.png)
Le secteur bancaire de l'UE sera-t-il prêt à se conformer à la loi DORA ?
En janvier 2025, les institutions financières européennes seront confrontées à un test majeur : la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act, DORA).
DORA combine les règles de risque et de résilience des TIC dans un cadre unifié. Mais les organisations financières seront-elles prêtes ?
Nombreux sont ceux qui mènent une course contre la montre. Les délais serrés et l'évolution des normes rendent la préparation plus difficile.
Comme l'explique Raghu Nandakumara, directeur principal du marketing des solutions industrielles chez Illumio, "les banques auraient bénéficié de normes techniques plus claires plus tôt. Les normes ont été introduites en deux vagues : la première au début de 2022 et la seconde à la mi-2024. Il reste donc moins de 12 mois avant la date limite du 17 janvier.
Déballage de DORA
Quelles sont les exigences du DORA en matière de délai ? Il ne s'agit pas seulement de protéger les systèmes. L'accent est mis sur le maintien des services essentiels, même en cas de perturbation.
Pour satisfaire aux normes du DORA, les institutions financières doivent :
- Tester régulièrement les systèmes TIC
- Gérer les risques avec des fournisseurs tiers
- Veiller à ce que les services essentiels restent opérationnels, quoi qu'il arrive
"DORA a un objectif clair : réduire l'impact des incidents. L'approche ? Partez du principe qu'il y aura des failles". - Raghu Nandakumara
Les 6 principaux défis de la conformité DORA
1. Des délais serrés, des normes qui évoluent
Les règles expliquant les exigences du DORA, appelées normes techniques réglementaires (RTS), ont été publiées tardivement. La première version est sortie en janvier 2024, et la seconde en juillet. Avec moins d'un an pour se préparer, répondre aux exigences s'est transformé en une course contre la montre.
2. Gestion des fournisseurs tiers
Les fournisseurs tiers - tels que les hyperscalers et les fournisseurs de services gérés (MSP) - sont essentiels pour les services financiers. Mais voici le défi : qui décide si un vendeur entre dans le champ d'application de la loi DORA ? "Est-ce l'institution financière ou le régulateur qui en décide ?" demande Raghu.
Pour les plus petits MSP, les obstacles sont encore plus importants. La conformité dépend de leur rôle dans les processus financiers. En l'absence de règles claires, il est difficile de savoir ce qui est requis. Pour y remédier, il faut deux choses :
- Des lignes directrices plus claires
- Collaboration plus étroite avec les fournisseurs
3. Aligner la gouvernance et le leadership
Le DORA place la résilience opérationnelle en tête des priorités des dirigeants. Les conseils doivent :
- Fixer des limites claires aux risques liés aux TIC
- Suivi des incidents majeurs
- Veiller à ce que les bonnes ressources soient en place
Pourtant, de nombreuses organisations ne disposent pas de la structure et de la sensibilisation nécessaires pour atteindre ces objectifs.
4. Essais et amélioration constante
Les tests jouent un rôle clé dans la mise en conformité avec la loi DORA. Les organisations doivent
- Effectuer des tests de résilience annuels sur les systèmes TIC
- Effectuer des tests de pénétration avancés tous les trois ans
"Les tests permettent d'identifier les lacunes et d'élaborer des plans d'amélioration, ce qui permet de progresser vers la maturité. Cependant, ces tests nécessitent beaucoup de ressources et un travail d'équipe entre les différents services et fournisseurs. - Raghu Nandakumara
5. Construire une culture de la résilience
DORA ne consiste pas à cocher des cases. Il s'agit de rester préparé. Le leadership doit :
- Promouvoir la résilience opérationnelle
- Favoriser le travail d'équipe entre les services
Un changement de culture peut s'avérer essentiel pour une réussite à long terme.
6. Le déficit de compétences : Une pression croissante
La pénurie mondiale de main-d'œuvre dans le domaine de la cybersécurité - estimée à 4 millions de personnes - aggrave les difficultés rencontrées par le DORA. Un programme de conformité solide peut atténuer cette pression. Il simplifie les efforts tout en offrant des avantages opérationnels plus larges.
"Les nouveaux mandats de DORA ajoutent de la pression aux opérations de sécurité, à la politique et aux équipes d'audit." - Raghu Nandakumara
Comment DORA et Zero Trust s'harmonisent-ils ?
Le DORA mentionne-t-il la confiance zéro? Pas directement. Mais ses idées clés - comme l'accès au moindre privilège et la surveillance continue - sont très proches.
La philosophie de Zero Trust, "ne jamais faire confiance, toujours vérifier", réduit les risques en faisant en sorte que chaque utilisateur, appareil, application et charge de travail soit authentifié avant d'avoir accès à .
En quoi cela permet-il de faire face aux plus grands risques cybernétiques actuels ?
- Stoppez les ransomwares: Réduisez l'impact des attaques de ransomware en limitant leur propagation sur le réseau.
- Sécurise le nuage: Des politiques dynamiques protègent le nuage hybride.
- Gérer les risques liés aux tiers: Limitez l'accès des fournisseurs aux systèmes critiques. Contrôlez l'accès des fournisseurs aux systèmes critiques.
Compte à rebours jusqu'au 17 janvier
L'heure tourne. Les tests, la surveillance par un tiers et la planification de la résilience ne sont pas facultatifs. Cela nécessite des stratégies proactives et un changement culturel en faveur de la résilience.
Comme l'explique Raghu, "l'UE veut le progrès, pas la perfection. Ils veulent voir comment les organisations interprètent les exigences et ce qu'elles ont réalisé".
Vous souhaitez en savoir plus sur la conformité à la loi DORA ? Téléchargez notre livre électronique gratuit, Stratégies de mise en conformité avec la loi DORA : Le rôle clé de la microsegmentation. Découvrez comment la microsegmentation peut améliorer la sécurité de votre organisation.
.webp)
