Interview avec Aline Moyret, GRC Practice Manager & Christophe Ruppert, Lead Advisor Business Continuity Management
Le nouveau règlement européen DORA, pour Digital Operational Resilience Act, entrera en application le 17 janvier 2025. A travers lui, un enjeu majeur : soutenir la résilience opérationnelle des acteurs financiers dans le cyber en harmonisant, à l’échelle de l’Union européenne, les exigences en la matière. Pour la Business Line Consulting de DEEP, les acteurs concernés devront faire face à des capacités nouvelles pour assurer la continuité de leurs services.
DORA, la nouvelle norme de résilience opérationnelle numérique en Europe
Le nouveau règlement sur la résilience opérationnelle numérique (DORA) du secteur financier a été adopté par le législateur européen à la fin de l’année 2022. Il entrera en application en janvier 2025, obligeant les acteurs financiers européens à prendre un ensemble de mesures visant à garantir la continuité de leurs services et plus largement leur résilience dans le digital. « En la matière, les régulateurs nationaux, comme le CSSF ou le CAA au Luxembourg, et les organes de supervision internationaux, comme l’EBA ou l’EIOPA, avaient déjà établi une série d’exigences et de bonnes pratiques à suivre, explique Aline Moyret. DORA amplifie ces règles de bonne conduite dans le numérique. Un règlement européen, à l’instar de DORA ou du RGPD, s’applique uniformément à travers l’Union, sans passer par une transposition en législation nationale. De facto, ce nouveau texte va donc contribuer à harmoniser les règles relatives à la gouvernance et à la gestion des risques inhérents à l’utilisation de ressources numériques pour supporter des activités financières. »
Mieux appréhender les risques pour bien y répondre grâce au règlement DORA
Surveillance des prestataires de services dans le domaine des TIC
Alors que la dépendance des métiers à la technologie ne fait que croître, le législateur européen a souhaité mieux sensibiliser et imposer un cadre de travail aux acteurs du secteur financier au sens large. « Ici, précise Christophe Ruppert, le règlement DORA vise à s’assurer que chacun soit en mesure de faire face à tout éventuel incident et être prêt à le surmonter en limitant l’impact business». Les risques, en effet, sont de diverses natures. Si l’on pense souvent à la sécurité informatique, visant à préserver les actifs numériques de l’organisation vis-à-vis de personnes mal intentionnées, d’autres considérations doivent pouvoir être appréhendées notamment celles liées aux tiers fournisseurs TIC critiques (CTPP). « Les opérations dépendent de plus en plus souvent de ressources informatiques gérées par des partenaires externes, des sous-traitants. Il y a lieu de se demander quelles pourraient être les conséquences, dans une perspective d’assemblage de la chaîne de valeur, par un prestataire qui ferait défaut, commente Christophe Ruppert. A travers DORA, qui introduit formellement le concept de résilience, le régulateur veut obliger l’ensemble des acteurs à mieux appréhender ces risques et à mettre en œuvre les moyens adéquats pour y répondre mais également de les tester en conditions réelles. »
Le règlement DORA accélère la migration des activités vers le Cloud
Ainsi, tombe aussi et largement dans le chef de DORA, la résilience des processus et charges de travail (workloads) déplacés dans le Cloud, en particulier dans le Cloud public, ses services IaaS, PaaS et SaaS. DORA va donc beaucoup plus loin que la prévision d’un retour en arrière dans les stratégies d’adoption ou d’amplification vers le cloud. La directive enjoint une culture agnostique ou de portabilité du ou des clouds ou de tout autre service outsourcé. Un vrai défi…
Les 5 piliers du règlement DORA (Digital Operational Resilience Act)
Afin d’engager les acteurs de la finance sur la voie d’une meilleure résilience, DORA est construit autour de cinq grands piliers.
- La gestion des risques TIC: La gestion des risques informatiques, au départ d’une gouvernance ad hoc, ce qui implique notamment des mécanismes d'analyse de risques, une cartographie des ressources ou des plans de continuité d’activités par exemple.
- La déclaration d’incidents : Les institutions financières sont tenues à un ensemble d’exigences en matière de reporting lié à des incidents impliquant les technologies de l’information et de la communication (TIC).
- Les tests : DORA prévoit un dispositif visant à tester la résilience opérationnelle numérique des organisations, notamment à travers le recours à une Red Team dont la mission sera d’évaluer la réponse sur incident des organes supervisés.
- La gestion des risques pour les tiers : Un chapitre important est consacré à la gestion des risques au niveau des sous-traitants ou au recours à des ressources externes, comme le cloud par exemple.
- Le partage d’informations et de renseignements : afin de permettre à chacun de mieux appréhender les risques et menaces.
DORA en Europe, un cadre adapté à l’implémentation des bonnes pratiques
A travers DORA, le régulateur va aligner les bonnes pratiques, introduisant de nouvelles exigences vis-à-vis des acteurs financiers. « Pour la plupart des acteurs, on ne part heureusement pas de zéro. Il faut considérer ce qui est déjà en place et les moyens de renforcer effectivement sa résilience au départ d’un pilotage affiné des risques, commente Christophe Ruppert. Dans cette optique, DEEP s’appuie sur une approche normée pour aider les acteurs à répondre à ces enjeux. Nous apportons à nos clients une expertise et un cadre adaptés à l’implémentation des bonnes pratiques en matière de résilience et de continuité de service. Cela débute avec une évaluation de la maturité des acteurs eu égard à des normes comme ISO 22301, relative à la continuité des activités, ou ISO 27001, qui concerne la gestion de la sécurité de l’information. » . « Cette approche est complétée d’une analyse transversale, complète Aline Moyret. L’objectif est de s’assurer que pour une menace identifiée, les dispositifs de continuité et de cybersécurité en place sont complets et cohérents, de l’analyse de risque à la réponse opérationnelle. »
DORA : Renforcer l’ensemble de l’écosystème en se basant sur un socle commun
DORA sécurise les données au sein des établissements financiers et des sous-traitants
L’approche se traduit par une identification des différents risques, l’évaluation de leurs impacts sur l’activité et la mise en œuvre des réponses à apporter. « On peut penser notamment à la formalisation des procédures de gestion des crises, indique Christophe Ruppert. Il n’est pas rare que ces procédures existent déjà au sein de l’entreprise, mais leur formalisation est essentielle ». Le tout doit tenir compte des enjeux métiers, selon le principe de proportionnalité qui prévaut dans le cadre de cette réglementation. « DORA impose aux acteurs de mieux superviser et piloter leurs risques, dans une optique de préservation de l’activité. Si cette réglementation vise à limiter les risques systématiques, elle soutient aussi la pérennité de chaque acteur, commente Aline Moyret. En s’étendant indirectement aux sous-traitants, les entités régulées devant s’assurer des garanties de continuité de ceux-ci, DORA contribue à renforcer l’ensemble de l’écosystème. »
Des dispositions en accord avec les directives de DORA
Au-delà de l’accompagnement proposé, afin d’aider les organisations à renforcer leur résilience, DEEP a aussi développé un ensemble de services et d’outils dans l’optique d’industrialiser les démarches. Le Cyber-Resilience Portal, par exemple, facilite la gestion et le partage de l’information inhérente aux risques et aux réponses apportées, afin d’évaluer les différents impacts sur la continuité des affaires de l’organisation (régulation, opérations, image & réputation, chiffre d’affaires), et ce dans une optique d’amélioration continue des enjeux de continuité des affaires.
DEEP accompagne les entreprises du secteur financier
Enfin, DEEP propose des services constituant une réponse opérationnelle aux exigences, ou à certains risques soulevés par la directive. La Business Line Cybersécurité, via les services SOC (Security Operations Centre) et CSIRT, propose une réponse opérationnelle pour la détection et la réponse aux incidents cyber. L’équipe COS (Cybersecurity Offensive Security) propose des services de type Red Team permettant de tester sa résilience. Enfin, via ses capacités de managed services, de cloud service provider, capable de gérer des environnements multi-cloud, DEEP accompagne ses clients dans la conception d’environnements résilients, prenant en compte ces besoins de conformité.
