.png)
La loi sur la résilience opérationnelle numérique (DORA) est la loi de l'UE sur la résilience opérationnelle numérique pour les entités financières. La loi DORA vise à atteindre un niveau élevé et uniforme de résilience numérique dans l'ensemble de l'UE. Elle définit des exigences uniformes pour les réseaux et systèmes d'information qui soutiennent les processus opérationnels financiers.
Le DORA impose des exigences complètes en matière de protection, de détection, d'isolation, de récupération et de remédiation en cas d'incident de sécurité. En outre, le cadre prévoit une gestion approfondie des risques et des incidents, le partage des cybermenaces et des vulnérabilités, des dispositions relatives aux tests de résilience et l'obligation de signaler les incidents aux autorités compétentes.
Nous avons publié le cadre d'exigences DORA pour Cyberday à l'automne 2024 - vous pouvez l'activer à partir de la section "éditer les cadres" du tableau de bord de l'organisation. Dans ce blog, nous examinerons plus en détail ce qu'est DORA et ce qu'il contient, à qui le cadre d'exigences s'applique réellement, et nous jetterons un coup d'œil sur l'aspect de DORA lorsqu'il se trouve à l'intérieur de Cyberday. C'est parti !
Alors que le paysage numérique continue de s'étendre, le secteur financier est soumis à une pression constante pour se protéger contre les cybermenaces. C'est là qu'intervient la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act), une initiative législative introduite par l'Union européenne pour renforcer la résilience cybernétique des institutions financières. Établi le 14 décembre 2022, le DORA marque un changement fondamental dans la façon dont les entités financières sont tenues de gérer les menaces numériques.
DORA montre que les institutions financières doivent se concentrer sur les risques opérationnels, et pas seulement sur les risques financiers. Le DORA n'est pas seulement une nouvelle règle à suivre, c'est aussi une occasion pour les entreprises financières de renforcer leurs défenses numériques. En mettant le DORA en pratique, les institutions financières peuvent normaliser leur réponse aux pannes informatiques ou aux cyberattaques, ce qui rend le système financier plus fort et plus résistant.
Le compte à rebours de la loi DORA est en cours, puisqu'elle doit être opérationnelle d'ici au 17 janvier 2025. Alors que les organisations se préparent à répondre à ces exigences essentielles, elles ont une occasion vitale d'affiner et d'améliorer leurs mesures de cybersécurité. En adoptant une attitude proactive, elles garantissent non seulement la conformité réglementaire, mais renforcent également la confiance et la stabilité sur le terrain numérique. Adopter la DORA, c'est en comprendre les détails et améliorer les défenses contre les cybermenaces.
Le champ d'application du DORA englobe un large éventail d'entités financières opérant au sein de l'Union européenne, y compris des entités non européennes. Son objectif est de veiller à ce que ces entités puissent résister, réagir et se remettre de tous les types de perturbations et de menaces liées aux technologies de l'information et de la communication (TIC). Voici une description plus détaillée du champ d'application de DORA :
Le DORA met l'accent non seulement sur la protection de l'infrastructure technique, mais aussi sur le maintien de la résilience opérationnelle numérique, ce qui fait qu'il est essentiel que les entités s'attaquent à la fois aux menaces numériques et aux risques opérationnels. Le DORA s'applique à un large éventail d'institutions financières, y compris, mais sans s'y limiter :
Le champ d'application de DORA est large, mais il se concentre principalement sur les entités ayant un impact direct ou significatif sur le système financier de l'UE, de sorte que certaines entités plus petites ou institutions financières non essentielles peuvent ne pas être soumises à ses exigences. Il peut s'agir, par exemple, de petites et microentreprises (PME) dans certains secteurs financiers non essentiels qui ne traitent pas de volumes importants de données financières sensibles, ou de fournisseurs de services TIC qui offrent des services non critiques ou non essentiels au secteur financier.
Le règlement vise à garantir que toutes ces entités disposent de mesures de cybersécurité cohérentes, indépendamment de leur taille ou de leur nature, en mettant l'accent sur leur résilience opérationnelle face aux risques liés aux TIC.
La loi sur la résilience opérationnelle numérique est un cadre réglementaire de l'Union européenne qui vise à renforcer la cybersécurité et la résilience opérationnelle des entités financières au sein de l'UE. Bien que la loi DORA ne soit pas un cadre de cybersécurité à proprement parler, elle établit un cadre réglementaire qui intègre des éléments de divers principes et pratiques bien connus en matière de cybersécurité. Pour l'essentiel, le DORA renforce la résilience opérationnelle numérique au sein du secteur financier. Mais quelles sont les mesures spécifiques prises pour y parvenir ?
Établit des exigences pour la gestion des risques liés aux technologies de l'information et de la communication (TIC), y compris la mise en place de cadres de gouvernance, la réalisation d'évaluations des risques et la mise en œuvre de contrôles pour atténuer les risques identifiés.
En alignant les institutions financières et leurs fournisseurs sur des normes et des exigences unifiées telles que la norme ISO 27001 et le NIST CSF, on renforce les défenses contre un paysage de menaces en constante évolution. Cette cohérence simplifie la conformité et garantit qu'aucune institution n'est exposée aux cyberrisques. Le chapitre II porte sur un thème général et présente les exigences en matière de sécurité de l'information en général. Parmi les articles à mettre en évidence, citons
Article 9 bis : protection : Cet article traite spécifiquement de la protection des systèmes d'information ; les entreprises doivent surveiller et contrôler en permanence leurs systèmes TIC afin de garantir la sécurité, de minimiser les risques et de se préparer au pire. Les mesures peuvent comprendre, par exemple, la gestion des accès, le cryptage des données de sauvegarde et des mesures de protection physique.
Article 9b : Prévention : Comme la première partie concerne la protection, la deuxième partie de l'article 9 décrit les exigences imposées aux entités financières en matière de protection et de prévention des risques pour leurs systèmes TIC. Les mesures de prévention des risques peuvent comprendre, par exemple, la définition des droits d'accès, la sensibilisation du personnel et la gestion des fichiers.
Les entités financières élaborent et documentent une politique de sécurité de l'information définissant des règles pour protéger la disponibilité, l'authenticité, l'intégrité et la confidentialité des données, des actifs informationnels et des actifs TIC, y compris ceux de leurs clients, le cas échéant.
Article 10 : Détection : Les entités financières doivent mettre en œuvre des mesures pour détecter rapidement tout problème ou vulnérabilité dans leurs réseaux TIC. Ces mécanismes doivent comprendre des contrôles à plusieurs niveaux, des seuils d'alerte clairement définis et des notifications automatisées pour faciliter la réponse aux incidents.
Le chapitre III prévoit une approche normalisée pour le signalement aux autorités compétentes des incidents importants liés aux TIC. Il vise à assurer une communication rapide et précise des incidents susceptibles d'affecter la stabilité financière ou les consommateurs.
DORA améliore la réponse aux incidents en rationalisant les processus de rapport et de réponse, ce qui permet aux entreprises d'agir rapidement et efficacement.
Dora exige que la résilience opérationnelle des systèmes TIC soit régulièrement testée, ce qui peut impliquer des évaluations de vulnérabilité, des tests de pénétration et des tests de pénétration guidés par la menace (TLPT).
Le DORA exige des entités qu'elles procèdent à des tests rigoureux de résilience opérationnelle numérique. Cela signifie des évaluations régulières et approfondies pour valider l'efficacité des mesures de sécurité, en veillant à ce que les faiblesses soient identifiées et atténuées rapidement.
Elle se concentre sur la gestion des risques associés aux fournisseurs de services TIC tiers. Il comprend des règles relatives à l'externalisation, à la surveillance et à l'évaluation des risques liés aux relations avec les tiers, ainsi qu'à la garantie que ces fournisseurs adhèrent également aux principes de sécurité et de résilience.
La loi DORA renforce la gestion des risques liés aux tiers en imposant une surveillance et une évaluation strictes des fournisseurs de TIC, en veillant à ce que les partenaires externalisés respectent les mêmes normes de sécurité et en réduisant les vulnérabilités dans l'écosystème financier interconnecté.
Le chapitre VI encourage les entités financières à partager les renseignements sur les menaces et les informations sur les cybermenaces, les incidents et les vulnérabilités au sein du secteur, afin de promouvoir une défense collaborative contre les cyberrisques. Le partage obligatoire d'informations aide les organisations à tirer les leçons des incidents, à en réduire l'impact et à éviter qu'ils ne se reproduisent.
Le DORA adopte une approche large, basée sur les risques, qui exige des entités qu'elles adoptent des pratiques de cybersécurité robustes, s'alignant ainsi sur des cadres mondialement reconnus tels que ISO 27001, NIST CSF, et CIS Controls, tout en répondant aux besoins spécifiques du secteur financier.
Comme indiqué précédemment, DORA est disponible pour travailler avec Cyberday. Dans Cyberday, Dora se compose de 5 clauses et de 42 exigences qui sont divisées en politiques et tâches prioritaires. Sur Cyberday , vous trouverez également de nombreux autres cadres mentionnés dans ce blog, tels que la norme ISO 27001 et le cadre de cybersécurité du NIST. Vous pouvez donc travailler sur DORA en tant que tel ou en combinaison avec d'autres cadres disponibles. Si vous n'avez pas encore eu l'occasion d'essayer Cyberday , faites un essai gratuit de 14 jours ici.
DORA sert à la fois de guide réglementaire et de norme de collaboration, unifiant les processus du secteur financier pour relever les défis communs en matière de résilience numérique. Ses lignes directrices claires sur la gestion des risques, la déclaration des incidents et les tests de résilience permettent aux organisations de toutes tailles d'aborder la cybersécurité avec confiance, en favorisant une défense proactive et cohérente contre les menaces en constante évolution.
En fin de compte, le DORA ne se contente pas d'établir des lignes directrices, il construit activement un écosystème collaboratif dans lequel les entités sont mieux préparées à contrer les cybermenaces, à sauvegarder les données et à conserver la confiance de leurs parties prenantes. Pour les institutions qui naviguent dans la complexité des menaces numériques, DORA est un allié inébranlable dans leur stratégie de cybersécurité.
Le Cyberday manque-t-il un cadre sur lequel vous aimeriez travailler ? DORA a été publié le jour Cyberday grâce aux souhaits de nos utilisateurs. Notre équipe travaille constamment à la mise à disposition de nouveaux frameworks, alors souhaitez votre favori, votre souhait se réalisera peut-être ⭐️ Aux cadres.
