A logo with accompanying text "Listen on Spotify"A logo with accompanying text "Listen on Apple Podcasts"
Naviguer dans DORA : la conformité grâce à la cyberrésilience
Season Two
· Episode
9

Naviguer dans DORA : la conformité grâce à la cyberrésilience

Dans cet épisode, l'animateur Raghu Nandakumara s'entretient avec Tristan Morgan, directeur général de la cybersécurité chez BT Group, et Mark Hendry, partenaire des services numériques chez Evelyn Partners pour discuter de la réglementation DORA et de la conformité dans le secteur des services financiers. Ils discutent de l'interaction entre les normes réglementaires telles que NIS2 et DORA, de l'importance de la proportionnalité et de la résilience opérationnelle, ainsi que de l'adoption plus large de principes tels que Zero Trust.

Transcription

01:20 Raghu Nandakumara

Bonjour à tous. Bienvenue dans un nouvel épisode de The Segment. J'ai le grand plaisir d'accueillir Tristen Morgan, directrice générale de la cybersécurité chez BT Group, et Mark Hendry, partenaire des services numériques chez Evelyn Partners. Tris, Mark, bienvenue sur The Segment.

01:34 Mark Hendry

Merci, c'est super d'être ici.

01:35 Tristan Morgan

Merci de nous avoir accueillis.

01:38 Raghu Nandakumara

Eh bien, c'est un plaisir pour moi, et j'ai l'occasion de converser avec deux personnes plutôt qu'avec une personne habituelle. C'est donc deux fois plus de plaisir, deux fois plus de problèmes. Nous parlons de conformité, en particulier en ce qui concerne le secteur des services financiers, et de ce que cela signifie pour la cybersécurité. Quelques informations sur vous deux. Alors Tris, pourquoi ne pas nous parler de toi d'abord ?

01:56 Tristan Morgan

Oui, merci. C'est un plaisir d'être ici, et vous savez, j'ai le plaisir de contribuer à protéger tous les clients de BT Group, en particulier dans le domaine des affaires. J'examine donc les produits et services que nous voulons mettre sur le marché, la manière dont nous les servons et, en fin de compte, la manière dont nous garantissons leur sécurité aujourd'hui. Vous savez, vous pouvez vous défendre contre le plus grand nombre de violations possible tout en restant en conformité. Je le fais donc depuis de nombreuses années et, auparavant, j'avais une solide expérience de travail dans le secteur public, tant au Royaume-Uni qu'à l'étranger.

02:29 Raghu Nandakumara

Génial Merci, Tris. Mark.

02:33 Mark Hendry

Super, merci de m'avoir invitée. Donc oui. Mark Hendry, je suis partenaire de services numériques chez Evelyn Partners, une société de conseil aux entreprises axée sur le Royaume-Uni et l'Irlande. Avant de rejoindre ce cabinet, j'ai passé beaucoup de temps dans diverses entreprises, sociétés technologiques, consultants Big Four et cabinets d'avocats. À partir de 2014 environ, j'ai exercé une grande partie de ma pratique soit sous la direction d'un avocat, soit au sein d'une équipe juridique, en tant qu'expert technique et opérationnel chargé d'interpréter les exigences réglementaires, de les aligner sur celles-ci ou même de les remettre en question. Cela inclut des éléments tels que les grands programmes de modification de la réglementation numérique au cours des années du RGPD et la collaboration avec des clients qui avaient été touchés par des violations de données ou des incidents de cybersécurité et qui devaient enquêter, remédier et gérer le contrôle et l'application de la réglementation. C'est donc une période amusante pour vivre dans le monde des réglementations numériques, et merci de nous avoir invités sur ce podcast pour en parler.

03:43 Raghu Nandakumara

Eh bien, comme je l'ai dit, c'est vrai, le plaisir est pour nous. Alors Tris, Mark, merci beaucoup. En fait, Mark, je pense que la dernière partie de votre introduction indique vraiment où nous allons nous diriger avec le début de cette conversation. Et il s'agit de connaître votre point de vue sur ce que vous considérez comme les plus grandes cybermenaces qui ont un impact non seulement en général, mais aussi sur le secteur des services financiers en particulier. Alors, tu penses à Tris.

04:13 Tristan Morgan

Je veux dire, les menaces sont nombreuses. Et je pense que ce qu'il faut retenir en matière de sécurité, c'est qu'il ne s'agit pas d'un type de menace unique, mais de plusieurs types. Et même ces nombreuses personnes continuent d'évoluer et de changer en fonction d'un si large éventail de facteurs. Il peut s'agir de défis économiques, de défis géopolitiques ou d'autres idéologies. Nombre de nos clients sont donc confrontés à ce type d'attaque en constante évolution de la part de divers d'entre eux. Ce que nous avons constaté, bien que largement, c'est que par le passé, de nombreuses attaques étaient principalement concentrées sur de grandes organisations multinationales, des organisations dotées d'infrastructures critiques et de données critiques. Et ce n'est plus le cas de plus en plus souvent. Elles sont toujours totalement ciblées, mais les petites et moyennes entreprises sont aujourd'hui réellement touchées par cette situation. Ainsi, du point de vue des menaces, elles sont désormais omniprésentes et touchent des entreprises de toutes tailles et de toutes formes. Et je pense que cela représente une partie des changements, vous savez, que nous avons constatés.

05:17 Raghu Nandakumara

Oui, tout à fait raison. Et je pense que les données montrent clairement que l'impact s'est élargi, qu'il ne s'agit plus uniquement des cibles perçues par des virgules inversées comme les cibles les plus précieuses, mais qui touche désormais les organisations de toutes tailles et de tous les secteurs. À l'instar de Mark, quel est votre point de vue sur la suite des propos de Tris ?

05:40 Mark Hendry

Oui, je pense, prenons le point historique : une grande entreprise, de nombreux actifs, une cible importante, une sélection riche. Les petites entreprises sont ciblées. Pourquoi ? De nombreuses raisons. Mais les retombées de la cybercriminalité sont très bien comprises dans les communautés criminelles. Risque relativement faible. Il ne s'agit pas d'entrer dans une banque avec un fusil de chasse, et les récompenses sont énormes. Prenons également l'exemple de la chaîne d'approvisionnement numérique. Donc, en fait, ces petites entreprises sont potentiellement ciblées parce qu'elles sont liées à de grandes entreprises. Vous pouvez donc les cibler, puis passer latéralement d'un réseau à l'autre pour rejoindre des organisations connectées, ce qui aura des répercussions multiples. Tout dépend donc de la façon dont le monde a changé et s'est numérisé au fil du temps. Interconnectivité : il y a quelques années, nous avons parlé de l'année de l'attaque de la chaîne d'approvisionnement, mais cela ne s'est pas arrêté. Et l'année des rançongiciels n'a pas été arrêtée, elle a simplement évolué, elle a simplement changé. Réduisez les obstacles à l'entrée pour les organisations criminelles et les acteurs criminels qui transmettent leurs méthodes, leurs outils, leur logiciel de rançongiciel en tant que service, les manuels disponibles, les services à la clientèle des organisations criminelles qui apparaissent. C'est très intéressant et oui, les modalités des menaces changent souvent. Je suppose que les motivations des acteurs de la menace restent en grande partie stables, et cela dépend de qui ils sont, qu'il s'agisse d'un État-nation, d'une organisation criminelle organisée, d'un groupe criminel de niveau inférieur ou d'un adepte. Ils recherchent tous quelque chose, et la façon dont ils peuvent y parvenir ne fait que changer et évoluer au fil du temps. Ainsi, la façon dont nous devons défendre les défenseurs change également au fil du temps.

07h30 Tristan Morgan

Et si cela ne vous dérange pas, allez-y. Vous pensez à bon nombre de ces entreprises. Vous pensez à de nombreuses organisations qui essaient de nuire aux entreprises. En fait, elles sont gérées comme des entreprises, parce que ce sont des entreprises. Ainsi, lorsque nous examinons l'adoption des technologies et la transformation numérique, ils examinent les technologies pour comprendre comment elles peuvent être exploitées, comment nous pouvons les utiliser pour faire du mal à Internet. Vous avez donc deux modèles commerciaux similaires mais très différents.

07:56 Raghu Nandakumara

Absolument Il existe donc certainement ce modèle commercial de rentabilité similaire, et je suppose que l'économie des rançongiciels, et des rançongiciels en tant qu'entreprise, ou des cyberattaques en tant qu'entreprise, ne fait aucun doute. Et vous avez tous deux abordé diverses questions concernant la motivation, le fait que ce n'est pas seulement l'année des rançongiciels, mais je dirais les années des rançongiciels, au pluriel. En fait, c'est la modalité des attaques, et même si les tactiques elles-mêmes, les tactiques de haut niveau, ne changent pas vraiment d'une attaque à l'autre, d'un attaquant à l'autre, certaines de leurs techniques et procédures évoluent. Mais analysons tout cela petit à petit, et examinons la motivation, entre autres choses. En examinant les différents rapports similaires publiés ces dernières années, une chose qui se révèle est une certaine évolution vers un plus grand nombre d'attaques visant à compromettre la disponibilité et la productivité, au-delà de la simple approche d'extorsion. L'approche de la rentabilité. Comment voyez-vous cela ? Et considérez-vous cela comme une préoccupation croissante au sein des organisations ? Comment pouvons-nous nous assurer de continuer à être productifs tout en sachant que cette attaque est imminente ?

09:15 Mark Hendry

Tu as raison. Donc, le terme résilience, dont vous parlez, c'est, je dirais, la présence permanente à l'esprit, car même lorsqu'une brèche est en cours, il ne s'agit pas, à mon avis, de l'incapacité de l'entreprise à fonctionner. C'est bien, comment pouvons-nous continuer à fonctionner, même s'il y a des choses qui se passent au sein de notre entreprise ? Ainsi, si vous regardez le monde numérique et connecté, la plupart des entreprises ont toutes défini des tailles interceptées sur très peu de points dans le nouveau modèle SaaS hyperévolutif que nous avons mis en place. L'accent est donc mis sur la résilience informatique. En cas de panne non liée à la cybersécurité, et en fait, une panne liée à la cybersécurité est désormais primordiale, car vous faites valoir un point à juste titre, à savoir qu'il ne s'agit pas uniquement de rançongiciels et de demandes de paiement pour que vos données vous soient à nouveau communiquées ou que vous vous portiez bien. En fait, il s'agit bien plus de savoir si vous pouvez fermer un site Web pour ne pas pouvoir vendre de nouvelles commandes, ou si vous pouvez empêcher, vous savez, tous vos 50 000 employés de venir et de faire quelque chose qui, en soi, coûte énormément d'argent à cette entreprise.

10:21 Raghu Nandakumara

Et oui, et je pense que c'est lié à ça. Je regardais l'un des plus récents rapports sur les violations de données qui expliquait que, si l'on considère le coût moyen d'une violation de données, environ 33 % du coût est attribué à une perte d'activité. Et ce pourcentage en tant que coût total global augmente, alors qu'auparavant, cela avait un impact significatif, soit comme le paiement de la rançon, soit le recouvrement. Mais cet impact sur l'entreprise elle-même, la productivité, ne fait qu'augmenter de jour en jour. Alors, Mark, comme lors de vos conversations avec vos clients, quelle est la nature de cette conversation en matière de résilience opérationnelle et de cyberrésilience ?

11:02 Mark Hendry

Cela dépend de la personne à qui vous parlez, de ce qui compte pour eux et du secteur dans lequel ils évoluent. Il s'agit souvent de raconter une histoire. Ainsi, par exemple, l'un des incidents de rançongiciels sur lesquels j'ai travaillé il y a quelque temps s'est produit il y a quelque temps, mais c'est une assez bonne histoire. Ils ont été victimes d'un ransomware massif, une attaque de ransomware prolifique qui les a pratiquement empêchés de fonctionner. Et ils perdaient des millions par jour. C'était une organisation de biens de consommation qui évoluait rapidement. Elle ne pouvait donc pas faire entrer et sortir les marchandises de son entrepôt, ne pouvait pas imprimer d'étiquettes, ne pouvait pas dire aux travailleurs de l'économie à la demande quand et où se rendre au travail, ne pouvait pas payer les fournisseurs, ne pouvait pas payer le personnel, et beaucoup de choses avaient un impact quotidien. Et ils perdaient des millions de dollars sur le chiffre d'affaires, mais ils étaient absolument opposés, du point de vue philosophique, à l'idée de payer un acteur criminel pour récupérer leurs systèmes et leurs données. Donc, si je parle à une organisation qui produit quelque chose qui possède des chaînes d'usine et qui emploie des personnes qui entrent et sortent sur la base de contrats zéro heure, c'est une bonne histoire à raconter et à leur faire comprendre à quoi pourrait ressembler le type d'impact et comment elle va prendre des décisions lorsqu'elle est confrontée à une crise comme celle-ci. Alors qu'une organisation de services financiers est très différente en termes de mode de fonctionnement et de génération de revenus. Et donc, comment ils devront probablement prendre des décisions, comment ils vont même se coordonner en cas de panne de communication, comment ils planifient ces choses, puis comment ils font ces choix philosophiques, ainsi que les choix pratiques, opérationnels et techniques. Et, bien entendu, les différents secteurs ont des obligations, des contraintes, une supervision et une supervision différentes en matière de conformité réglementaire. Donc, si vous travaillez dans le secteur des services financiers, si vous parlez du coût global d'une attaque perturbatrice par rançongiciel ou d'une autre panne liée au numérique, il est probable qu'une bonne partie de ce coût provienne d'une amende infligée par votre superviseur, votre autorité de surveillance. Alors que si vous êtes, vous savez, pour l'instant, une organisation de production alimentaire, vous ne vous attendez pas vraiment à une grosse amende pour ne pas maintenir la résilience de vos systèmes. Je pourrais également en obtenir un pour violation de données personnelles, c'est une affaire légèrement différente. C'est la nature de la supervision, et son application peut varier considérablement en fonction de votre secteur, ce qui peut vraiment modifier radicalement vos prévisions concernant les coûts globaux de ce type de perturbation.

13:47 Raghu Nandakumara

Oui, absolument. Vous vous dirigez vers un domaine que nous souhaitons explorer sur la manière dont la conformité et les secteurs réglementés, ou sur la manière dont les secteurs conformes et hautement réglementés entraînent de meilleures normes et, dans ce cas, une meilleure sécurité et une meilleure résilience. Dans cette optique, qu'est-ce que vous considérez comme le changement ? Parce que j'ai en quelque sorte vécu une expérience personnelle au cours de mes carrières précédentes. Du point de vue de la conformité, la liste de contrôle tournait autour de la question suivante : d'accord, parcourez cette liste, vérifiez que vous faites toutes ces choses, puis fournissez, essentiellement, vos preuves. Mais l'impact de ces contrôles manquait souvent de contexte. Ils sont donc statiques au lieu de montrer une amélioration significative de la posture de sécurité. Quel est votre point de vue à ce sujet ? Pour en venir à DORA dans une seconde, DORA apporte quelques changements intéressants à cet égard. Mais quel est votre point de vue sur un historique de la conformité et de l'efficacité de ces exigences ?

14:48 Tristan Morgan

Je pense que dans de nombreuses organisations, la conformité était souvent perçue comme un défi, mais des questions se posaient quant à la raison. Et vous faites valoir à juste titre que cela était souvent considéré comme un exercice avec des cases à cocher. Et si vous regardez avec impatience certains des développements récents, comme le cadre d'évaluation cybernétique développé par le NCSC britannique, vous savez, ce n'est pas une case à cocher. Il s'agit vraiment d'une évaluation sur une échelle. Donc, ce que vous pouvez faire sur une base organisationnelle, c'est dire que pour certaines entreprises, ces choses sont plus importantes que d'autres. Vous pouvez ainsi composer et réduire les domaines dans lesquels vous devez être en conformité, et également comprendre dans quelle mesure vous devez être conforme à la balance ? Je pense que c'est très important car les manuels opérationnels en cas de violation en sont un bon exemple. Eh bien, quel genre de scénarios essayez-vous de simuler ? Dans quelle mesure recherchez-vous qu'une faille s'immisce dans l'ensemble d'une entreprise ? Ce sont toutes ces sortes de choses que vous devez faire preuve de jugement quant à la mesure dans laquelle vous devez réellement les mettre en place, en fonction des risques pour les clients et d'une chaîne d'approvisionnement plus large.

15:55 Raghu Nandakumara

Oui, tout à fait raison. Je pense que cela nous ramène à la question de la proportionnalité. Ce qui est pertinent pour vous en fonction de ce qui est important pour votre entreprise. Alors, je pense, Mark, quel est votre point de vue à ce sujet en termes de ce que vous avez fait, compte tenu de votre expérience, de ce que vous avez fait avec les clients par le passé et de la façon dont cela a évolué au fil du temps ?

16 h 15 Mark Hendry

Je suppose, eh bien, écoutez, que l'environnement réglementaire de l'espace numérique — appelons-le espace numérique et de données — a changé et est en train de changer massivement. Au cours de mes années de pratique, j'ai donc conseillé des clients sur la Loi sur la protection des données de 1998 telle qu'elle était, puis nous avons eu le RGPD, le RGPD britannique et la loi britannique sur la protection des données. De plus, la façon dont nous avons pratiqué cela, ou la façon dont les clients et les entreprises ont eu besoin d'aide à cet égard, a évolué au fil du temps. Je pense que cela tient peut-être à ma propre réputation en tant que praticien, et peut-être à la sophistication de l'écosystème numérique, du monde et, je suppose, à la conformité à l'environnement réglementaire ou normatif dans lequel nous vivons tous aujourd'hui. Ainsi, par exemple, à l'époque, j'avais l'habitude de faire le tour des centres d'appels et des entrepôts de données pour m'assurer que les contrôles étaient présents ou absents et fonctionnaient dans une certaine mesure, et je faisais des sortes de procédures convenues, des audits, etc. Je suis sûr que certaines de ces choses existent toujours. Mais si vous regardez le texte des normes, vous savez, le cadre de cybersécurité du NIST, ou le cadre d'évaluation de la cybersécurité pour le MCSC, comme Tris vient de le dire, ou en fait pour NIS2 et DORA. NIS2 est donc un bon exemple. Cela dit quelque chose comme la prise en compte de l'état de l'art qui n'est pas du tout statique. Cela change tout le temps. Il y a donc beaucoup d'interprétation. Et pourquoi ça dit ça ? Parce que l'état de l'art en matière de protection, de détection et de réponse doit évoluer, tout comme l'état de l'art en matière d'attaques et de causalité des dommages évolue également. Et ces réglementations doivent résister à l'épreuve de 20 à 30 ans, et elles doivent évoluer grâce à des directives complémentaires. Mais cela fait référence, vous savez, à NIS2, qui entretient une relation avec DORA. NIS2 dans ses définitions, il a une définition de la norme. Ce que nous entendons par norme, c'est si ce règlement fait référence à une norme, il fait référence à des normes internationales, il fait référence à des normes européennes, il fait référence à des normes techniques. Ils vous indiquent donc immédiatement les autres endroits qui évoluent plus rapidement que ne le font les règlements eux-mêmes. Par conséquent, la façon dont nous conseillons nos clients, la façon dont ils doivent tenir compte de ces éléments et agir, tout cela change très, très fréquemment.

18:58 Raghu Nandakumara

Oui, je trouve que tu l'as très bien exprimé. Et c'est un peu comme, Tris, parce qu'en gardant cela à l'esprit, j'ai l'impression que ce que nous voyons actuellement, et vous avez mentionné NIS2, mais permettez-moi de vous présenter DORA ici, qui explique comment elle a tiré parti de la norme ISO 27001 comme source d'inspiration sur laquelle s'appuyer. Parce qu'il y a tellement de choses qui sont déjà pertinentes, au lieu d'essayer de réinventer la roue. Je pense donc que les organisations adoptent de toute façon un alignement plus étroit entre les réglementations et les cadres et normes sécurisés que les organisations adoptent de toute façon pour éviter la duplication des efforts. Est-ce que cela correspond à ce que vous observez ?

19:46 Tristan Morgan

Oh, à 100 %, et en fait, c'est, vous savez, vraiment aider les entreprises. Vous pensez à certaines de ces grandes normes mondiales, comme l'ISO, que de nombreuses entreprises adoptent dans de nombreux domaines. Si vous deviez créer quelque chose de complètement distinct et demander à toutes les entreprises de se conformer à quelque chose de différent, non seulement cela entraînerait des coûts importants, mais je pense que vous rencontrerez en fait une résistance beaucoup plus grande, alors que ces réglementations, comme la DORA, s'appuient en fait sur les meilleures pratiques reconnues du secteur que de nombreuses entreprises adoptent déjà dans une certaine mesure, et sont en fait sensées, mais elles réduisent également les obstacles à la conformité. Je veux dire, il y a encore beaucoup de choses à faire pour y arriver, mais en fait, cela permet de réduire les dépenses. Mais cela signifie également qu'il existe de plus grandes communautés auxquelles les entreprises peuvent s'adresser, pour les aider à comprendre ce qu'elles doivent faire et les domaines qui ne doivent pas s'inquiéter. Je constate que pour un certain nombre de secteurs, bien que cela présente des défis, il y a également une certaine satisfaction quant au fait que c'est quelque chose qui a été utilisé universellement, et que les entreprises n'ont pas à se conformer aux différentes législations locales et aux différents pays, car de nombreuses entreprises que nous servons et que vous servirez travaillent au-delà des frontières nationales.

20:57 Raghu Nandakumara

Oui, absolument. Et en fait, il est intéressant d'en parler un peu plus parce que le NIS2, de par sa nature, l'UE définit le NIS2 comme une directive et demande ensuite essentiellement aux pays membres de l'intégrer dans les réglementations locales pertinentes. Mais par rapport à ce qui s'est passé dans le cas de DORA, l'UE a déclaré : « En fait, nous allons prendre la responsabilité de faire en sorte que cela soit appliqué à tous les niveaux ». Pourquoi y a-t-il une telle différence d'approche entre le NIS2, qui est plus large et couvre un plus grand nombre de secteurs, et le DORA, qui est en quelque sorte en train de devenir une réglementation à l'échelle de l'UE, n'est-ce pas ? Pourquoi y a-t-il une différence d'approche ?

21:46 Tristan Morgan

Je dirais qu'il le reconnaît et le fait passer à un niveau supérieur, et qu'il considère cela comme l'économie européenne. Reconnaître ainsi l'impact qui peut se produire, non seulement au niveau d'un pays individuel, mais à un niveau géographique de plus en plus large, à moins que vous n'examiniez certaines de ces questions fondamentales liées à la résilience et à la cybersécurité, car sans cela, si vous en avez des interprétations différentes, il n'y a pas d'harmonisation et vous n'allez pas tous dans la même direction. Il y a aussi un autre aspect, bien sûr, en matière de sécurité. Si l'on considère qu'il s'agit d'un sport d'équipe, il faut partager des informations entre les organisations pour être meilleures ensemble. Et je pense encore une fois que si vous examinez ces réglementations à l'échelle du continent et de l'Europe, elles sont importantes parce que c'est l'une de leurs pierres angulaires.

22:32 Raghu Nandakumara

Et oui, je pense que c'est un point important. Et je pense également que le secteur des services financiers, tant dans l'UE que dans le monde, est bien plus interconnecté au-delà des frontières que tous les autres secteurs critiques couverts par le NIS2. Alors Mark, qu'en penses-tu ?

22:50 Mark Hendry

Oui, je suis tout à fait d'accord avec ce que tu as dit. Je pense qu'il y a un peu de patrimoine. NIS2 est le second. Cela vient du NIS. Nous avions et avons le NIS britannique. Pour ceux qui ne connaissent pas le réseau NIS d'origine et les systèmes d'information, quels qu'ils soient, la réglementation 2018 était vraiment axée sur les opérateurs de services essentiels. Il s'agit donc des infrastructures nationales essentielles, des services publics, des transports, etc., ainsi que de ce qu'ils ont appelé les REEI, des fournisseurs de services numériques pertinents. Et tout cela a été transposé par le droit international. C'était à peu près à la même époque que le RGPD. Le RGPD a attiré toute l'attention et, par la suite, pratiquement toute l'application et la supervision. Et le NIS2 est la deuxième solution, car il reconnaît qu'un plus large éventail d'industries devraient être considérées comme critiques ou importantes sur le plan national et international, économique et social, sur une base sociétale. Mais ils ne sont pas vraiment coordonnés, il n'y a pas de coordination entre, je ne sais pas, le service postal français et l'économie d'infrastructure hydrogène du Royaume-Uni, je ne sais pas. Il serait donc très difficile de créer quelque chose qui convienne à tous les secteurs concernés par NIS2. Et harmonieux alors que, comme vous l'avez dit, les services financiers, l'économie, la société et le régime de supervision européens sont coordonnés depuis assez longtemps, et c'est pourquoi la DORA, une loi harmonisée et globale, a de bien meilleures chances. Vous savez, le temps en sera la preuve, mais il a de bien meilleures chances d'atteindre ses objectifs ou de respecter les principes qui ont été définis à l'aide de cet instrument harmonisé.

24h45 Raghu Nandakumara

Cela étant dit, et je pense que nous connaissons la nature des réglementations relatives à la gestion des risques liés aux TIC dans le secteur des services financiers par le passé, quel a été selon vous le déclencheur ou le point de basculement qui a incité l'UE à redéfinir une grande partie de cette réglementation sous la forme d'une véritable résilience opérationnelle son objectif principal ? Quel a été le point critique, Mark ?

25:14 Mark Hendry

Je pense qu'il s'agit probablement de la plus grande intervention de résilience dans les services financiers depuis le krach de 2008. Après le krach de 2008, il s'agissait de résilience financière, de liquidités dans le système. Beaucoup de choses ont changé depuis 2008, et nous en avons parlé tout à l'heure, quant à l'interconnexion de l'économie et de tous ses acteurs et à la mesure dans laquelle la société dépend de l'infrastructure numérique dans une mesure que je pense être attendue, mais qui peut être un peu surprenante étant donné que les effets peuvent être dominants en cas de panne. Je pense qu'il y a énormément d'appréhension et de nervosité en Europe quant à ce qui se passerait si cet acteur du neuvième degré que personne ne perçoit vraiment parce qu'il est enfoui au plus profond de la chaîne d'approvisionnement numérique, personne n'a vraiment fait preuve de diligence raisonnable à son égard, mais nous comptons tous sur lui. Nous ne le savons tout simplement pas encore. Vous pouvez donc le constater dans des domaines tels que les objectifs d'identification de DORA, où vous devez vraiment cartographier votre chaîne d'approvisionnement de manière approfondie et approfondie, voir qui est connecté à qui, qui est connecté à eux et sur qui ils comptent tous. Et il y a eu récemment un très bon exemple dans lequel, au milieu de tous ces processus et programmes DORA, il est possible d'identifier la chaîne d'approvisionnement et de déterminer, en tant qu'entité de services financiers, soumise à la DORA, qui est considérée comme un fournisseur de TIC essentiel ou important. En tant que fournisseur de TIC, je vais rejoindre bon nombre de ces institutions de services financiers qui n'ont pas subi de cyberattaque, mais dont les widgets et les dongles étaient branchés et déployés sur de nombreux serveurs et ordinateurs portables. Et quelque chose qu'ils ont fait a provoqué une panne opérationnelle importante et perturbatrice. Et cela n'avait rien à voir avec une cyberattaque, et c'est pourquoi cela comporte des éléments de gestion des risques liés aux TIC, que vous et moi considérons comme des objectifs cybernétiques, des mandats informatiques, des exigences informatiques. Mais c'est plus que cela, il s'agit de résilience opérationnelle numérique, car il ne s'agissait pas d'une cyberattaque, et oui, cela a eu un impact similaire à celui d'une attaque de ransomware perturbatrice pendant une courte période. Et c'est pourquoi cela s'est produit. Il s'agit d'intervenir en fonction de la façon dont le monde fonctionne aujourd'hui.

27h40 Raghu Nandakumara

Oui, absolument. Je vais revenir sur certaines choses que tu as dites. Tris, rien à ajouter ?

27:44 Tristan Morgan

Je pense qu'ils pouvaient le voir venir également. Et si vous regardez l'économie hautement, non seulement interconnectée, mais aussi juste à temps que nous avons dans des secteurs critiques, vous commencez à vous rendre compte qu'à tout moment, à tout moment, le fait qu'il ne s'agit pas simplement d'un petit impact localisé peut avoir des conséquences bien plus importantes. Je pense donc qu'il y a eu une plus grande prévoyance dans la planification à cet égard, mais aussi, et pour les entreprises avec lesquelles je travaille, je demande également aux organisations de fournir des conseils et une normalisation plus poussés sur certains de ces points, afin que certaines entreprises ou certains secteurs n'aient pas à en supporter tous les coûts.

28:28 Raghu Nandakumara

Il y a quelques éléments là-dedans. Réfléchissons à l'impact, car vous l'avez mentionné tous les deux. Et je peux penser à un exemple récent, qui est une cyberattaque liée à l'attaque du rançongiciel ICBC à la fin de 2023, qui a ensuite touché leur composante clé des titres américains, le marché des valeurs mobilières américain. Et puis il y a eu un effet d'entraînement qui leur a permis de valider des transactions, etc., entre toutes leurs contreparties. Et c'est un excellent exemple de ce dont DORA, et les commandes qu'elle apporte, cherche littéralement à réduire l'impact, mais je trouve que l'utilisation de tiers est vraiment intéressante. Et la première question que je vais vous poser à tous les deux est la suivante : comment identifier un fournisseur de services tiers essentiel par rapport à un produit de service tiers non essentiel ? Parce que ça, ce genre de chaîne, ces tortues tout le long, parce que vous pourriez continuer à creuser et vous dire : « Eh bien, c'est essentiel à mon processus, et celui-ci l'est, et celui-ci l'est ». Je veux dire, tout est essentiel. Alors, comment faites-vous la différence ?

29h35 Mark Hendry

Je veux dire, il y a un point là-dedans, c'est que c'est une question d'interprétation, et donc une question de profondeur et de minutie, et il y a un équilibre des risques entre les deux, c'est le principe de proportionnalité. Toutes ces réglementations contiennent un principe de proportionnalité, qui est, disons, lié à la prise en compte du risque pour X, Y et Z. Le RGPD traite donc du risque de préjudice pour les personnes physiques, vous et moi, si nos données sont piratées ou volées. Et s'il s'agit de données médicales concernant quelqu'un que nous ne voulons pas obtenir, ou s'il s'agit de données financières, quel est le risque de préjudice ? Vous avez donc mis en place des garanties proportionnées pour y faire face. Et puis, en ce qui concerne la cartographie de la chaîne d'approvisionnement, si vous préférez, qu'est-ce qui est essentiel et important ? Eh bien, faites simplement remarquer que je ne suis pas avocat, mais examinez quelles sont les définitions et interprétez-les pour votre organisation. Et il y en a vraiment deux. Je donnais quelques conseils à ce sujet l'autre jour. Il y a vraiment deux manières de considérer cela, du moins dans le scénario client que j'ai traité, à savoir qu'ils sont essentiels et importants en cas de panne ou de disparition, et cela vous empêche de mener à bien les tâches importantes dans le secteur des services financiers et l'économie. Et il s'agit de choses comme effectuer des transactions ou effectuer des transactions ou quoi que ce soit d'autre, vous savez, les gens retirent de l'argent aux machines. La deuxième partie traite de ce qui est important pour vous. C'est donc ce qui est important pour l'économie, ses acteurs et les autres acteurs qui agissent. Et puis il y a la question suivante : est-ce essentiel ou important pour vous ? Et il s'agit davantage de savoir si vous pouvez fonctionner et si vous pouvez remplir les obligations que vous avez envers vous-même, votre personnel et les autres personnes qui comptent sur vous et s'attendent à ce que vous fassiez quelque chose. Ainsi, par exemple, lors de cette conversation avec le client, il s'est demandé : « Ah, qu'en est-il de notre gestion des risques ? » « Nous utilisons X, Y et Z, un portail ou une plateforme cloud pour y parvenir, et cela est appliqué par X, Y et Z. » Sont-ils donc d'une importance capitale ? Eh bien, en fait, s'ils tombent en panne pendant plus d'une semaine à un moment donné, vous ne respectez pas votre obligation réglementaire. Alors oui, c'est l'un des deux. Ils sont d'une importance capitale. C'est à vous de décider qui peut y remédier, mais c'est comme ça que je m'y prends.

31:58 Raghu Nandakumara

Donc, juste pour contrer cela, je pense que la proportionnalité fait partie de la propriété de ces réglementations, et dans DORA en particulier, les rend très dynamiques, très flexibles et très personnalisables pour chaque organisation. Mais cela ne constitue-t-il pas également un défi lorsqu'il s'agit d'identifier, de déterminer : « D'accord, c'est ce que nous allons faire », mais aussi de prouver que vous avez fait les bons choix. Cela ne constitue-t-il pas un défi, ce qui signifie que les organisations font généralement le maximum par défaut ? Comment prenez-vous des décisions et comment prouvez-vous que vous avez pris les bonnes décisions ?

32:45 Tristan Morgan

Je pense donc que vous soulevez un argument valable, à savoir que vous devez réellement prouver votre prise de décision et il est essentiel de vous positionner autour de votre point de vue, en matière de proportionnalité. Alors, comment êtes-vous parvenu à une décision et à des preuves ? Et pour ce qui est de la question soulevée par Mark, qui consiste à demander un avocat également, je suggère, pour ce qui est de la façon dont vous y êtes arrivé, parce que, de toute évidence, vous ne voulez pas faire des suppositions, puis les prouver invalides en fin de compte. Il convient également de noter que toutes les décisions que vous prenez aujourd'hui doivent être revues régulièrement pour comprendre si elles sont trop strictes ? Ne sont-ils pas assez stricts en ce qui concerne ce que nous avons mis en œuvre ? Mais j'aimerais juste revenir il y a une seconde et dire que ce n'est pas une question concernant votre binaire, vous savez, un ou zéro. En fait, c'est à peu près une échelle clé. Et lorsque vous examinez les parties critiques dont vous avez besoin, il est également important de réfléchir au classement des différents systèmes et fonctions de la plateforme. Et ce dont j'ai souvent parlé aux clients, c'est qu'ils pensent souvent : « Eh bien, vous savez, si nous ne pouvions pas rédiger un bon de commande, cela aurait-il vraiment de l'importance ? Nous avons dit, en fait, que si vous en aviez besoin pour faire appel à des spécialistes de la réponse aux incidents, ce serait un problème. Il y a donc un certain nombre de choses que vous devez examiner de manière assez détaillée dans le cadre de votre simulation et de votre réflexion pour déterminer à quel niveau et dans quelle mesure vous voulez être en conformité ?

34:03 Raghu Nandakumara

C'est vraiment un excellent point. C'est comme s'il s'agissait de ce petit ensemble de processus métier clés dont vous devez vous assurer qu'ils continuent de fonctionner pour rester en activité, en activité. Je pense que cela sous-tend tout le reste. Alors, est-ce là que la conversation commence habituellement ? Est-ce le minimum fixé pour vous en tant qu'entreprise ?

34:28 Tristan Morgan

Oui, je vous conseille toujours de commencer par un client et de vous demander, en fait, si je suis un client, quels sont les services dont j'aurais besoin pour continuer à être servi ? Et il y aura des décisions difficiles à prendre en ce qui concerne le minimum. Mark a parlé de l'obtention d'argent ou de la possibilité de transférer de l'argent. Ce sont certaines des choses qui sont d'une importance fondamentale pour, vous savez, dans le secteur des services financiers, et puis en reprenant cela par l'intermédiaire d'une organisation, le risque de faire l'inverse est de vous demander quels systèmes de plateforme, etc., vous devez maintenir, mais de perdre ensuite de vue cette seule chose importante, qui signifie que vous pouvez atteindre un client. Je préconiserai donc de le regarder de l'avant vers l'arrière.

35:08 Raghu Nandakumara

Tout à fait exact. Parce que lorsque vous commencez par là, une fois que vous avez cette liste, vous pouvez vous demander : « D'accord, eh bien, quelles sont les menaces auxquelles ces choses sont confrontées ? Quels sont les risques qu'ils courent ? » Ensuite, passez à la façon dont vous identifiez les lacunes en matière de contrôles, puis déterminez quels contrôles supplémentaires vous devez mettre en place pour les atténuer et continuer à les tester et à les améliorer.

35:32 Tristan Morgan

Et au fur et à mesure, vous identifierez de nombreuses lacunes dans les contrôles. Et il est important de dire : « Eh bien, lesquels allons-nous prioriser ? Quelles sont les plus importantes ? » Plutôt que de simplement dresser une liste de 700 choses à faire. Il s'agit de savoir lesquels ont le plus d'impact pour s'assurer que l'entreprise peut rester opérationnelle et servir ses clients.

35:51 Raghu Nandakumara

Oui, et donc Mark, je pense que dans la foulée de cela, il y a cette approche axée sur les entreprises qui est liée à la proportionnalité qui correspond ensuite, essentiellement, aux menaces auxquelles vous et vos processus êtes confrontés et qui détermine ensuite la manière dont vous testez. Je pense que c'est un élément clé de la DORA, qui la différencie des autres réglementations que nous avons appliquées dans le passé dans le domaine de la gestion des risques pour les services financiers. Genre, c'est comme ça que tu vois les choses ?

36:18 Mark Hendry

Oui, je pense que oui. Je suis tout à fait d'accord, Tris, avec ce que tu dis. En disant, quelles sont les choses que les gens remarqueront s'ils se font frapper, que ce soit parce que c'est gênant ou pénible, et si les gens disent que vous êtes une organisation de services financiers entre entreprises ou entre entreprises, mais que vous savez que cela fera l'objet d'un examen réglementaire le plus rapidement possible. Quelles sont ces choses et à partir de là, à quoi elles sont reliées ? Sur quoi s'appuient-ils ? Et l'indice se trouve dans le nom : analyse de l'impact commercial. Nous l'avons fait avec des ânes, et c'est juste parce que nous avons un bâton pointu derrière nous, ce qui nous oblige, sous la forme de DORA, à le faire maintenant. C'est ce que nous avons toujours connu dans le secteur des services financiers. Quoi qu'il en soit, d'autres industries sont confrontées pour la première fois à une situation difficile. Mais en fait, nous parlons principalement de DORA ici. Il y a un autre point, à savoir que, oui, nous sommes sur la voie de l'application de la DORA, et nous ne savons pas encore à quoi cela ressemble, mais nous savons que les services financiers et les autorités de surveillance sont généralement mieux équipés, vous savez, des personnes bien formées, des ressources appropriées, vous savez. Ils ne seront probablement pas d'accord si vous aviez un régulateur ou quelqu'un qui travaille pour un superviseur en ligne. Il se peut qu'ils ne soient pas d'accord, mais par rapport aux autres, ils sont alors en avance sur le peloton et plus actifs, parce que c'est tellement important. Mais quoi ? Quatre mois avant DORA maintenant ? Et si tu n'es pas sur la bonne voie ? À quoi allez-vous donner la priorité ? Qu'allez-vous aborder de manière plus approfondie ou plus légère ? Et j'ai abordé la question de la responsabilité tout à l'heure. En cas de problème, comment allez-vous expliquer pourquoi il s'agissait d'un ensemble approprié de décisions et de mesures à prendre sur la base des informations dont vous disposiez au moment où vous les avez prises ? Tout cela joue un rôle lorsque des enquêtes sont menées et que l'application de la loi est calculée et décidée. Et cela ne veut pas dire que l'application de la loi n'aura pas lieu, mais ces circonstances atténuantes, si vous pouviez raconter une bonne histoire à leur sujet et prouver qu'il s'agissait de décisions judicieuses et sages à prendre, ou du moins qu'elles n'ont pas été négligentes, vous savez que vous êtes en bonne position. Donc, si vous êtes en retard dans votre programme DORA en ce moment, pensez à ce que nous avons dit : qu'est-ce qui va vous faire le plus mal, quelles sont vos priorités, ce que vous allez dépasser et ce que vous allez entreprendre l'année prochaine, en fonction de l'équilibre des risques ?

38:50 Tristan Morgan

Vous avez tout à fait raison lorsque vous pensez que les sociétés de services financiers sont souvent très habituées à la réglementation. Mais vous savez, si vous pensez à la portée de DORA, comme vous l'avez mentionné plus tôt, y compris les entreprises du secteur des TIC et nombre d'entre elles, c'est la première fois qu'elle est réellement soumise à ce type de réglementation. Par conséquent, il y a non seulement des frais généraux liés à la mise en conformité, mais aussi des coûts. Certaines d'entre elles peuvent être des entreprises relativement petites, et il leur est donc très onéreux non seulement de se lancer dans cette aventure, mais aussi de payer le coût de la mise en conformité.

39:20 Mark Hendry

Tu as tout à fait raison. Il s'agit de l'extension de la portée de ces mesures aux entreprises non réglementées. Les entreprises non réglementées entrent donc dans le champ d'application de Dora parce qu'elles constituent un fournisseur de TIC essentiel ou important pour l'économie européenne des services financiers. Et en fait, il y a quelque chose de très intéressant dans DORA. Il existe un mécanisme dans DORA, et je suis très curieuse de voir comment il fonctionne, ce que l'on appelle le registre des actifs. Lorsque les entités de services financiers doivent remplir ces feuilles de calcul indiquant qu'il s'agit de notre système d'information essentiel, de nos TIC et de nos actifs tiers, et que ceux-ci doivent être divulgués aux autorités de surveillance sur demande et à une certaine fréquence dans une certaine mesure. Ensuite, les fournisseurs de TIC seront désignés comme critiques et importants par les autorités de surveillance. Je peux maintenant prévoir une situation dans laquelle il existe un mécanisme de coordination, un mécanisme de coopération, dans le cadre duquel tous ces registres d'actifs feront l'objet d'une fuite de données volumineuse, et tout à coup, pour la première fois dans l'histoire au niveau de la Commission européenne, ils présenteront des couches et des couches brillantes sur le fonctionnement de toutes ces interconnexions et intersections. Selon moi, s'ils peuvent y parvenir grâce à DORA, cela nous permettra de maintenir notre résilience et d'oublier presque une seconde ce qu'il nous faudra pour y parvenir. Obtenir cette idée est le travail de plusieurs décennies, et nous sommes peut-être sur le point de le faire, ce qui est plutôt cool d'une manière geek.

40:55 Raghu Nandakumara

Oui, absolument. Je pense juste que j'ai deux réactions à cela. La première réaction est votre réaction à l'idée qu'il est incroyable de comprendre complètement l'ensemble des interdépendances entre le secteur des services financiers bancaires, les fournisseurs de services technologiques et la façon dont ils sont tous liés entre eux, et toutes les profondeurs que cela implique. Mais aussi travailler pour un fournisseur de technologie. Ma crainte est la suivante : comment puis-je savoir si je figure sur cette liste et si, si je ne suis pas sur cette liste, je suis critique ? Ne suis-je pas critique ? Et comment faire la différence entre l'un de nos clients qui dit : « Oh, c'est un fournisseur de technologie essentiel et un autre client, pas nous, qui ne nous a pas inscrit sur cette liste ». Comment cela s'applique-t-il à mes obligations, car c'est la partie qui, à mon avis, n'est toujours pas claire.

41:48 Mark Hendry

Mon entreprise vient donc de remporter le titre de conseiller FinTech de l'année. Vous pouvez donc imaginer que nous travaillons avec de nombreuses entreprises qui se situent à l'extrémité de ce spectre et qui sont réglementées parce qu'il s'agit essentiellement d'une banque numérique ou quelque chose comme ça. Et s'ils opèrent sur les marchés de l'UE ou sont supervisés par des régulateurs européens, devinez quel est leur périmètre. Mais s'ils s'intéressent à la technologie parce que c'est une technologie, ils sont essentiellement un fournisseur de technologie et leurs clients sont des entités de services financiers. Il suffit de regarder où opèrent ces clients des services financiers et ce qu'ils font pour eux. Et si vous pensez que vous êtes suffisamment important pour eux pour qu'en cas de chute, ils ne soient plus capables de faire certaines choses, alors c'est un exercice de logique dans lequel vous vous lancez. Si vous êtes une grande entreprise technologique qui compte des clients dans les secteurs de la vente au détail, de la fabrication de produits pharmaceutiques et des services financiers. Faites simplement le même exercice. Qui sont vos clients du secteur des services financiers ? Vous savez qui ils sont parce que vous les facturez, et vous pensez à ce que vous représentez pour eux et à ce qui se passe si vous tombez un jour et que vous planifiez pour cela et, encore une fois, faites un exercice de logique. Mais pour revenir à la question de Tris, si vous n'êtes pas sûre, demandez conseil.

43h00 Tristan Morgan

Je pense qu'il s'agit du dernier point concernant la recherche du Conseil. Donc, tu sais, personne ne peut le faire seul. Et de nombreux tiers peuvent vous aider, en quelque sorte, vous parlez de proportionnalité pour ce qui est de déterminer où et où aller en premier, et vous savez ce que d'autres secteurs ont fait. Et aidez à adopter cette position de jugement afin que les personnes puissent se conformer au bon niveau sans devoir supporter la charge de travail requise, en particulier les entreprises qui ne sont pas naturellement issues de cette sphère plus réglementée. Et Mark a parlé des entreprises technologiques qui se sont diversifiées dans les services financiers. Je pense que certains d'entre eux sont ceux pour lesquels je pense qu'il est le plus important de travailler avec d'autres personnes.

43:42 Raghu Nandakumara

Nous approchons donc de l'heure, et il s'agit d'un podcast Zero Trust, et nous n'avons jamais mentionné le terme Zero Trust une seule fois, donc je pense que je suis obligée de le faire maintenant. Alors Tris commence par toi d'abord. DORA parle donc longuement de ses objectifs et vise à améliorer la résilience du secteur des services financiers dans l'UE afin qu'il soit en mesure de continuer et d'être productif, même en cas de cyberattaque. Et il existe de nombreuses exigences techniques concernant la réduction de la portée de l'accès, etc. Mais il ne mentionne pas le terme « confiance zéro » une seule fois et très intentionnellement. Quel est votre point de vue sur la pertinence du Zero Trust pour DORA et sur les raisons pour lesquelles il a été intentionnellement omis ?

44:28 Tristan Morgan

Si je réponds à votre deuxième point, expliquez d'abord pourquoi il est omis. Le terme Zero Trust est donc évidemment un terme de sécurité plus large qui regroupe un ensemble de fonctionnalités visant à améliorer fondamentalement la position de sécurité de toutes les entreprises. Nous devons donc être conscients, en fait, que la terminologie Zero Trust pourrait changer à l'avenir, mais les principes qui la sous-tendent, et je pense que c'est l'une des raisons pour lesquelles elle n'a pas été nommée, restent d'une importance fondamentale. Et je les considère réellement de quatre manières. Il s'agit d'identifier les menaces, vous savez, de déterminer quelles sont les menaces critiques ou non critiques et les types de dépendances à des tiers. Comment pouvez-vous alors, sans aucune confiance, contribuer à la protection et à la prévention des attaques et là où vous devez mettre en place la bonne surveillance, le bon contrôle, tout en reconnaissant qu'il y a des choses plus avancées que vous devez faire pour les choses dont vous n'êtes pas sûr qu'il s'agit d'attaques. Et c'est là qu'une sécurité plus avancée, comme le semblent les technologies, est vraiment primordiale pour y parvenir, notamment en ce qui concerne les activités de type État-nation. Et puis, vous savez, l'autre élément clé du Zero Trust consiste à examiner la manière dont vous répondez à ces attaques et y remédiez. N'oubliez pas que la plupart des entreprises souhaitent pouvoir continuer à vendre leur capacité. Le Zero Trust est donc un bon moyen de regrouper un certain nombre d'entre eux, mais c'est fondamentalement pour cela que c'est important. Et bien sûr, pour certaines entreprises, il se peut que vous souhaitiez amplifier à la hausse ou à la baisse l'une des quatre choses dont je viens de parler, parce qu'elles sont les plus pertinentes pour ce que vous faites, mais globalement, lorsque vous examinez le principe de confiance zéro, il s'agit du concept du moindre privilège. Vous voulez donc donner à vos employés, à vos clients, le moins de privilèges possibles pour qu'ils puissent faire ce dont ils ont besoin, puis opter pour cette solution lorsqu'ils n'en ont pas besoin, au lieu de donner aux employés un accès administrateur pour toujours en tant qu'employé. Tu sais, ce n'est pas ce que nous voulons faire. Ce que Zero Trust doit faire, c'est fondamentalement rendre l'entrée des gens plus difficile. Mais si des personnes entrent dans une organisation, pour être en mesure de détecter, de réagir et de s'en remettre très rapidement.

46:32 Raghu Nandakumara

Oui, absolument. Et limitez leur portée au sein de l'organisation. S'ils entrent, jusqu'où peuvent-ils se déplacer ? Oui, c'est absolument fantastique. Hein ? Il s'agit d'un ensemble de principes qui s'appliquent non seulement à DORA, mais aussi bien au-delà. Et DORA, je suppose, bénéficie de certains de ces principes, augmentés ou diminués selon les besoins. Mark, tu as des idées ?

46:56 Marc Hendry

Oui, c'est là-dedans. Zero Trust est là-dedans. C'est une norme à laquelle nous aspirons et que nous appliquons aujourd'hui. La terminologie peut évoluer au fil du temps, et c'est pourquoi le terme n'est probablement pas là pour répondre à ce que dit Tris, mais des éléments de confiance zéro s'y trouvent. Si vous avez fait une recherche sur DORA et que vous avez cherché le mot segmenté, comme dans le cas de la microsegmentation, c'est-à-dire le découpage instantané d'éléments du réseau afin de vous contenir et ainsi de suite, il est là. C'est absolument là-dedans. Il vous suffit donc de savoir ce que vous recherchez, et vous le trouverez. Et la confiance zéro va évoluer. Il peut évoluer vers un nom différent ou un ensemble de caractéristiques différent que nous cherchons à atteindre. Mais DORA devrait durer. Et il se peut que des termes tels que « confiance zéro » commencent à apparaître dans les normes techniques réglementaires ou dans la mise en œuvre des normes techniques qui l'accompagnent. Mais c'est absolument là, parce que c'est un excellent moyen de protéger nos organisations contre les préjudices, les types de préjudices dont nous avons parlé.

47:53 Raghu Nandakumara

Et croyez-moi, en tant que fournisseur de segmentation, j'ai fait de nombreuses recherches sur Google dans ces documents pour chaque terme et tous leurs synonymes, et je les ai tous trouvés. Donc, je pense que nous sommes proches de l'heure. Tris, je vais venir avec toi, d'abord. Alors, pour terminer, comment aimeriez-vous vraiment, chers auditeurs, penser non seulement à DORA, mais aussi à la conformité aux risques de sécurité aujourd'hui et à la manière dont elle va évoluer à l'avenir ?

48:17 Tristan Morgan

Donc, ce que nous en retirons, c'est que nous savons que tout comme nous allons accroître l'utilisation de la technologie numérique en tant que secteur, nous savons également que nos adversaires vont l'utiliser pour essayer de plus en plus de cibler et d'essayer de tirer profit de tout cela. Par conséquent, en matière de sécurité, tout le monde joue un rôle central et le plus important au sein de ces organisations pour s'assurer qu'elles peuvent être mieux à même de les détecter et de s'en défendre et, en fin de compte, de mieux servir leurs clients. Et je veux dire, c'est là que la réglementation et la DORA entrent également en jeu pour aider à fournir ces conseils, la normalisation et, en fin de compte, la collaboration nécessaire pour y parvenir, pas seulement cette année, pas l'année prochaine, mais vous savez, pour les 5 à 10 prochaines années à venir.

49:02 Raghu Nandakumara

Il en résulte une meilleure collaboration et de meilleures normes. Afin que nous améliorions la sécurité collectivement.

49:09 Tristan Morgan

Oui, une meilleure collaboration, de meilleures normes. Je pense que c'est la clé du succès.

49:16 Raghu Nandakumara

Génial, Mark ?

49:18 Mark Hendry

Oui, je suis d'accord avec Tris. C'est une plante à feuilles persistantes. Ça va arriver. Il n'est pas encore là, mais il le sera bientôt, et il est toujours vert. Trouvons donc un bon endroit, continuons à construire à partir de cela, et essayons de ne pas nous laisser entraîner à coups de pied et à crier là où cela essaie de vous mener. Essayez de réfléchir aux avantages. Il s'agit de protéger les valeurs. C'est une question de stabilité, de résilience. Pensez à la résilience. Oui, c'est le message. Pensez à la résilience. Essayez de ne pas trop penser à la conformité, mais de le faire d'une manière conforme qui convient à votre entreprise. Interprétez correctement. Ayez une bonne histoire à raconter et faites ce qui est proportionné et juste pour vous, et vous serez plutôt en règle.

49:55 Raghu Nandakumara

Eh bien, je pense que ce sont des paroles très sages et instructives de votre part pour terminer. Alors Tris, Mark, merci beaucoup pour le temps que vous m'avez accordé aujourd'hui. C'était un plaisir de discuter avec vous deux et j'apprécie toute votre sagesse. Bravo les gars, merci.