Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

BT et Illumio : Simplifier la conformité à la loi DORA

Maritza Marie Dubec
Responsable principal du marketing de contenu
Illumio Editorial
Octobre 18, 2024
23 min. lire

Les cyberattaques contre les institutions financières européennes ont doublé en 2023 - un rappel brutal de la croissance des risques dans le secteur. Cette montée en puissance montre clairement que la loi sur la résilience opérationnelle numérique( Digital Operational Resilience Act,DORA) n'est pas seulement importante - elle est cruciale pour aider les entreprises financières à se défendre contre les menaces et à se rétablir rapidement.

Lors d'un récent webinaire, Raghu Nandakumara, directeur principal du marketing des solutions industrielles chez Illumio, et Justin Craigon, consultant principal chez BT, ont partagé leur expertise sur la gestion des risques liés aux TIC et la préparation à la date limite de janvier de la loi DORA 17, 2025.

Les services financiers ouvrent la voie

"Le secteur bancaire a toujours été à la pointe de la sécurité. Les législations telles que NIS2 et DORA favorisent le changement et renforcent les défenses", déclare Justin.

Pourtant, l'état d'esprit est en train de changer. Les entreprises reconnaissent que des violations se produiront. C'est maintenant qu'il faut se concentrer : "Lorsque les attaquants pénètrent dans l'entreprise, que dois-je protéger en priorité ?" Pour limiter les dégâts, il est essentiel de donner la priorité aux actifs critiques.

"L'époque de la défense périmétrique traditionnelle est révolue. Le périmètre s'est déplacé et il ne s'agit plus d'une simple bulle que l'on peut dessiner". - Justin Craigon, BT

Les récentes attaques prouvent la nécessité de la résilience

Même les plus grandes banques du monde ne sont pas à l'abri. L'ICBC a été victime à deux reprises - en novembre 2023 et en octobre 2024. "Vous serez touché à un moment ou à un autre", affirme Justin. L'objectif n'est pas seulement d'arrêter chaque attaque, mais de contrôler les dégâts lorsqu'ils se produisent.

Raghu ajoute que le secteur des services financiers est tellement interconnecté qu'une faille dans une organisation peut avoir un impact mondial. "Lorsqu'une organisation est touchée, cela peut avoir un effet d'entraînement, se propager au-delà des frontières et perturber les marchés. C'est ce que DORA est censé empêcher."

De la prévention à la résilience

Les entreprises doivent accepter que les attaques sont inévitables et planifier en conséquence.

"Comme l'a montré l'ICBC, si vous êtes touché une fois, cela ne veut pas dire que vous ne serez pas à nouveau une cible", explique M. Raghu.

L'évolution se fait vers la résilience. "La prévention ne suffit plus", souligne Justin. Les entreprises ont besoin de plans d'intervention solides en cas d'incident. Il est tout aussi important de récupérer rapidement que d'arrêter l'attaque elle-même.

Les 5 piliers de la conformité DORA

Pour se conformer à la loi DORA, les organisations doivent se concentrer sur ces cinq domaines clés :

  • Gestion des risques : "Il s'agit d'être prêt à tout", déclare Justin. Des plans de crise clairs sont essentiels.
  • Gestion des incidents : Lorsqu'une attaque se produit, le fait de la contenir rapidement permet de limiter les dommages causés aux systèmes critiques.
  • Test de résilience : "Ne vous contentez pas d'espérer que vous êtes en sécurité, testez vos systèmes", conseille Justin. Des tests réguliers permettent de détecter les faiblesses avant que les attaquants ne le fassent.
  • Résilience opérationnelle : Protégez les éléments les plus importants de votre entreprise. "Vous ne pouvez pas tout arrêter, mais vous pouvez minimiser les dégâts", note Justin.
  • Rapport d'incident : Soyez transparent sur les incidents tout en protégeant les informations sensibles.  
Les cinq piliers de DORA

Comment DORA limite les dommages

"Le DORA permet de limiter les dégâts d'une violation grâce à des correctifs techniques et à des mesures politiques", explique Justin. Elle pousse les entreprises à adopter des normes techniques et des bonnes pratiques, réduisant ainsi l'impact des attaques.

"C'est comme si on fermait les cloisons d'un sous-marin pour empêcher l'eau de se répandre. L'objectif est de contenir l'attaque, d'arrêter les mouvements latéraux et d'empêcher les problèmes de la chaîne d'approvisionnement d'avoir un impact sur vous et vos clients.

Donner la priorité à ce qui est important

DORA met l'accent sur la proportionnalité. "On n'attend pas de vous que vous protégiez tout", déclare Raghu. DORA permet aux entreprises de donner la priorité à ce qui est important au lieu de les obliger à disperser leurs ressources.

Justin est d'accord : "Ce n'est pas comme dans d'autres cadres où l'on réussit ou l'on échoue. Il s'agit d'établir des priorités. Vous devez savoir où se trouvent vos fonctions critiques". DORA aide les entreprises à utiliser leurs ressources à bon escient.

Gestion des risques liés à la chaîne d'approvisionnement

Le risque lié à la chaîne d'approvisionnement est une autre préoccupation majeure de DORA. Les entreprises dépendent de fournisseurs tiers, qui peuvent devenir des maillons faibles. "Si votre fournisseur est touché, cela peut avoir un impact sur vous aussi", prévient Justin. Des contrôles réguliers et une gestion des fournisseurs critiques sont nécessaires.

La dépendance excessive à l'égard d'un seul fournisseur constitue un risque majeur. "Si vous mettez tous vos œufs dans le même panier, vous vous exposez à des problèmes", explique Justin. Les entreprises devraient répartir leurs risques en faisant appel à plusieurs fournisseurs.

Test des défenses

Des tests réguliers révèlent les vulnérabilités des défenses de l'entreprise. "Supposez une brèche - agissez comme si les attaquants étaient déjà à l'intérieur et voyez jusqu'où ils peuvent aller", conseille Justin. Ces tests mettent en évidence des faiblesses potentielles.

Dans un cas, l'équipe de pénétration de BT a atteint 400 serveurs sur 800 en raison d'une mauvaise segmentation. Des tests réguliers sensibilisent et renforcent les défenses, contribuant ainsi à stopper les mouvements latéraux et la propagation des attaques.

Responsabilité au sommet

DORA veille à ce que la responsabilité de la résilience n'incombe pas uniquement aux équipes informatiques. Le DORA fait de la résilience une responsabilité du conseil d'administration.

"En fin de compte, le conseil d'administration est responsable de la bonne marche de l'entreprise", explique Justin.

Cette approche descendante garantit que la résilience est intégrée dans la stratégie globale de l'entreprise. Avec l'implication du conseil d'administration, la résilience devient un élément central des opérations, et non une simple case à cocher de conformité.

Principaux éléments à prendre en compte pour la mise en conformité avec la loi DORA

Pour répondre aux exigences du DORA, les entreprises doivent :

  • Protéger leurs fonctions les plus critiques en concentrant leurs ressources sur ce qui compte le plus.
  • Testez régulièrement les systèmes pour trouver et corriger les faiblesses.
  • Gérez les risques liés à la chaîne d'approvisionnement en contrôlant régulièrement les fournisseurs tiers.
  • Impliquez le conseil d'administration dans la planification de la résilience afin de l'aligner sur les objectifs de l'entreprise.
"La question n'est pas de savoir si une cyberattaque se produira, mais quand elle se produira. Les entreprises doivent être prêtes à rester fortes et opérationnelles lorsque ce moment arrivera". - Raghu Nandakumara, Illumio

Façonner l'avenir de la cybersécurité

DORA modifie la façon dont les institutions financières et leurs fournisseurs envisagent la sécurité. Plutôt que de se concentrer sur la prévention, DORA encourage la résilience. En protégeant les systèmes clés, en testant les défenses et en gérant les risques liés à la chaîne d'approvisionnement, les entreprises financières peuvent être prêtes à faire face à la prochaine cybermenace.

Regardez le webinaire complet à la demande pour en savoir plus sur la manière dont DORA fait évoluer le secteur financier.

Vous souhaitez approfondir la question de la conformité à la loi DORA ? Téléchargez notre eBook, Stratégies pour la conformité DORA : Le rôle clé de la microsegmentation. Découvrez comment la microsegmentation peut changer la donne pour la sécurité de votre entreprise. Obtenez votre exemplaire gratuit dès maintenant.

Couverture de l'ebook DORA d'Illumio

Sujets connexes

Compliance

Articles connexes

La cyber-résilience : La priorité absolue du secteur bancaire en matière de sécurité
Cyber Resilience

La cyber-résilience : La priorité absolue du secteur bancaire en matière de sécurité

Dans ce discours de décembre 2021, Bo Li, directeur général adjoint du Fonds monétaire international (FMI), souligne que la technologie numérique imprègne tous les aspects de la société, augmentant notre dépendance à l'égard de l'interconnectivité et des réseaux qui la soutiennent.

Read more
5 conseils du stratège en chef de la sécurité de Cylera sur la confiance zéro
Cyber Resilience

5 conseils du stratège en chef de la sécurité de Cylera sur la confiance zéro

Apprenez-en plus sur la sécurité de l'HIoT et de l'OT médical et sur la manière dont vous pouvez renforcer les opérations de soins de santé avec Zero Trust.

Read more
8 questions que les RSSI devraient se poser sur l'IA
Cyber Resilience

8 questions que les RSSI devraient se poser sur l'IA

Découvrez huit questions que les RSSI doivent se poser pour protéger leurs organisations contre les attaques de ransomware assistées par l'IA.

Read more
Illumio et WWT s'associent pour guider votre voyage vers le zéro confiance
Partenaires & Intégrations

Illumio et WWT s'associent pour guider votre voyage vers le zéro confiance

Découvrez comment le partenariat entre Illumio et WWT permet aux organisations de bénéficier des avantages de la segmentation zéro confiance et d'atteindre leurs objectifs.

Read more
Comment atteindre la conformité DORA avec Illumio
Cyber Resilience

Comment atteindre la conformité DORA avec Illumio

Découvrez les trois outils disponibles dans la plateforme Illumio Zero Trust Segmentation (ZTS) qui vous aideront à vous conformer à la loi DORA.

Read more
Se préparer à la loi DORA : points de vue de deux experts de la conformité en matière de cybersécurité
Cyber Resilience

Se préparer à la loi DORA : points de vue de deux experts de la conformité en matière de cybersécurité

Tristan Morgan, directeur général de la cybersécurité chez BT, et Mark Hendry, partenaire en services numériques chez Evelyn Partners, vous expliquent comment naviguer dans la conformité DORA.

Read more

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more