BT et Illumio : simplification de la conformité à la norme DORA
Cyberattaques contre les institutions financières européennes a doublé en 2023 — un rappel brutal de l'augmentation des risques dans le secteur. Ce surtension indique clairement que la loi sur la résilience opérationnelle numérique (DORA) n'est pas seulement importante, elle est cruciale pour aider les sociétés financières à se défendre contre les menaces et à se rétablir rapidement.
Lors d'un récent webinaire, Raghu Nandakumara, directeur principal du marketing des solutions industrielles d'Illumio, et Justin Craigon, spécialiste senior du conseil chez BT, ont partagé leur expertise en matière de gestion des risques liés aux TIC et de préparation de la date limite du 17 janvier 2024 fixée à DORA.
Les services financiers montrent la voie
« Le secteur bancaire a toujours été à la pointe de la sécurité. Législation comme NIS2 et DORA favorisent le changement et renforcent les défenses », déclare Justin.
Pourtant, les mentalités sont en train de changer. Les entreprises reconnaissent que des violations vont se produire. L'accent est désormais mis sur la question suivante : « Lorsque des attaquants entrent, de quoi ai-je le plus besoin pour me protéger ? » Il est essentiel de donner la priorité aux actifs critiques pour limiter les dégâts.
« L'époque de la défense périmétrique traditionnelle est révolue. Le périmètre s'est déplacé et il ne s'agit plus d'une simple bulle que l'on peut dessiner. » — Justin Craigon, BT
Les attaques récentes prouvent la nécessité de faire preuve de résilience
Même les plus grandes banques du monde ne sont pas à l'abri. ICBC a été victime à deux reprises, en novembre 2023 et de nouveau en octobre 2024. « Vous serez touché à un moment donné », déclare Justin. L'objectif n'est pas simplement d'arrêter chaque attaque, mais de contrôler les dégâts lorsqu'elle se produit.
Raghu ajoute que secteur des services financiers est tellement interconnecté qu'une violation dans une organisation peut avoir un impact mondial. « Lorsqu'une organisation est touchée, cela peut avoir un effet d'entraînement, s'étendre au-delà des frontières et perturber les marchés. C'est ce que DORA est conçu pour éviter. »
De la prévention à la résilience
Les entreprises doivent accepter que les attaques sont inévitables et planifier en conséquence.
« Comme l'a montré l'ICBC, si vous êtes touché une seule fois, cela ne signifie pas que vous ne serez plus une cible », explique Raghu.
La transition se fait vers résilience. « La prévention ne suffit plus », souligne Justin. Les entreprises ont besoin de plans de réponse aux incidents solides. Il est tout aussi crucial de récupérer rapidement que de stopper l'attaque elle-même.
Les 5 piliers de la conformité DORA
Pour se conformer DORA, les organisations doivent se concentrer sur les cinq domaines clés suivants :
- Gestion des risques : « Il s'agit d'être prêt à tout », explique Justin. Des plans de crise clairs sont essentiels.
- Gestion des incidents : Lorsqu'une attaque se produit, la contenir permet de limiter rapidement les dommages causés aux systèmes critiques.
- Tests de résilience : « N'espérez pas simplement être en sécurité, testez vos systèmes », conseille Justin. Des tests réguliers permettent de détecter les faiblesses avant que les attaquants ne le fassent.
- Résilience opérationnelle : Protégez les secteurs les plus importants de votre entreprise. « On ne peut pas tout arrêter, mais on peut minimiser les dégâts », note Justin.
- Signalement des incidents : Faites preuve de transparence en ce qui concerne les incidents tout en protégeant les informations sensibles.
Comment DORA limite les dégâts
« DORA contribue à limiter les dommages causés par une violation grâce à des correctifs techniques et à des politiques., » Justin explique. Elle pousse les entreprises à adopter des normes techniques et des meilleures pratiques, afin de réduire l'impact des attaques.
« C'est comme fermer les portes des cloisons d'un sous-marin pour empêcher l'eau de se répandre. » L'objectif est de contenir l'attaque, de stopper les mouvements latéraux et d'empêcher que les problèmes de chaîne d'approvisionnement n'aient un impact sur vous et vos clients.
Prioriser ce qui compte
DORA met l'accent sur la proportionnalité. « On ne s'attend pas à ce que vous protégiez tout », explique Raghu. DORA permet aux entreprises de hiérarchiser les priorités au lieu de les obliger à trop répartir leurs ressources.
Justin est d'accord : « Ce n'est pas comme les autres frameworks où vous réussissez ou échouez. Il s'agit d'établir des priorités. Vous devez savoir quelles sont vos fonctions critiques. » DORA aide les entreprises à utiliser leurs ressources à bon escient.
Gestion des risques liés à la chaîne d'approvisionnement
Risque lié à la chaîne logistique est une autre préoccupation majeure à laquelle DORA répond. Les entreprises dépendent de fournisseurs tiers, qui peuvent devenir des maillons faibles. « Si votre fournisseur est touché, cela peut également avoir un impact sur vous,» prévient Justin. Des contrôles et une gestion réguliers des fournisseurs critiques sont nécessaires.
L'un des principaux risques est la dépendance excessive à l'égard d'un seul fournisseur. »Si tous vos œufs sont dans le même panier, vous risquez d'avoir des problèmes », explique Justin. Les entreprises devraient répartir leurs risques en faisant appel à plusieurs fournisseurs.
Tester les défenses
Des tests réguliers révèlent des vulnérabilités dans les défenses d'une entreprise. »Supposez une violation : agissez comme si les attaquants étaient déjà à l'intérieur et voyez jusqu'où ils peuvent aller,» Justin conseille. Ces tests mettent en évidence des faiblesses potentielles.
Dans un cas, l'équipe chargée de la pénétration de BT a piraté 400 serveurs sur 800 en raison d'une mauvaise segmentation. Des tests réguliers sensibilisent et renforcent les défenses, aidant à stopper les mouvements latéraux et la propagation des attaques.
La responsabilité au sommet
DORA veille à ce que la responsabilité en matière de résilience n'incombe pas uniquement aux équipes informatiques. DORA fait de la résilience une responsabilité au niveau du conseil d'administration.
« En fin de compte, le conseil d'administration est responsable du bon fonctionnement de l'entreprise », explique Justin.
Cette approche descendante garantit que la résilience est intégrée à la stratégie globale de l'entreprise. Avec l'implication du conseil d'administration, la résilience devient au cœur des opérations, et pas seulement une case à cocher de conformité.
Principaux points à retenir pour la conformité à la DORA
Pour répondre aux exigences de DORA, les entreprises doivent :
- Protégez leurs fonctions les plus critiques en concentrant les ressources sur ce qui compte le plus.
- Testez régulièrement les systèmes pour identifier et corriger les faiblesses.
- Gérer les risques liés à la chaîne d'approvisionnement en vérifiant régulièrement les fournisseurs tiers.
- Impliquer le conseil dans la planification de la résilience afin de s'aligner sur les objectifs commerciaux.
« La question n'est pas de savoir si une cyberattaque va se produire, mais quand. Les entreprises doivent être prêtes à rester fortes et opérationnelles le moment venu. » — Raghu Nandakumara, Illumio
Façonner l'avenir de la cybersécurité
DORA redéfinit la façon dont les institutions financières et leurs fournisseurs envisagent la sécurité. Plutôt que de se concentrer uniquement sur la prévention, DORA encourage la résilience. En protégeant les systèmes clés, en testant les défenses et en gérant les risques liés à la chaîne d'approvisionnement, les sociétés financières peuvent être prêtes à faire face à la prochaine cybermenace.
Regardez le webinaire complet à la demande pour en savoir plus sur la manière dont DORA entraîne le changement dans le secteur financier.
Vous souhaitez approfondir la conformité à la DORA ? Téléchargez notre livre électronique, Stratégies de conformité à la DORA : le rôle clé de la microsegmentation. Découvrez comment la microsegmentation peut changer la donne pour la sécurité de votre entreprise. Obtenez votre copie gratuite dès maintenant.