/
Cyber-résilience

Le secteur bancaire de l'UE sera-t-il préparé à la DORA ?

En janvier 2025, les institutions financières en Europe sont confrontées à un test majeur : la loi sur la résilience opérationnelle numérique (DORA).

DORA combine les règles de risque et de résilience liées aux TIC dans un cadre unifié. Mais les organisations financières seront-elles prêtes ?

Beaucoup font une course contre la montre. Les délais serrés et l'évolution des normes compliquent la préparation.

Comme l'explique Raghu Nandakumara, directeur principal du marketing des solutions industrielles chez Illumio, « les banques auraient bénéficié de normes techniques plus claires plus tôt. Les normes ont été adoptées en deux vagues : une au début de 2022 et la seconde à la mi-2024. Cela est parti moins de 12 mois avant la date limite du 17 janvier. »

Déballage de DORA

Qu'est-ce que DORA exiger avant la date limite ? Il ne s'agit pas seulement de protéger les systèmes. L'accent est mis sur le maintien du fonctionnement des services critiques, même en cas de perturbations.

Pour répondre aux normes de la DORA, les institutions financières doivent :

  • Testez régulièrement les systèmes TIC
  • Gérez les risques avec des fournisseurs tiers
  • Assurez-vous que les services essentiels restent opérationnels, quoi qu'il arrive
« DORA a un objectif clair : réduire l'impact des incidents. L'approche ? Supposons que des violations se produiront. » — Raghu Nandakumara

Les 6 principaux défis de la conformité à la DORA

1. Des délais serrés, des normes évolutives

Les règles expliquant les exigences de DORA, appelées normes techniques réglementaires (RTS), ont été publiés tardivement. La première version est sortie en janvier 2024 et la seconde a suivi en juillet. À moins d'un an de préparation, satisfaire aux exigences s'est transformé en une course contre la montre.

2. Gestion des fournisseurs tiers

Les fournisseurs tiers, tels que les hyperscalers et les fournisseurs de services gérés (MSP), jouent un rôle clé dans les services financiers. Mais voici le défi : qui décide si un fournisseur entre dans le champ de compétence de DORA ? « Est-ce que institution financière ou c'est le régulateur qui en décidera ? » demande Raghu.

Pour les petits MSP, les obstacles sont encore plus importants. La conformité dépend de leur rôle dans les processus financiers. Sans règles claires, il est difficile de savoir ce qui est requis. Résoudre ce problème nécessite deux choses :

  • Des directives plus claires
  • Collaboration renforcée avec les fournisseurs
3. Harmoniser la gouvernance et le leadership

DORA place la résilience opérationnelle en tête de ses priorités en matière de leadership. Planches doit :

  • Définissez des limites claires en matière de risques liés aux TIC
  • Surveillez les incidents majeurs
  • Assurez-vous que les bonnes ressources sont en place

Pourtant, de nombreuses organisations ne disposent pas de la structure et de la sensibilisation nécessaires pour atteindre ces objectifs.

4. Tests et amélioration continue

Les tests jouent un rôle clé dans Conformité DORA. Les organisations doivent :

  • Réaliser des tests de résilience annuels sur les systèmes TIC
  • Réaliser des tests de pénétration avancés tous les trois ans
« Les tests permettent d'identifier les lacunes et d'élaborer des plans d'amélioration, ce qui permet de progresser vers la maturité. Pourtant, ces tests nécessitent beaucoup de ressources et nécessitent un travail d'équipe entre les départements et les fournisseurs. — Raghu Nandakumara
5. Bâtir une culture résiliente

DORA ne consiste pas à cocher des cases. Il s'agit de rester préparé. Le leadership doit :

  • Favoriser le travail d'équipe entre les départements

Un changement culturel peut être essentiel à la réussite à long terme.

6. Déficit de compétences : pression croissante

Le mondial pénurie de main-d'œuvre en cybersécurité , estimé à 4 millions, aggrave les difficultés de DORA. Un solide programme de conformité peut atténuer cette pression. Elle simplifie les efforts tout en offrant des avantages opérationnels plus importants.

« Les nouveaux mandats de DORA renforcent la pression sur les équipes chargées des opérations, des politiques et des audits en matière de sécurité. » — Raghu Nandakumara

Comment s'harmonisent DORA et Zero Trust ?

Est-ce que DORA mentionne Confiance zéro? Pas directement. Mais ses idées clés, telles que l'accès au moindre privilège et la surveillance continue, sont étroitement liées.

La philosophie de Zero Trust, « ne jamais faire confiance, toujours vérifier », réduit les risques en authentifiant chaque utilisateur, appareil, application et charge de travail avant d'y accéder.

En quoi cela aide-t-il à faire face aux plus grands cyberrisques actuels ?

  • Stoppe les ransomware: Réduire l'impact de attaques de ransomware en limitant sa propagation sur le réseau.
  • Gère les risques liés aux tiers: Restreindre fournisseur accès aux systèmes critiques. Contrôlez le niveau d'accès des fournisseurs aux systèmes critiques.

Compte à rebours jusqu'au 17 janvier

Le compte à rebours est compté. Les tests, la supervision par des tiers et la planification de la résilience ne sont pas facultatifs. Cela nécessite des stratégies proactives et un changement culturel en faveur de la résilience.

Comme Raghu l'a expliqué, « l'UE veut le progrès, pas la perfection. Ils veulent voir comment les organisations interprètent les exigences et ce qu'elles ont réalisé. »

Vous souhaitez en savoir plus sur la conformité DORA ? Téléchargez notre livre électronique gratuit, Stratégies de conformité à la DORA : le rôle clé de la microsegmentation. Découvrez comment la microsegmentation peut améliorer la sécurité de votre organisation.

Sujets connexes

Articles connexes

La sécurité réseau est-elle morte ?
Cyber-résilience

La sécurité réseau est-elle morte ?

Découvrez comment l'idée de dépérimétrisation, proposée par le Jericho Forum en 2004, fait évoluer la stratégie de cybersécurité grâce à Zero Trust.

Il ne faut pas faire confiance à l'IA : pourquoi le comprendre peut être transformateur
Cyber-résilience

Il ne faut pas faire confiance à l'IA : pourquoi le comprendre peut être transformateur

Découvrez pourquoi le directeur technique et cofondateur d'Illumio pense que la « frontière technologique » de l'IA est plus petite qu'il n'y paraît, et comment cela influence la manière dont nous utilisons l'IA.

Les meilleures actualités sur la cybersécurité de novembre 2023
Cyber-résilience

Les meilleures actualités sur la cybersécurité de novembre 2023

Découvrez les meilleures actualités du mois en matière de sûreté, d'innovation et de sécurité en matière d'IA et de cloud.

Comment se conformer à la norme DORA avec Illumio
Cyber-résilience

Comment se conformer à la norme DORA avec Illumio

Découvrez les trois outils disponibles sur la plateforme Illumio Zero Trust Segmentation (ZTS) qui vous aideront à renforcer la conformité à la DORA.

Préparation à DORA : points de vue de deux experts en conformité en matière de cybersécurité
Cyber-résilience

Préparation à DORA : points de vue de deux experts en conformité en matière de cybersécurité

Découvrez les conseils de Tristan Morgan, directeur général de la cybersécurité chez BT, et de Mark Hendry, partenaire de services numériques chez Evelyn Partners, sur la gestion de la conformité DORA.

Assume Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?