Le secteur bancaire de l'UE sera-t-il préparé à la DORA ?
En janvier 2025, les institutions financières en Europe sont confrontées à un test majeur : la loi sur la résilience opérationnelle numérique (DORA).
DORA combine les règles de risque et de résilience liées aux TIC dans un cadre unifié. Mais les organisations financières seront-elles prêtes ?
Beaucoup font une course contre la montre. Les délais serrés et l'évolution des normes compliquent la préparation.
Comme l'explique Raghu Nandakumara, directeur principal du marketing des solutions industrielles chez Illumio, « les banques auraient bénéficié de normes techniques plus claires plus tôt. Les normes ont été adoptées en deux vagues : une au début de 2022 et la seconde à la mi-2024. Cela est parti moins de 12 mois avant la date limite du 17 janvier. »
Déballage de DORA
Qu'est-ce que DORA exiger avant la date limite ? Il ne s'agit pas seulement de protéger les systèmes. L'accent est mis sur le maintien du fonctionnement des services critiques, même en cas de perturbations.
Pour répondre aux normes de la DORA, les institutions financières doivent :
- Testez régulièrement les systèmes TIC
- Gérez les risques avec des fournisseurs tiers
- Assurez-vous que les services essentiels restent opérationnels, quoi qu'il arrive
« DORA a un objectif clair : réduire l'impact des incidents. L'approche ? Supposons que des violations se produiront. » — Raghu Nandakumara
Les 6 principaux défis de la conformité à la DORA
1. Des délais serrés, des normes évolutives
Les règles expliquant les exigences de DORA, appelées normes techniques réglementaires (RTS), ont été publiés tardivement. La première version est sortie en janvier 2024 et la seconde a suivi en juillet. À moins d'un an de préparation, satisfaire aux exigences s'est transformé en une course contre la montre.
2. Gestion des fournisseurs tiers
Les fournisseurs tiers, tels que les hyperscalers et les fournisseurs de services gérés (MSP), jouent un rôle clé dans les services financiers. Mais voici le défi : qui décide si un fournisseur entre dans le champ de compétence de DORA ? « Est-ce que institution financière ou c'est le régulateur qui en décidera ? » demande Raghu.
Pour les petits MSP, les obstacles sont encore plus importants. La conformité dépend de leur rôle dans les processus financiers. Sans règles claires, il est difficile de savoir ce qui est requis. Résoudre ce problème nécessite deux choses :
- Des directives plus claires
- Collaboration renforcée avec les fournisseurs
3. Harmoniser la gouvernance et le leadership
DORA place la résilience opérationnelle en tête de ses priorités en matière de leadership. Planches doit :
- Définissez des limites claires en matière de risques liés aux TIC
- Surveillez les incidents majeurs
- Assurez-vous que les bonnes ressources sont en place
Pourtant, de nombreuses organisations ne disposent pas de la structure et de la sensibilisation nécessaires pour atteindre ces objectifs.
4. Tests et amélioration continue
Les tests jouent un rôle clé dans Conformité DORA. Les organisations doivent :
- Réaliser des tests de résilience annuels sur les systèmes TIC
- Réaliser des tests de pénétration avancés tous les trois ans
« Les tests permettent d'identifier les lacunes et d'élaborer des plans d'amélioration, ce qui permet de progresser vers la maturité. Pourtant, ces tests nécessitent beaucoup de ressources et nécessitent un travail d'équipe entre les départements et les fournisseurs. — Raghu Nandakumara
5. Bâtir une culture résiliente
DORA ne consiste pas à cocher des cases. Il s'agit de rester préparé. Le leadership doit :
- Champion résilience opérationnelle
- Favoriser le travail d'équipe entre les départements
Un changement culturel peut être essentiel à la réussite à long terme.
6. Déficit de compétences : pression croissante
Le mondial pénurie de main-d'œuvre en cybersécurité , estimé à 4 millions, aggrave les difficultés de DORA. Un solide programme de conformité peut atténuer cette pression. Elle simplifie les efforts tout en offrant des avantages opérationnels plus importants.
« Les nouveaux mandats de DORA renforcent la pression sur les équipes chargées des opérations, des politiques et des audits en matière de sécurité. » — Raghu Nandakumara
Comment s'harmonisent DORA et Zero Trust ?
Est-ce que DORA mentionne Confiance zéro? Pas directement. Mais ses idées clés, telles que l'accès au moindre privilège et la surveillance continue, sont étroitement liées.
La philosophie de Zero Trust, « ne jamais faire confiance, toujours vérifier », réduit les risques en authentifiant chaque utilisateur, appareil, application et charge de travail avant d'y accéder.
En quoi cela aide-t-il à faire face aux plus grands cyberrisques actuels ?
- Stoppe les ransomware: Réduire l'impact de attaques de ransomware en limitant sa propagation sur le réseau.
- Sécurise le cloud: Les politiques dynamiques protègent les multicloud hybride.
- Gère les risques liés aux tiers: Restreindre fournisseur accès aux systèmes critiques. Contrôlez le niveau d'accès des fournisseurs aux systèmes critiques.
Compte à rebours jusqu'au 17 janvier
Le compte à rebours est compté. Les tests, la supervision par des tiers et la planification de la résilience ne sont pas facultatifs. Cela nécessite des stratégies proactives et un changement culturel en faveur de la résilience.
Comme Raghu l'a expliqué, « l'UE veut le progrès, pas la perfection. Ils veulent voir comment les organisations interprètent les exigences et ce qu'elles ont réalisé. »
Vous souhaitez en savoir plus sur la conformité DORA ? Téléchargez notre livre électronique gratuit, Stratégies de conformité à la DORA : le rôle clé de la microsegmentation. Découvrez comment la microsegmentation peut améliorer la sécurité de votre organisation.