Régulation DORA : la clé de la résilience opérationnelle pour le secteur bancaire
février 2024 par Laurent Gelu, Advisory Leader Cyber, Kyndryl France
Depuis son entrée en vigueur en janvier 2023, la Directive sur la Résilience Opérationnelle Numérique (DORA) a établi un nouveau cadre réglementaire pour l’Union Européenne, spécifique à la cybersécurité et à la gestion des risques dans le secteur financier. Cette législation répond non seulement aux menaces numériques grandissantes, mais offre aussi aux institutions financières une chance de renforcer leurs systèmes, leurs organisations et leurs stratégies face à des risques en évolution.
La publication des premiers Standards Techniques Réglementaires (RTS) et Standards Techniques d’Exécution (ITS) en janvier 2024 constitue une étape majeure. Ces textes établissent un cadre et des lignes directrices communes pour la mise en conformité DORA. DORA va au-delà de la simple prévention des risques, cette directive permettra aux institutions de réagir de manière agile et robuste aux cyberattaques de plus en plus sophistiquées, tout en maintenant les opérations essentielles et en assurant la continuité des services vitaux.
Au-delà de la date butoir de janvier 2025, les institutions financières devront continuellement réévaluer et améliorer leurs pratiques de résilience opérationnelle numérique pour assurer une sécurité et une stabilité pérennes de leur environnement numérique.
DORA s’articule autour de cinq piliers fondamentaux, tous ciblant un aspect crucial de la résilience opérationnelle numérique dans le secteur financier :
1. Gestion et gouvernance des risques TIC
Le premier pilier de DORA établit la responsabilité des comités de directions vis-à-vis des risques technologiques et impose la protection des systèmes et données critiques. Pour mettre en œuvre ce pilier, les entreprises doivent se confronter à plusieurs obstacles :
– La cartographie détaillée du patrimoine TIC et de ses vulnérabilités, dans un environnement IT complexe et en constante évolution
– La classification fine du niveau de criticité des différents systèmes, services et flux de données, essentielle pour définir les exigences de sécurité adaptées aux enjeux métier.
- Le maintien à jour des mesures de sécurité et des plans de continuité face à une menace cyber évolutive et à l’adoption continue de nouvelles technologies
Pour relever ces défis, les organisations doivent effectuer des analyses de risques régulières et itératives, tout en appliquant des mesures préventives comme le renforcement des contrôles d’accès, le chiffrement et la protection des données. Ces mesures de sécurité et les plans de continuité doivent être constamment actualisés en fonction des évolutions des menaces.
2. Classification et reporting des incidents
Ce pilier met l’accent sur l’importance de classifier et de rapporter rapidement les incidents de sécurité aux autorités. Les centres de supervision de la sécurité (SOC) jouent un rôle clé dans la qualification des nombreuses alertes générées au quotidien. Ils doivent identifier, parmi des milliers d’alertes quotidiennes, les véritables incidents nécessitant d’être remontés aux équipes d’intervention (CERT/CSIRT). Ces dernières analyseront et traiteront ces incidents majeurs selon des procédures formalisées. Si leur criticité et leur impact le nécessitent, une notification aux autorités de régulation pourra être effectuée.
Pour relever ce défi, les institutions financières déploient des plateformes d’orchestration des SOC (SOAR) afin d’automatiser le tri, l’analyse et l’escalade des alertes selon des playbooks d’incident. Par ailleurs, la mise en place de procédures formelles et d’équipes dédiées à la gestion de crise facilite la coordination entre les départements (IT, juridique, communication).
3. Tests de résilience opérationnelle numérique
Les tests de résilience opérationnelle sont vitaux pour mesurer la capacité des institutions à faire face aux crises. Organiser de tels tests à grande échelle, notamment dans des environnements simulés, exige des solutions d’infrastructure, de virtualisation et de cloud très avancées. Cela permet de créer des duplicatas précis des systèmes de production dans des environnements isolés et d’obtenir des simulations d’attaques plus réalistes. Les environnements de test isolés requièrent des technologies de virtualisation et de cloud duplicant ainsi la production.
Au-delà des exigences de DORA, le Cyber Resilience Stress Test de la BCE constitue un jalon supplémentaire pour évaluer et attester de la résilience opérationnelle des institutions financières. Prévu en 2024, il s’agit d’une initiative majeure évaluant la capacité des banques à se remettre d’une cyberattaque évaluant non seulement la réponse immédiate des banques mais aussi leur capacité à maintenir leurs opérations essentielles malgré les perturbations. Les tests incluent des simulations d’attaque avancées, alignées sur des cadres comme TIBER-EU, pour évaluer la préparation des institutions à des cyberattaques réalistes.
4. Gestion des risques des prestataires TIC Tiers
Ce pilier se concentre sur la gestion des risques avec les prestataires, qui représente un vrai défi pour de nombreuses institutions. Le renforcement de la surveillance des tiers et l’établissement d’accords solides en matière de cybersécurité et de continuité d’activité sont indispensables pour maîtriser les risques induits sur les opérations externalisées. Il nécessite de cartographier entièrement l’ensemble des fournisseurs stratégiques et d’identifier les interdépendances au sein de la chaîne d’approvisionnement numérique. . Enfin, la mise en place d’audits réguliers ainsi que le suivi des plans d’action auprès des fournisseurs stratégiques requièrent du temps et des compétences spécialisées.
5. Partage d’Informations et de Renseignements
Ce dernier pilier de DORA met l’accent sur le partage d’informations autour des menaces cybernétiques, indispensable pour renforcer la résilience collective. Cependant pour que le partage des informations entre les organisations soit efficace, cela nécessite plusieurs choses, comme l’anonymisation des données, leur normalisation (format, classification des incidents...) et la définition de standards communs.
La multitude d’initiatives fragmentées empêche souvent une consolidation efficace. Il est donc important de privilégier des plateformes centralisées et standardisés comme MISP (Malware Information Sharing Platform), reposant sur une gouvernance établie entre les parties prenantes.
Au-delà d’une contrainte réglementaire, DORA représente pour les institutions financières une occasion de transformer en profondeur leur cybersécurité. La résilience numérique nécessite un effort continu d’amélioration. DORA instaure un référentiel sectoriel objectivant le niveau attendu en matière de sécurité et de pérennité des services numériques critiques. DORA est un accélérateur pour renforcer sur le long terme la confiance des utilisateurs et se prémunir contre un spectre de risques en constante expansion.