Résumé du règlement DORA
Une explication rapide de DORA et de ce que ce règlement signifie pour les finances mondiales.
8 QUESTIONS ET RÉPONSES SUR LE DIGITAL OPERATIONAL RESILIENCE ACT
Pouvez-vous nous présenter un résumé de la réglementation DORA ? C'est une question que Bureau Veritas Cybersecurity se fait souvent poser. Eva van Emmerik et Ben Brücker, tous deux experts chez Bureau Veritas Cybersecurity, répondent aux questions les plus fréquentes sur le DORA.
DORA est l'acronyme de Digital Operational Resilience Act (loi sur la résilience opérationnelle numérique). Le secteur financier européen doit se conformer à ce règlement européen sur la cybersécurité d'ici le début de l'année 2025.
1. Qu'est-ce que DORA ?
DORA se concentre sur la protection des réseaux et des systèmes d'information. Il s'agit d'une directive mondiale que l'ensemble du secteur financier de l'UE doit respecter", explique Eva van Emmerik. Elle travaille en tant que Group Manager Finance chez Bureau Veritas Cybersecurity et aide les organisations du secteur financier à assurer leur sécurité digitale. L'objectif de cette loi est de rendre le secteur plus résilient face aux risques digitaux.
2. QUAND LE RÈGLEMENT DORA S'APPLIQUERA-T-IL À MON ORGANISATION ?
Van Emmerik : "Le règlement DORA est entré en vigueur le 16 janvier 2023. À partir du 17 janvier 2025, toutes les institutions financières européennes devront s'y conformer. Les détails de la réglementation sont de plus en plus clairs. Le lot 1 des normes techniques de réglementation, ou RTS, et les normes techniques de mise en œuvre (ITS) ont été publiées le 17 janvier 2024. Le lot 2 de ces normes a été publié le 17 juillet 2024". Cela signifie que vous disposez d'un temps limité pour vous préparer à la mise en conformité avec la DORA.
3. POURQUOI AVOIR CRÉÉ DORA ?
Bien sûr, le monde de la finance est déjà couvert par toutes sortes de formations et de réglementations, ainsi que par la supervision qui en découle", explique M. Van Emmerik. Mais elles se concentrent principalement sur l'aspect financier, comme les risques de crédit ou la lutte contre la fraude.
Ces dernières années ont vu une augmentation des exigences en matière de cybersécurité : En 2016, nous avons eu la directive NIS, qui vise à sécuriser les réseaux et les systèmes d'information. Mais DORA est la première norme au monde pour le secteur financier qui dit explicitement : vous devez cartographier vos risques ICT digitaux.'
Toutes les organisations financières devront répondre plus ou moins aux mêmes exigences, explique M. Van Emmerik : 'Cette réglementation ne s'applique pas uniquement aux grandes banques, qui sont de toute façon souvent bien réglementées et qui accordent vraiment la priorité à la cybersécurité.'
'Le plus grand avantage de DORA est que l'ensemble du secteur deviendra plus résilient face aux menaces', déclare Van Emmerik. Et nous nous attendons à ce que la coopération internationale devienne plus facile, car nous sommes tous tenus de travailler de la même manière.
Eva van Emmerik
Directeur du groupe Finances
Bureau Veritas Cybersecurity
Le plus grand avantage de DORA est que l'ensemble du secteur financier de l'UE deviendra plus résistant aux menaces.
4. QUI S'APPLIQUE DORA ?
DORA ne s'applique pas seulement aux banques et aux institutions financières, mais aussi aux fournisseurs essentiels du secteur financier, explique M. Van Emmerik : "Par exemple, l'entreprise qui gère le réseau d'une banque".
Si la banque est sécurisée, mais que le fournisseur de TIC ne l'est pas, il y a toujours un risque majeur. C'est pourquoi ces fournisseurs sont également couverts par DORA" Les règles applicables aux fournisseurs de services essentiels sont toutefois légèrement différentes de celles qui s'appliquent aux banques ou aux gestionnaires d'actifs.
Ben Brücker
Red Teaming Lead
Bureau Veritas Cybersecurity
Il est important d'exécuter un test suffisamment approfondi pour créer une image précise de la résilience Cyber d'une entreprise, mais d'une manière qui rend le test abordable.
5. QUE SIGNIFIE DORA POUR MON ORGANISATION ?
Je ne m'attends pas à ce que DORA soit très intéressant pour les grandes banques et les fonds de pension qui consacrent déjà beaucoup de temps à la sécurité", déclare M. Van Emmerik. Ces grandes entreprises devraient procéder à une analyse des lacunes : dans quels domaines sommes-nous déjà conformes et que devons-nous encore faire ?
Ce sont les petites entreprises qui sont confrontées à un défi. Elles peuvent être amenées à prendre des mesures dont elles n'avaient pas besoin auparavant.
Les cinq principaux éléments du DORA sont les suivants :
- Une organisation doit disposer d'un cadre de gestion des risques liés aux TIC
- Une organisation doit disposer d'un processus de réponse aux incidents.
- Les security testing doivent être plus fréquents et seront obligatoires.
- Les risques liés aux tiers doivent être cartographiés, par exemple les risques encourus par vos fournisseurs.
- Le partage de renseignements sur les menaces sera obligatoire.
PROCESSUS D'INTERVENTION EN CAS D'INCIDENT ÉLARGI
Selon M. Van Emmerik, DORA est synonyme d'un processus élargi de réponse aux incidents : "Auparavant, ce processus faisait partie intégrante du cadre de gestion des risques dont disposait déjà une organisation. Mais le DORA va plus loin. Vous devez classer un incident et, dans certains cas, le signaler correctement.
DES TESTS PLUS FRÉQUENTS ET OBLIGATOIRES
La nouvelle législation signifie également : des tests plus fréquents et obligatoires, explique Ben Brücker, expert Red Teaming chez Bureau Veritas Cybersecurity. 'Les institutions financières doivent effectuer un test d'intrusion basé sur la menace, ou TLPT, une fois tous les trois ans. Ces tests peuvent également concerner les fournisseurs de services informatiques. Les tests ne sont pas encore obligatoires à l'heure actuelle, c'est donc un changement".
Le type de test TLPT (Threat-Led Penetration Test) que le DORA rendra obligatoire sera probablement une variante des normes Red Teaming existantes. Cependant, les normes techniques réglementaires sur ce sujet ne sont pas encore définies.
6. QUELLE EST LA RELATION ENTRE LE NIS2 ET LE DORA ?
DORA n'est pas la seule grande directive sur la cybersécurité à entrer en vigueur dans les années à venir. NIS2, applicable à partir d'octobre 2024, fixe également des exigences pour la sécurité digitale des entreprises et des organisations en Europe.
Quels sont les liens entre ces deux directives ? Van Emmerik : "Toutes deux concernent la sécurité informatique. La différence est que DORA se concentre purement sur le secteur financier et que NIS2 couvre toutes les industries critiques. DORA sera le chef de file du secteur financier.
Autre différence : le NIS2 est une directive que chaque État membre doit intégrer dans son droit national. DORA est une loi qui s'applique à tous les États membres.
7. PAR OÙ MON ORGANISATION DOIT-ELLE COMMENCER AVEC DORA ?
01
ÉTAPE 1 : DÉFINIR VOTRE GESTION DES RISQUES
La préparation à DORA commence par le processus", conseille Van Emmerik. C'est une bonne idée de vérifier d'abord si vous disposez d'un cadre de gestion des risques liés aux technologies de l'information et de la communication (TIC). C'est la base. Il existe des cadres standard que vous pouvez utiliser si vous n'en avez pas encore.
02
ÉTAPE 2 : FAIRE UNE GAP ASSESSMENT
Si vous avez déjà mis en place un cadre, vérifiez s'il existe des lacunes entre votre cadre et le nouveau règlement. Les security testing font-ils déjà partie de votre gestion des risques ou non ? Et qu'en est-il de vos fournisseurs ?
03
ÉTAPE 3 : VÉRIFIEZ VOTRE PROCESSUS D'INCIDENT
Réfléchissez à votre procédure en cas d'incident. Avez-vous la capacité de signaler les incidents de manière appropriée ?
04
ÉTAPE 4 : CRÉER OU AMÉLIORER VOTRE PLAN DE TEST
Qu'est-ce que je vais tester ? Quand vais-je le tester ? Comment vais-je démontrer ce que j'ai testé ? Assurez-vous de disposer d'un programme ou d'un plan de test pour les années à venir et trouvez un partenaire capable de vous aider à le mettre en œuvre.
Votre organisation dispose-t-elle déjà d'un dispositif de sécurité mature ? Dans ce cas, Van Emmeriks vous conseille de procéder à une analyse des lacunes afin de vérifier quelles mesures supplémentaires vous devez mettre en œuvre pour la DORA.
8. QUEL EST LE PLUS GRAND DÉFI EN CE QUI CONCERNE DORA ?
Bien que Van Emmerik et Brücker soient généralement positifs au sujet de DORA, ils s'attendent à quelques problèmes.
1. UNE CHARGE DE TRAVAIL IMPORTANTE
Si vous êtes un RSSI travaillant seul dans une organisation qui n'a pas consacré beaucoup de ressources à la cybersécurité, DORA signifiera beaucoup de travail supplémentaire", déclare Van Emmerik.
Le secteur doit faire face à une telle charge de travail en raison de DORA et de NIS2 qu'il n'y aura probablement pas assez de personnes pour tout mener à bien dans le temps imparti. Le personnel de sécurité est rare, c'est donc le premier défi à relever.
2. SIGNALER LES INCIDENTS
DORA vous demandera de signaler les incidents de sécurité. Mais la question est de savoir comment cette exigence est gérée", demande M. Van Emmerik. Où finiront ces informations ? Les organisations peuvent se sentir mal à l'aise lorsqu'elles doivent signaler ce type d'incidents.
3. RISQUES POUR LES TIERS
Un troisième défi à relever en matière de DORA est la maîtrise des risques liés aux tiers, explique M. Van Emmerik : "Que se passe-t-il si votre tiers est un petit fournisseur informatique ou un tiers étranger sur lequel vous n'avez aucun contrôle ? Comment allez-vous gérer cela ? Ce n'est pas clair.
Vous êtes invités
Participez à notre prochain webinaire au cours duquel nous discuterons des dernières normes techniques réglementaires (RTS) lot 2 au sein de DORA. Découvrez de manière interactive et engageante comment interpréter et appliquer ces normes dans votre organisation.
Ce webinaire offre deux perspectives essentielles : d'un point de vue technique et d'un point de vue procédural.
PLUS D'INFORMATIONS
Découvrez comment Bureau Veritas Cybersecurity peut vous aider à vous préparer à la DORA. Remplissez le formulaire et nous vous contacterons dans un délai d'un jour ouvrable.
