Daniel Lattimer | Vice-président de zone - EMEA Ouest

Les organisations du secteur des services financiers ont moins d'un an pour démontrer leur conformité à la loi DORA. Qu'est-ce que la DORA, s'applique-t-elle à votre organisation et comment la conformité à la DORA s'articule-t-elle avec l'une des principales préoccupations actuelles en matière de cybersécurité : la détection et la réponse aux menaces liées à l'identité (ITDR)? Les experts de Semperis répondent à ces questions.

En savoir plus sur l'ITDR

Qu'est-ce que DORA ?

La loi sur la résilience opérationnelle numérique (DORA) est un règlement de l'Union européenne (UE) qui entrera en vigueur au début de l'année 2025. Unifiant et remplaçant des orientations telles que la loi sur la résilience opérationnelle, la loi DORA a une grande portée et est plus prescriptive et applicable que les orientations précédentes.

Ce nouveau cadre exige que les institutions et les services financiers démontrent leur capacité à protéger et à récupérer les services critiques en cas de perturbations opérationnelles. La conformité au DORA met davantage l'accent sur les événements liés à la cybersécurité et les problèmes informatiques, et exige que les entreprises démontrent comment elles atténuent ces risques grâce à une meilleure visibilité, une meilleure planification et des tests rigoureux.

Les exigences de conformité de la loi DORA s'appliquent-elles à vous ?

Vous travaillez dans le domaine des services financiers au sein de l'UE ou avec l'UE ? Ou êtes-vous un fournisseur de technologies de l'information et de la communication (TIC) qui soutient une telle organisation ? Si c'est le cas, vous devez probablement vous préparer à la mise en conformité avec la loi DORA.

La loi DORA s'applique à plus de 22 000 entités financières et fournisseurs de services TIC opérant au sein de l'UE. Le règlement s'applique également à l'infrastructure TIC qui soutient ces organisations depuis l'extérieur de l'UE1.

Si votre organisation remplit ces conditions et entre dans l'une des catégories suivantes, les exigences de conformité DORA s'appliquent à vous :

  • Établissements de crédit
  • Institutions de paiement
  • Établissements de monnaie électronique
  • Entreprises d'investissement
  • Fournisseurs de services de crypto-actifs, émetteurs de crypto-actifs, émetteurs de jetons référencés par des actifs et émetteurs de jetons significatifs référencés par des actifs.
  • Dépositaires centraux de titres
  • Contreparties centrales
  • Places de marché
  • Référentiels commerciaux
  • Gestionnaires de fonds d'investissement alternatifs
  • Sociétés de gestion
  • Fournisseurs de services de communication de données
  • Entreprises d'assurance et de réassurance
  • Intermédiaires d'assurance, intermédiaires de réassurance et intermédiaires d'assurance auxiliaires
  • Institutions de retraite professionnelle
  • Agences de notation
  • Contrôleurs légaux des comptes et cabinets d'audit
  • Administrateurs des critères de référence essentiels
  • Fournisseurs de services de crowdfunding
  • Référentiels de titrisation
  • Fournisseurs de services TIC tiers2

Vous opérez en dehors de l'UE ? Ne poussez pas encore un soupir de soulagement. De nombreux pays non membres de l'UE sont en train de mettre en place une législation similaire. C'est maintenant qu'il faut évaluer votre conformité à la loi DORA, quel que soit le lieu où se trouve votre organisation.

Pourquoi DORA ? Pourquoi maintenant ?

Les progrès de la technologie et l'engagement avec des partenaires technologiques de tierce partie et de quatrième partie rendent l'atténuation des risques, les mesures préventives et la visibilité à la fois complexes et difficiles pour les entités financières.

La technologie est une arme à double tranchant, à la fois menace et solution. En plus d'être confrontées aux nouvelles technologies dans leur propre environnement, les organisations du secteur des services financiers doivent également faire face à l'évolution des technologies malveillantes.

Des technologies de plus en plus sophistiquées permettent de réaliser des deepfakes alimentés par l'IA et des attaques à grande échelle. Lors du Forum économique mondial 2024 à Davos, Mary Erdoes (responsable de la gestion d'actifs et de patrimoine chez JP Morgan) a déclaré que la banque subissait 45 milliards de tentatives de piratage par jour3. Il n'est donc pas étonnant que les considérations relatives à la cybernétique et aux TIC occupent une place centrale pour DORA.

"La prolifération des nouvelles technologies expose les banques à des risques qu'elles n'ont peut-être jamais eu à affronter auparavant", note Deloitte. "L'open banking et la multiplication des partenariats technologiques peuvent exposer l'infrastructure des banques à de nouvelles vulnérabilités et cyberattaques. Les risques liés à la quatrième partie deviennent également plus menaçants car les banques s'engagent dans davantage de partenariats avec des fournisseurs de services qui ont leurs propres vendeurs "4.

Les défis de la conformité DORA

Aujourd'hui, toutes les équipes techniques - qu'elles se concentrent sur les opérations informatiques, l'infrastructure, la sécurité ou l'identité - disposent d'une forme ou d'une autre de plan de reprise après sinistre : les processus à suivre en cas d'attaque ou de cyber-événement. C'est particulièrement vrai pour les services financiers. Cependant, la complexité du nouveau mandat du DORA, en particulier en ce qui concerne la cyber-résilience et les TIC, est sismique.

Cette réglementation mettra sans aucun doute en évidence les lacunes et les risques des plans et processus existants. La loi DORA va mettre à l'épreuve l'état de préparation des organisations de services financiers, même les plus sophistiquées. De plus, les entités financières doivent non seulement prendre en compte la conformité à la DORA des systèmes technologiques qu'elles possèdent, mais aussi de tous les systèmes et services qu'elles se procurent auprès de fournisseurs tiers.

Les conséquences d'un manquement aux exigences de conformité de la DORA

Les entreprises qui seront jugées non conformes à la DORA seront soumises à des amendes importantes et durables. Comme pour la non-conformité au GDPR, il n'y a pas de pénalité fixe. Au lieu de cela, les amendes seront proportionnées.

  • Une organisation jugée non conforme par l'organe de contrôle compétent peut être soumise à une astreinte de 1 % du chiffre d'affaires global journalier moyen de l'année précédente, pour une durée maximale de six mois, jusqu'à ce qu'elle se mette en conformité.
  • L'organe de contrôle peut également émettre des injonctions de cesser et de s'abstenir, des avis de résiliation, des mesures pécuniaires supplémentaires et des avis publics.5

Ce ne sont pas seulement les amendes que les organisations doivent s'efforcer d'éviter. La non-conformité présente également un risque considérable pour la réputation, en particulier si elle est liée à une perturbation ou à un incident mal géré. La perte de confiance et la mauvaise réputation du secteur peuvent être encore plus coûteuses que les amendes. Pour les petites et moyennes entreprises, de tels problèmes peuvent causer des dommages irréparables à l'entreprise.

Par où commencer ? Conformité DORA et ITDR

Comment la conformité DORA s'articule-t-elle avec l'ITDR - une nécessité croissante car les cyber-attaquants ciblent de plus en plus les systèmes d'identité pour tenter d'accéder aux ressources des organisations ciblées et de les contrôler ?

Examinez les trois paragraphes suivants de l'article 5 du DORA, qui traitent du cadre de gestion des risques liés aux TIC.

  1. Les entités financières disposent d'un cadre de gestion des risques liés aux TIC solide, complet et bien documenté, qui leur permet de traiter les risques liés aux TIC de manière rapide, efficace et complète et de garantir un niveau élevé de résilience opérationnelle numérique correspondant aux besoins, à la taille et à la complexité de leur activité.
  2. Le cadre de gestion des risques liés aux TIC visé au paragraphe 1 comprend des stratégies, des politiques, des procédures, des protocoles et des outils TIC qui sont nécessaires pour protéger dûment et efficacement tous les composants physiques et infrastructures pertinents, y compris le matériel informatique, les serveurs, ainsi que tous les locaux, centres de données et zones sensibles désignés, afin de garantir que tous ces éléments physiques sont protégés de manière adéquate contre les risques, y compris les dommages et l'accès ou l'utilisation non autorisé(e).
  3. Les entités financières minimisent l'impact des risques liés aux TIC en déployant des stratégies, des politiques, des procédures, des protocoles et des outils appropriés, tels que définis dans le cadre de gestion des risques liés aux TIC. Elles fournissent des informations complètes et actualisées sur les risques liés aux TIC, à la demande des autorités compétentes.6

L'identité est largement reconnue comme le nouveau périmètre de sécurité. Elle est également la clé de la résilience opérationnelle. Dans le cas d'Active Directory, par exemple, la cyber-résilience (la capacité à maintenir AD en fonctionnement et à le rétablir rapidement si nécessaire) est le fondement de la résilience opérationnelle. Si AD est en panne, les opérations le sont aussi.

Lorsque nous parlons de risques et de gestion des risques dans le cadre de DORA, nous devons inclure les risques pour l'infrastructure d'identité. Par où commencer ?

1. Identifier les systèmes et services informatiques critiques

Tout d'abord, examinez votre environnement et identifiez les services qui doivent rester disponibles pour éviter tout impact négatif sur vos clients. Par exemple, une banque devra maintenir l'accessibilité et la fonctionnalité des applications bancaires, y compris le paiement d'un chèque, la réalisation d'un échange international d'argent ou tout système ou service qui se connecte à une chambre de compensation.

Ensuite, déterminez quels systèmes, services et technologies de votre organisation soutiennent ces services critiques. Dressez la carte de toutes les dépendances associées.

2. Planifier la protection et la récupération

Lorsque vous avez établi une cartographie complète des dépendances pour chaque service et scénario, l'étape suivante de la conformité DORA consiste à s'assurer que vous pouvez contrôler ces services et dépendances de manière efficace. Vous aurez besoin d'un processus de reprise testable.

Après avoir passé beaucoup de temps à discuter avec des organisations qui suivent le processus de conformité DORA pour Active Directory, l'une des principales conclusions est que la réglementation exige des "exercices réels" réguliers pour vos tests de récupération. Bien que de nombreuses équipes testent certains de leurs systèmes critiques de manière semi-régulière, les conditions de test peuvent ne pas être totalement réalistes. Parfois, il s'agit d'un test partiel, ou les services peuvent être testés indépendamment des systèmes dépendants.

DORA exige un niveau de tests en situation réelle que la plupart des équipes n'ont pas l'habitude d'effectuer.

3. Se familiariser avec DORA, puis se familiariser avec la sécurité de l'AD

Active Directory est un système essentiel dans presque toutes les organisations. AD est utilisé pour :

  • Stocker les informations sur l'utilisateur
  • Gérer l'accès et l'autorisation des utilisateurs
  • Attribuer des ressources aux services, aux actifs et aux données

Active Directory sert également de moteur d'authentification pour les utilisateurs. Cela signifie non seulement qu'il fait partie du champ d'application de DORA pour la quasi-totalité des organisations, mais aussi qu'AD est une cible d'infiltration majeure et un point d'entrée parfait pour les acteurs malveillants, agissant comme une passerelle vers vos utilisateurs, vos données et votre organisation.

Conformité DORA : Mal de tête ou opportunité ?

La mise en conformité avec toute nouvelle réglementation est décourageante et peut s'avérer frustrante en raison de la complexité et des changements qui doivent être apportés. De nombreuses équipes confrontées à ce défi considèrent DORA comme un casse-tête. Mais la nouvelle réglementation offre également des opportunités, notamment en matière de sécurité et de gestion des AD.

Le DORA s'efforce d'améliorer la résilience opérationnelle des organisations par le biais d'une réglementation plus stricte. Avez-vous des inquiétudes concernant :

  • Active Directory bloat ou "dérive de la configuration".
  • Défis permanents en matière de maintenance ou erreur humaine
  • Un processus de récupération de l'AD bancal

Si c'est le cas, le moment est venu de s'attaquer à ces questions. Étant donné que la loi DORA fera partie de la législation et que les risques de non-conformité comprennent des amendes importantes et durables (1 % du chiffre d'affaires journalier mondial jusqu'à ce que la conformité soit considérée comme acquise) ainsi qu'une atteinte à la réputation, la conformité à la réglementation doit être une priorité stratégique pour l'entreprise. L'allocation de ressources et de budget pour soutenir ce projet sera plus convaincante pour obtenir l'approbation du conseil d'administration.

Le processus peut parfois être laborieux. Mais c'est l'occasion de mettre de l'ordre dans votre maison et de mettre en place le niveau de surveillance, de test et de gouvernance nécessaire pour maintenir au mieux l'AD à l'avenir.

Comment simplifier la mise en conformité avec la loi DORA ?

Semperis aide les entreprises à maîtriser la sécurité de l'Active Directory. Avec la plateforme de résilience des identités de Semperis, votre organisation peut :

  • Évaluer la surface d'attaque AD
  • Localiser les vulnérabilités de l'AD hybride
  • Contrôler les modifications apportées à Active Directory et Entra ID
  • Repérer les menaces avancées conçues pour échapper aux outils de surveillance traditionnels
  • Automatiser le retour en arrière des modifications suspectes
  • Créer des sauvegardes AD et des plans de reprise sécurisés et efficaces
  • Récupérer l'AD en moyenne 90 % plus rapidement qu'avec une récupération manuelle

Explorer les solutions ITDR

DORA, c'est l'avenir

De nombreux organismes consultatifs ont suggéré que les organisations qui ne relèvent pas de la compétence de la DORA devraient néanmoins envisager de s'aligner sur les pratiques de la réglementation dans la mesure du possible. Une réglementation similaire pourrait voir le jour dans d'autres secteurs, ou ces entreprises pourraient devenir des cibles une fois que le DORA aura amélioré la sophistication et les cybercapacités des entités financières. Quoi qu'il en soit, une visibilité totale, une cartographie complète, une planification détaillée de la reprise et une préparation aux tests constituent clairement l'avenir de la résilience cybernétique et opérationnelle pour toutes les organisations.

Ressources

  1. https://www.pwc.co.uk/industries/financial-services/insights/dora-and-its-impact-on-uk-financial-entities-and-ict-service-providers.html
  2. https://www.digital-operational-resilience-act.com/DORA_Article_2_(Proposal).html
  3. https://fintechmagazine.com/articles/capgemini-the-challenges-and-opportunities-dora-presents
  4. https://www2.deloitte.com/xe/en/insights/industry/financial-services/financial-services-industry-outlooks/banking-industry-outlook.html
  5. https://www.orrick.com/en/Insights/2023/01/5-Things-You-Need-to-Know-About-DORA
  6. https://www.digital-operational-resilience-act.com/DORA_Article_5_(Proposal).html