DORA, une opportunité dans un contexte de menace grandissante

De la gestion du risque informatique et cyber à la résilience opérationnelle numérique. Le règlement européen DORA est à marquer d’une pierre blanche. Approach l’aborde de façon globale et continue.

Date butoir de transposition dans les Etats : 17 janvier 2025. DORA ( Digital Operational Resilience Act ) s’avance. Le règlement européen concernera un large public puisque qu’il va entrainer des évolutions non seulement pour l’ensemble des professionnels du secteur financier, mais également pour certains professionnels leur fournissant des services numériques.

« Il s’agit d’un cadre réglementaire innovant qui s’attaque aux risques posés par la profonde transformation numérique des services financiers, l’interconnexion croissante des réseaux et des infrastructures critiques ainsi que par la multiplication de cyberattaques, de plus en plus sophistiquées, à l’encontre des acteurs du secteur financier, explique Dorian Pacquet, Senior Consultant Security Strategy & Advisory, Approach. Ce qui signifie qu’elle est contraignante dans son intégralité et directement applicable dans toute l’Union européenne. »

Une connaissance fine de l’activité

L’objectif est de garantir que le secteur financier européen puisse gérer et récupérer rapidement de tout type de perturbations ou d’attaques liées à la technologie, dans le but de maintenir la stabilité et la fiabilité du système financier.

Le texte prévoit entre autres que les entités concernées devront :

  • mettre en place un cadre de gestion du risque numérique afin d’organiser leur gouvernance et leurs modalités de contrôles internes ;
  • notifier aux autorités nationales tout incident majeur ;
  • effectuer des tests de résilience en simulant des attaques ;
  • collaborer entre elles sur l’état actuel de la menace cyber.

Cette approche requiert de développer une connaissance fine du fonctionnement des activités de l’entreprise, y compris de son écosystème afin d’identifier les risques et les menaces, mais également d’évaluer les niveaux de perturbations acceptables pour l’organisation, également du point de vue du client.

Une opportunité

DORA met notamment l’accent sur l’implication des sous-traitants : une entreprise doit se porter garante de la conformité sur toute sa chaine de sous-traitance sur les activités critiques. Elle procèdera donc à des audits de tiers, qui pourront s’intégrer aux revues déjà en place le cas échéant. « C’est la vraie nouveauté en matière de contrôle des tiers : une mention dans le contrat ne suffit plus, note Alix Lambert, Ethical Hacker & Red Teamer, Approach. Nous passons d’une notion administrative de la conformité à celle de la responsabilité sur toute la chaîne, mise en avant dans tous les nouveaux textes européens. »

Cette dynamique améliore l’agilité et la réactivité de l’organisation, ce qui contribue à renforcer la confiance et la fidélité des clients. « Aussi, il s’agit d’appréhender le règlement DORA non pas comme une nouvelle contrainte réglementaire, mais bien comme une réelle opportunité de se différencier sur le marché en renforçant sa résilience opérationnelle sur les risques informatiques, de cybersécurité, de continuité d’activité et sur les risques liés aux tiers », assure Dorian Pacquet.

Plusieurs défis à surmonter

Une opportunité donc, mais aussi une série de défis à surmonter. Le premier, sans doute le plus important, consiste à obtenir l’implication active de la haute direction. Parfois sous-estimé, c’est pourtant un travail majeur d’information et de responsabilisation.

Le deuxième défi consiste à relever la barre en termes de gestion des risques liés aux tiers. Les organisations peuvent avoir des centaines de fournisseurs tiers, dont certains plus critiques que d’autres. C’est le cas, en particulier, des fournisseurs de services ICT. DORA demande aux services financiers de s’assurer de leur conformité. Il est donc nécessaire de travailler sur des stratégies de sortie potentielles et des tests conjoints, le cas échéant.

Ensuite, les tests. C’est un point crucial. Les organisations doivent structurer et tester régulièrement leur résilience pour évaluer en permanence les risques et l’adéquation de leurs stratégies de résilience.. « La réglementation DORA impose de réaliser régulièrement des TLPT ( Threat-Led Penetration Test ), poursuit Alix Lambert. L’objectif est de mesurer la résilience de l’entreprise face à un attaquant avancé en permettant à une équipe de test de mener des actions en se basant sur les TTP ( Tactiques,Techniques et Procédures ) d’un APT ( Advanced Persistent Threat  ). C’est évidemment l’affaire de spécialistes. Et c’est, pour Approach, une de nos spécialités ! »

Un engagement continu

Quatrièmement, la DORA impose un signalement rapide et transparent des incidents importants aux autorités compétentes. Cette démarche de signalement est essentielle pour maintenir la transparence, faciliter les réponses coordonnées et permettre une intervention rapide en cas de crise potentielle. Les institutions financières doivent établir des mécanismes et des processus de signalement solides pour garantir le respect des exigences de la réglementation. Cela implique l’élaboration de procédures claires de signalement des incidents et la mise en œuvre de systèmes permettant un signalement précis et rapide.

Enfin, les organisations doivent mettre en œuvre un système de surveillance robuste pour suivre la conformité et les performances en cours. Des évaluations régulières doivent être menées pour évaluer l’efficacité des efforts de conformité et identifier les domaines à améliorer. « La conformité n’est pas un effort ponctuel, mais un engagement continu, insiste Dorian Pacquet. Il s’agit donc de mettre en œuvre un système de surveillance robuste pour suivre la conformité et les performances en cours. »

Approach, une expertise pluridisciplinaire

Analyse des risques en amont, indépendance des testeurs, transparence, amélioration continue… En définitive, DORA apparaît moins comme une nouvelle contrainte réglementaire que comme la marche à suivre pour hisser les tests de cybersécurité au niveau de maturité qu’exige le grand virage numérique actuel du secteur financier.

C’est précisément le domaine d’excellence d’Approach depuis plus de vingt ans : aborder une problématique de risque et de conformité de façon globale et coordonnée. Approach propose une équipe dédiée DORA composée d’experts pluridisciplinaires habitués à collaborer ensemble : des experts en matière de gestion des risques liés aux technologies de l’information, de cybersécurité, de gestion de crise, de continuité des activités qui disposent d’une connaissance métier et sectorielle et des experts réglementaires et juridiques.