Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Se préparer à la loi DORA : points de vue de deux experts de la conformité en matière de cybersécurité

Raghu Nandakumara
Vice President, Industry Strategy
Illumio Editorial
Septembre 17, 2024
23 min. lire
Prises de vue en noir et blanc de Mark Hendry et Tristan Morgan

La loi de l'Union européenne sur la résilience opérationnelle numérique (DORA) devrait remodeler le secteur des services financiers en janvier 2025. Il établit une nouvelle norme en matière de cybersécurité et de résilience opérationnelle.

Si le passage à la DORA n'est pas sans poser de problèmes, il permet également aux organisations de renforcer leurs opérations et de se préparer au paysage complexe des menaces d'aujourd'hui.

Sur The Segment : A Zero Trust Leadership Podcast, je me suis entretenu avec deux responsables de la conformité en matière de sécurité - Tristan Morgan, directeur général de la cybersécurité chez BT, et Mark Hendry, partenaire des services numériques chez Evelyn Partners - qui ont partagé leurs points de vue sur la manière de se conformer à la loi DORA.

À propos de Tristan Morgan et Mark Hendry

Tristan dirige la cybersécurité chez BT, qui fournit des services de sécurité, de cloud et de réseau à des multinationales du monde entier. Son expérience en matière de cybersécurité au sein du gouvernement britannique et dans d'autres pays lui a permis d'acquérir une solide expérience dans la sécurisation d'écosystèmes numériques complexes et dans la garantie de la conformité.  

Chez Evelyn Partners, Mark guide les clients à travers les défis complexes de la conformité en matière de cybersécurité. Il possède une vaste expérience des espaces réglementaires numériques, y compris le GDPR, et se concentre sur les programmes de changement réglementaire. Il offre à ses clients de précieux conseils pour naviguer dans la transformation numérique et s'adapter aux nouvelles réglementations telles que la DORA.

DORA : une approche holistique de la cyber-résilience bancaire

DORA représente un changement important dans la manière dont le secteur bancaire et financier gère la résilience, à la fois en termes d'opérations et de cybersécurité. Au lieu de règles distinctes pour chaque pays, le DORA traite la cyber-résilience comme un effort coordonné dans l'ensemble de l'UE.

"DORA fait passer le débat sur la résilience à un niveau supérieur", explique Tristan. "Il reconnaît l'impact qui peut se produire non seulement au niveau d'un pays, mais aussi à un niveau géographique plus large.

Mark a indiqué qu'il considère qu'il s'agit de la "plus grande intervention de résilience dans les services financiers depuis la crise de 2008". Après 2008, tout était question de résilience financière et de maintien des liquidités dans le système, a expliqué Mark. Aujourd'hui, l'économie mondiale est de plus en plus interconnectée et la société dépend fortement de l'infrastructure numérique du secteur bancaire.

Les institutions financières de l'UE étant de plus en plus connectées, le risque de cybermenaces et les perturbations qu'elles peuvent entraîner augmentent rapidement. DORA s'attaque à ce problème en encourageant une stratégie unifiée, aidant les organisations à protéger leurs opérations critiques où qu'elles se trouvent.

"Si vous avez des interprétations différentes de la cybersécurité et de la résilience, il n'y a pas d'harmonisation - vous n'allez pas tous dans la même direction", a déclaré M. Tristan. "La sécurité est un sport d'équipe, et il faut partager les informations entre les organisations pour qu'elles soient plus performantes ensemble.

Avec DORA, les organisations financières de l'UE suivront un seul ensemble de règles. Cela contribue à renforcer la défense globale du secteur contre les violations et les attaques par ransomware. Il est également plus facile pour les entreprises de rester en conformité avec l'évolution et la croissance du secteur.

Données bancaires en noir et blanc sur un écran d'ordinateur

La cyber-résilience est une question de survie, pas seulement de sécurité

La résilience est l'objectif principal de DORA. Il ne s'agit pas seulement d'empêcher les violations, mais aussi de veiller à ce que les entreprises puissent continuer à fonctionner si une violation se produit.

Les récentes cyberattaques dans le secteur financier ont montré à quel point elles peuvent être perturbatrices et affecter l'ensemble du secteur, voire le monde entier.

"La résilience est essentielle", a déclaré Tristan. "Lorsqu'une violation se produit, la question n'est pas de savoir si l'entreprise va s'arrêter. Il s'agit de maintenir les opérations malgré la brèche".  

Avec la multiplication des cybermenaces, il est important que les entreprises, en particulier dans le secteur bancaire, continuent à fonctionner sans heurts. Une faille dans le secteur bancaire peut affecter la vie et l'emploi des gens. La cyber-résilience est une question de survie, pas seulement de sécurité.

Utiliser une stratégie de confiance zéro pour se conformer à la loi DORA

Le DORA ne mentionne pas explicitement la confiance zéro. Mais les principes sous-jacents de la confiance zéro s'alignent étroitement sur les objectifs de la DORA.  

Pour reprendre les propos de Mark, "si vous faites une recherche sur DORA et que vous cherchez des termes tels que 'segmentation' ou 'coupure instantanée d'éléments du réseau pour contenir les menaces', la confiance zéro y figure absolument".

Professionnel de la banque en noir et blanc regardant des données sur un ordinateur portable

Tristan a expliqué les quatre domaines cruciaux dans lesquels une stratégie de confiance zéro peut vous aider à répondre aux exigences de la loi DORA :

  • Identifier actifs critiques et les menaces: Obtenez une visibilité sur l'ensemble de votre réseau afin de comprendre ce qui est le plus vulnérable et ce à quoi il faut s'attaquer en priorité.
  • Préparez-vous de manière proactive aux attaques: Mettez en place des contrôles de sécurité qui permettent de contenir les attaques avant qu'elles n'atteignent les ressources et les données critiques.
  • Le moindre privilège: Principe fondamental de la confiance zéro, le moindre privilège garantit que les utilisateurs, les applications et les services ne disposent que de l'accès minimal dont ils ont besoin pour remplir leur rôle. Cela ralentit les attaquants lorsqu'ils tentent de se déplacer dans le réseau.
  • Rapidement réagir et se rétablir des incidents : Lorsqu'une violation se produit, il est essentiel de pouvoir la détecter, la contenir et y répondre le plus rapidement possible. Les solutions de confiance zéro comme Illumio s'intègrent aux plateformes de détection pour automatiser ce processus.

Les règles du DORA s'alignent sur les meilleures pratiques en matière de confiance zéro, ce qui témoigne de son approche avant-gardiste. En intégrant ces principes dans ses règles de conformité, DORA aide les banques à se protéger contre les menaces et à rester opérationnelles même en cas d'attaque.

En retard dans la mise en conformité avec la loi DORA ? Voici ce qu'il faut faire

Pour se mettre en conformité avec la loi DORA, les organisations financières devront adopter une approche réfléchie et stratégique. Tristan et Mark ont tous deux souligné l'importance d'une planification proactive.  

Le mois de janvier sera bientôt là. Si vous craignez que votre organisation ne soit déjà en retard, Mark vous recommande d'y réfléchir :

  • Qu'est-ce qui fera le plus mal en cas d'attaque ?
  • Ce que vous devez prioriser maintenant
  • Ce qui peut être reporté à la planification de l'année prochaine

Les organisations devraient d'abord se concentrer sur les domaines à fort impact. Élaborez un plan de conformité à long terme qui vous assure une protection durable, et pas seulement des solutions à court terme.

Écoutez, abonnez-vous et commentez The Segment : Un podcast sur le leadership sans confiance

Souhaitez-vous en savoir plus ? Écoutez l'épisode complet sur notre site web, Apple Podcasts, Spotify ou tout autre moyen de diffusion. Vous pouvez également lire la transcription complète de l'épisode.

Téléchargez notre livre électronique gratuit, Strategies for DORA Compliance: Key Role of Zero Trust SegmentationPour en savoir plus sur DORA, cliquez ici.

Sujets connexes

Compliance

Articles connexes

Pourquoi les approches traditionnelles de la sécurité ne fonctionnent-elles pas dans l'informatique dématérialisée ?
Cyber Resilience

Pourquoi les approches traditionnelles de la sécurité ne fonctionnent-elles pas dans l'informatique dématérialisée ?

Erika Bagby, directrice principale du marketing produit d'Illumio, discute de la sécurité dans le nuage par rapport à la sécurité traditionnelle et des raisons pour lesquelles elle ne fonctionne pas dans l'environnement du nuage.

Read more
Comment Illumio réduit le risque cybernétique d'un groupe ACH - avec des frais généraux presque nuls
Cyber Resilience

Comment Illumio réduit le risque cybernétique d'un groupe ACH - avec des frais généraux presque nuls

"De bonnes vies pour les personnes âgées" est le slogan du groupe ACH, une organisation à but non lucratif basée en Australie. Mais si les systèmes informatiques de l'ACH sont détruits par des cybercriminels, sa capacité à soutenir les personnes qu'elle sert pourrait être compromise.

Read more
L'assurance cybernétique devient plus stricte : voici comment Illumio vous aide à suivre le mouvement
Cyber Resilience

L'assurance cybernétique devient plus stricte : voici comment Illumio vous aide à suivre le mouvement

Découvrez comment Illumio vous aide à réduire les risques, à contenir les brèches et à prouver votre résilience afin d'obtenir une meilleure couverture et des primes moins élevées.

Read more
Comment atteindre la conformité DORA avec Illumio
Cyber Resilience

Comment atteindre la conformité DORA avec Illumio

Découvrez les trois outils disponibles dans la plateforme Illumio Zero Trust Segmentation (ZTS) qui vous aideront à vous conformer à la loi DORA.

Read more
Assurer la conformité avec la loi DORA : Ce que vous devez savoir
Cyber Resilience

Assurer la conformité avec la loi DORA : Ce que vous devez savoir

Obtenez les informations dont vous avez besoin pour commencer à vous préparer à vous conformer aux prochains mandats DORA de l'UE pour les services bancaires et financiers.

Read more
Les directives de sécurité NIS2 et DORA de l'UE : Ce que vous devez savoir
Cyber Resilience

Les directives de sécurité NIS2 et DORA de l'UE : Ce que vous devez savoir

Découvrez les 3 façons dont la segmentation zéro confiance d'Illumio peut aider à atteindre la conformité NIS2 et DORA.

Read more

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more