendus. La haute disponibilité ne consiste pas seulement à respecter des normes, mais aussi à tenir la promesse fondamentale de service qui sous-tend la confiance dans le secteur. Pour garantir l'accessibilité de vos données, vous devez procéder à un audit méticuleux de vos systèmes et services informatiques. Identifiez les points de défaillance uniques et corrigez-les à l'aide de redondances et de plans d'urgence. Utilisez des outils de surveillance avancés pour contrôler en permanence la santé et les performances du système. La collaboration est essentielle pour maintenir la disponibilité. Cela signifie qu'il faut travailler en étroite collaboration avec des fournisseurs tiers pour s'assurer que leurs services respectent vos objectifs de disponibilité. Cela signifie également qu'il faut se coordonner avec d'autres institutions financières afin d'établir des protocoles à l'échelle du secteur pour maintenir le service en cas de crise. Authenticité L'authenticité est un autre élément essentiel de DORA. Les institutions financières doivent pouvoir vérifier l'origine des données et l'intégrité des processus informatiques. Il s'agit d'un élément fondamental pour prévenir la fraude et maintenir l'exactitude des informations financières. Les signatures numériques jouent un rôle important pour garantir l'authenticité des données dans un environnement numérique. En utilisant des techniques cryptographiques solides, les institutions financières peuvent créer une "empreinte digitale" numérique de leurs documents qui est pratiquement impossible à falsifier. Renforcer la vérification de l'identité Outre les données, l'authenticité des participants aux transactions est également essentielle.