Pour de nombreuses entreprises financières, le secteur de la conformité devient de plus en plus complexe. Tu as juste fini d’examiner une réglementation pour t’assurer que tu es en conformité, puis… arrive la suivante.
Avec l’augmentation considérable des menaces de cybersécurité auxquelles toutes les entreprises sont confrontées, et le durcissement des critères de cyberassurance, la loi DORA (Digital Operational Resilience Act de l’UE) est un ensemble de réglementations que les sociétés financières doivent maîtriser dès maintenant, même si elles n’entrent en vigueur qu’en janvier 2025.
La DORA renforce la cybersécurité et les processus opérationnels pour préserver les systèmes financiers critiques de toute interruption. Son objectif est de renforcer la résilience opérationnelle du secteur financier et d’assurer la continuité des services critiques afin que des incidents comme le fiasco de TSB en 2018 ne puissent pas se répéter. TSB a versé 48 millions de livres sterling à la PRA et à la FCA, plus 33 millions de livres sterling pour indemniser plus de cinq millions de clients lorsqu’une migration informatique a laissé les clients bloqués sur leurs comptes.
DORA s’articule autour des cinq piliers suivants :
- La gestion des risques.
- Rapports d’incidents.
- Tests de résilience opérationnelle numérique.
- Gestion des risques des tiers.
- Partage d’informations sur les menaces de cybersécurité.
L’UE considère ces réglementations comme nécessaires pour protéger les institutions financières qui numérisent de plus en plus leurs services et travaillent avec des tiers critiques comme les services cloud et les fournisseurs d’analyse de données. Sans un cadre approprié pour la résilience opérationnelle, ils estiment qu’un seul incident informatique pourrait potentiellement déstabiliser l’ensemble du système financier de l’UE. DORA est conçu pour empêcher cela et s’applique à toutes les entreprises du secteur des services financiers, de la banque à l’investissement et au crowdfunding.
C’est donc une bonne nouvelle pour les consommateurs, mais les entreprises ont un peu moins de deux ans pour se préparer.
Les entreprises britanniques ne peuvent pas l’éviter, car la loi DORA s’applique à toute entreprise offrant des services de technologies de l’information et de la communication (TIC) considérés comme essentiels à la chaîne d’approvisionnement du secteur financier européen, que cette entreprise ou ce service soit ou non basé dans l’Union européenne. En fait, selon la loi DORA, la complexité de ta chaîne d’approvisionnement ou l’absence de présence réelle dans l’UE sont considérées comme des facteurs de risque supplémentaires. Il est également probable qu’un équivalent britannique de la loi DORA devienne une loi au Royaume-Uni.
Alors, que dois-tu faire pour commencer à te préparer à DORA ? Voici quelques mesures simples à prendre dès maintenant :
Établir le périmètre du projet
Tout d’abord, il est important de nommer une équipe de projet DORA qui sera chargée d’examiner les détails des réglementations et d’établir leur portée pour ton organisation. Ils devraient ensuite commencer à définir la portée du projet pour ton organisation dans le contexte des risques que tu es susceptible de rencontrer en tant qu’entreprise. Je te recommande de constituer une équipe composée de personnes issues de différents secteurs de ton entreprise, notamment le service juridique, le service informatique et le service des achats, avec un chef de projet qui rend compte au conseil d’administration.
Atténuer les risques des logiciels existants et de l’infrastructure
D’un point de vue informatique, il sera important que ton service informatique établisse quels sont les risques que ton organisation court actuellement et qui l’exposent au risque de ne pas respecter les réglementations de la DORA. Par exemple, dans ton logiciel et ton infrastructure actuels, quelle est ta vulnérabilité aux cyber-attaques ? Quelles sont les anciennes applications que tu utilises et sont-elles sûres ? Ton réseau actuel est-il vulnérable aux attaques ? Quelle est la qualité de ton stockage de données ? As-tu mis en place des sauvegardes immuables et des systèmes de récupération éprouvés ? Une fois l’évaluation des risques effectuée, il faut convenir d’une feuille de route pour tout changement avec des échéances et procéder régulièrement à des tests de pénétration et à l’application de correctifs.
Adopter des outils de surveillance et de détection des menaces
Pour être en conformité avec les réglementations de la DORA, il est essentiel de s’assurer que tu disposes des bonnes couches de technologie pour atténuer les risques opérationnels quotidiens. Cela peut signifier l’adoption d’une nouvelle technologie de surveillance capable d’évaluer tes risques en temps réel et de prendre des mesures immédiates en cas de problème. En mettant en place les bons contrôles dès maintenant, tu gagneras du temps à long terme. Il sera essentiel d’avoir une visibilité complète et en temps réel de ce qui se passe dans l’ensemble de ton parc informatique. Et n’oublie pas d’évaluer les risques liés à la façon dont tu utilises les tiers – ils devront également être en mesure de démontrer une visibilité complète sur l’ensemble de tes fournisseurs et de ta chaîne d’approvisionnement afin de s’assurer que tu es en parfaite conformité avec la loi.
Idéalement, ton fournisseur de services informatiques ou de services gérés s’assurera que tu n’as pas d’anciens systèmes qui reposent sur des technologies moins récentes et qui pourraient compromettre ta résilience opérationnelle. Ils devraient également offrir une expertise en cybersécurité, des capacités de stockage et de traitement des données à travers une gamme de zones de disponibilité et de régions géographiques pour s’assurer que tu réponds à toutes les exigences. La mise en place de la bonne technologie améliorera la capacité de ton organisation à résister aux perturbations et à s’en remettre rapidement
Mettre en œuvre les meilleures pratiques en matière de formation des utilisateurs finaux
Les employés – bien qu’à leur insu – restent le point de défaillance le plus fréquent pour la sécurité dans les organisations. Il est essentiel d’offrir une formation régulière et de qualité aux utilisateurs et de mettre en place des couches technologiques pour atténuer les risques opérationnels quotidiens liés aux attaques de phishing ou aux ransomwares. Sans le bon type de formation et l’encouragement interne d’une culture de confiance zéro, tout ton dur labeur peut simplement s’envoler à cause d’une erreur humaine. Et tout comme les cybermenaces changent quotidiennement, la formation doit être continue et engageante pour garantir la meilleure protection.
Gagner en visibilité sur les fournisseurs tiers
Tu devras avoir une visibilité sur les risques liés aux fournisseurs tiers et leur demander de démontrer les mesures appropriées qu’ils mettent en place pour protéger ton infrastructure et traiter les risques et les menaces en temps voulu. Bien que les services TIC proposés par des tiers, tels que les fournisseurs de services cloud (CSP), puissent être plus résilients que l’infrastructure TIC des entreprises individuelles et des institutions financières, ce n’est pas une évidence. Tu devras vérifier et confirmer qu’ils peuvent se conformer à la DORA.
De plus, il est bon de savoir maintenant que la DORA peut exiger une stratégie multi-cloud pour éviter de dépendre d’un seul fournisseur. Cela ajoute de la résilience car un réseau peut basculer sur l’autre.
Commence ton analyse des lacunes
Nous te recommandons de commencer à évaluer, par le biais d’une analyse des lacunes, ce que ton organisation doit faire de plus pour être conforme dans trois domaines clés :
- Test de pénétration interne basé sur les menaces (TLPT) lorsque cela est possible.
- TLPT externe trois fois par an, le cas échéant
- Gestion plus étroite des risques liés aux tiers, c’est-à-dire aux fournisseurs de services cloud.
Dans le cadre des politiques de résilience opérationnelle de la FCA, de la Banque d’Angleterre et de la PRA qui sont entrées en vigueur en mars 2022, tu devrais déjà avoir identifié les services commerciaux importants et fixé des tolérances d’impact et commencé un programme de tests de scénarios. La PRA a procédé à une première évaluation de la mise en œuvre de la politique par les entreprises et a fourni un retour d’information sur les résultats. Cette année, la PRA travaille en étroite collaboration avec la FCA pour évaluer les progrès des entreprises, en mettant l’accent sur leur capacité à fournir des services commerciaux importants dans le cadre des tolérances d’impact par le biais de scénarios sévères mais plausibles dans un délai raisonnable et au plus tard en mars 2025.
Il n’existe pas de solution miracle pour parvenir à la conformité à la DORA. Il doit s’agir d’un impératif de l’entreprise, dirigé de haut en bas. Le PDG doit soutenir le RSSI pour s’assurer que l’ensemble de l’entreprise respecte les règles en adoptant les formations nécessaires, en mettant à jour les processus et en mettant en œuvre la technologie adéquate.
Il est probable que les autorités de régulation pourront exiger des preuves de la résilience commerciale de toutes les institutions financières et de leurs fournisseurs tiers. Elles pourront même exiger que les organisations effectuent des tests de résilience, participent à des exercices sectoriels et commandent des examens par des personnes qualifiées des tiers critiques – c’est pourquoi le fait de commencer dès maintenant tes préparatifs pour la DORA te permettra d’avoir une longueur d’avance.
Simon Paterson est RSSI chez CSI Ltd
Tu pourrais aussi lire :
La cybersécurité et l’industrie des services financiers:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l’annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel £5 par mois ou £50 par an. S’inscrire
- Multi-utilisateurs, entreprises & ; comptes de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible
