DORA, de la mise en conformité à une approche par les risques. Le comité exécutif est désormais le principal responsable de la définition de cette stratégie… Explications de Kris Lovejoy, de Kyndryl
Entrée en vigueur le 17 octobre 2024 pour NIS2 et le 17 janvier 2025 pour DORA. NIS2 est une directive, là où DORA (Digital Operational Resilience Act) est un règlement. A priori, aucun lien. Bien que. Le souci de résilience est le même.
« Avec DORA, les rapports annuels des sociétés ouvertes devront divulguer leur stratégie et leur gouvernance en matière de risques de cybersécurité, y compris le rôle de leur conseil d’administration dans la gestion des cyber-risques importants », stipule d’emblée Kris Lovejoy, Global Security and Resiliency Leader, Kyndryl.
De même, DORA confie aux conseils d’administration de presque toutes les sociétés de services financiers réglementées dans l’Union européenne la responsabilité ultime de la gestion des risques et de la stratégie de résilience opérationnelle pour les technologies de l’information et des communications. En pratique, cela nécessitera que les conseils d’administration s’approprient davantage la supervision des risques de cybersécurité, notamment en garantissant le respect des exigences techniques et politiques du règlement.
Se préparer au règlement DORA
Compte tenu de la myriade de menaces, de règles et de mesures de protection, les entreprises peuvent aisément se sentir dépassées lorsqu’elles déploient leur cybersécurité. « Pensez la protection en termes d’hygiène et non pas de course technologique », conseille Kris Lovejoy. Premier conseil : « savoir précisément quelles technologies ont été déployées, ce qui veut dire recourir à des systèmes d’inventaire performants. S’assurer, dans la foulée, à ce qu’elles soient à jour, protégées et bien surveillées. Disposer, enfin, d’un mécanisme pour les restaurer en cas de problème. »
Même si certaines organisations ne prennent pas la cybersécurité aussi au sérieux que d’autres, les entreprises de nombreux secteurs vont devoir s’assurer que leurs normes de sécurité sont prêtes pour les nouvelles législations de l’UE.
A entendre Kris Lovejoy, DORA va inciter les organisations à envisager les risques de cybersécurité d’une manière holistique. « Le règlement va obliger les organisations à mettre en place un cadre garantissant les contrôles adéquats et les investissements nécessaires pour atténuer les risques et assurer leur récupération… ce qui est, en fait, de la cyber-résilience ! »
Considérer la chaîne d’approvisionnement
DORA prescrit aussi de disposer d’un mécanisme permettant de détecter, de répondre et d’informer les agences concernées d’un incident lorsqu’il atteint un certain niveau. Les entreprises devront avoir la capacité de mettre en œuvre des contrôles raisonnables pour gérer ce cadre.
De même, les organisations devront réfléchir à la cybersécurité de la chaîne d’approvisionnement, ce que Kris Lovejoy décrit comme une « exigence importante et relativement nouvelle », en raison du nombre d’acteurs malveillants qui utilisent les vulnérabilités de la chaîne d’approvisionnement « essentiellement comme un cheval de Troie » pour pénétrer dans les organisations.
DORA exige un contrôle renforcé des chaînes d’approvisionnement, incluant les partenaires de sous-traitance comme Kyndryl, qui sont des partenaires essentiels de ces entreprises et organisations, afin de s’assurer qu’ils ne présentent aucun risque.
5 conseils pour anticiper les cyber menaces, s’en protéger, résister à leur impact et restaurer rapidement leurs environnements informatiques critiques
- Sensibiliser le conseil d’administration et impliquer l’entreprise dès le départ – Les réglementations émergentes en matière de cybersécurité exigent un engagement au niveau du conseil d’administration. En conséquence, l’heure n’est plus aux cloisonnements. La cybersécurité n’est pas une question de « niche ». C’est l’affaire de tous, y compris du conseil d’administration et de la direction.
- Créer une MVC (Minimum Viable Company) – L’entreprise minimale viable est définie comme le minimum de services commerciaux dont une organisation a besoin pour maintenir un niveau de fonctionnalité prédéterminé. Une organisation peut disposer de plusieurs dizaines de services métiers, mais il est impératif que seuls ceux définis comme essentiels à sa mission soient inclus dans le MVC. Il est important de développer cette vision de l’entreprise car elle définira la portée et la complexité de ses efforts de redressement.
- Inventorier et déterminer les risques – Les organisations disposant d’un parc informatique vaste et complexe doivent connaître les actifs dont elles disposent, les mesures dont elles ont besoin pour les protéger et la probabilité de tentative de perturbation en fonction de la fonction. En d’autres termes, identifier et protéger le talon d’Achille de l’organisation.
- Élaborer un plan de gestion de crise et des pratiques en cas de perturbation – L’heure est à l’anticipation et à la préparation pour gérer l’inévitable. Lorsqu’il s’agit de cyberattaques, la question n’est pas de savoir « si », mais quand.
- Passer à un cadre Zero Trust et mettre régulièrement à jour la stratégie de cyber-résilience – La confiance zéro consiste à prendre des décisions d’accès au cas par cas. Chaque utilisateur, application, ordinateur, etc. se voit attribuer le minimum d’accès et d’autorisations nécessaires pour remplir son rôle.