Blog of cyber
En juin 2024, 77 entités dont 10 banques françaises ont été victimes d’un cheval de Troie d’accès à distance appelé “DroidBot". Revendu à des réseaux de cybercriminels, ce sont plus de 776 infections qui ont été détectées en Europe de l’Ouest au sein d’organismes bancaires, plateformes de cryptomonnaies et sociétés financières.
L’urgence de déployer des solutions de sécurité et de résilience opérationnelle à l’échelle européenne, notamment à destination du secteur financier, devient cruciale. C’est tout le rôle du règlement européen DORA (Digital Operational Resilience Act), conçu pour renforcer la capacité des entités financières à faire face aux cybermenaces.
Entrée en vigueur en janvier 2025, DORA marque une avancée majeure en unifiant, au niveau européen, la gestion des risques liés aux TIC (Technologies de l’Information et de la Communication) dans le secteur financier. Il impose une meilleure maîtrise des risques, une gestion efficiente des incidents et une meilleure évaluation des prestataires TIC.
DORA, ou Digital Operational Resilience Act, est une réglementation européenne conçue pour renforcer la résilience opérationnelle numérique des entités financières. Le règlement DORA établit le cadre commun aux pays membres en matière de gestion des risques cyber et liés aux TIC des entités financières. Il est entré en application le 17 janvier 2025.
Le règlement DORA vise plusieurs objectifs :
DORA concerne toutes les entités financières en Europe définit dans l’article 2 :
Un aspect important de DORA concerne les prestataires tiers de services TIC, en particulier ceux considérés comme « critiques ». Ces prestataires sont ceux dont les services peuvent avoir un impact systémique sur la stabilité, la continuité ou la qualité des services financiers dans l'Union Européenne.
DORA impose un cadre de supervision renforcé pour ces prestataires, incluant :
Ces dispositions garantissent que les entités financières exercent un contrôle adéquat sur les risques liés à l'utilisation de services TIC fournis par des tiers. Elles assurent également que ces prestataires respectent les normes de sécurité et de résilience opérationnelle exigées par DORA.
En minimisant les risques potentiels liés à la dépendance envers ces prestataires tiers, DORA contribue à maintenir la stabilité du système financier.
Le règlement DORA expose les exigences en matière de résilience opérationnelle numérique applicables aux entités financières à l’échelle de l’Union Européenne. Ces obligations se structurent autour de 4 grandes thématiques :
Gestion des risques liés aux TIC : DORA donne un cadre permettant d'identifier, de gérer et de réduire les risques associés aux TIC. La phase d’identification doit permettre de construire une cartographie exhaustive des services numériques dits “à risque”.
Notification des incidents majeurs : les organismes concernés doivent notifier aux autorités compétentes (ACPR pour la France) les incidents majeurs survenus et susceptibles d'affecter la stabilité, la continuité ou la qualité des services financiers. Cette notification doit être réalisée dans un délai de 4h pour les incidents majeurs et 24h après leur détection.
Le périmètre des risques liés au paiement est dorénavant régit par le règlement DORA. Les critères de classification sont définis dans le RTS et tout incident (opérationnel ou de sécurité) doit obligatoirement être notifié.
Tests de résilience opérationnelle numérique : l’article 24 du règlement DORA impose la mise en oeuvre d’un programme de tests de sécurité. Ils permettent d'évaluer la robustesse des systèmes et des processus face à des perturbations ou des attaques. Ainsi, les éventuelles faiblesses peuvent être identifiées et corrigées.
Gestion des prestataires tiers de services TIC : la réglementation DORA expose la gestion des risques tiers selon deux approches :
→ pour les entités financières : les mesures prises pour limiter les risques liés aux prestataires TIC ;
→ pour les prestataires TIC : une surveillance par les autorités européennes.
Jugée responsable en cas de défaillances, l’entité financière doit se prémunir de ses risques tiers en s’assurant que les contrats externalisés sont bien conformes et enregistrés dans un registre d’information. Cette démarche doit s’inscrire dans une politique de gestion des risques tiers (Third Party Cyber Risk Management), notamment pour les prestataires tiers de services TIC, jugés critiques.
Une attention particulière est donnée à la chaîne de sous-traitance. Deux exigences supplémentaires viennent compléter le cadre initial :
Enfin, les entités de contrôle encouragent le partage volontaire d’informations opérationnelles concernant les cybermenaces et les vulnérabilités (CVE). Ce reporting volontaire participe à améliorer la connaissance collective des risques et à renforcer la résilience opérationnelle du secteur bancaire et financier.
DORA (Digital Operational Resilience Act) et NIS 2 (Directive sur la sécurité des réseaux et des systèmes d'information) sont deux cadres réglementaires européens conçus pour renforcer la sécurité et la résilience des systèmes informatiques à l’échelle de l’Union Européenne. Pour les DSI, RSSI et CISO, ces deux textes sont fondateurs et leur articulation juridique peut parfois être difficile à distinguer.
| DORA | NIS 2 | |
|---|---|---|
| Objectifs | DORA se concentre spécifiquement sur la résilience opérationnelle numérique dans le secteur financier. Son but est de garantir que les institutions financières continuent de fonctionner sans interruption majeure en cas d'incidents liés aux TIC. | NIS 2 vise à sécuriser les infrastructures critiques contre les menaces externes et à améliorer la cybersécurité dans divers secteurs d’activités en harmonisant les normes de sécurité. |
| Périmètre juridique | DORA est un règlement qui s'applique exclusivement aux entités financières et à leurs prestataires tiers de services TIC. | NIS 2 est une directive qui doit être transposée dans chaque État membre. Cette nouvelle version concerne 18 nouveaux secteurs d’acteur (versus 7). Elle touche la gouvernance, la mesure de gestion des risques cyber, le cloisonnement du SI, l’obligation de signalement d’incidents, la sécurité des chaînes d'approvisionnement… |
| Exigences |
|
|
Pour le secteur financier, la question se pose : lequel prime ?
Il faut s’appuyer sur le principe Lex specialist : la loi spécifique est prioritaire est sur la loi générale. C’est DORA qui doit être priorisé.
La mise en œuvre de DORA implique d’adopter une approche structurée et proactive. Une telle mise en conformité ne doit pas s’improviser. Voici les grands jalons à respecter pour aborder DORA avec sérénité et renforcer la résilience opérationnelle.
1/ Évaluation et analyse des écarts : la première étape consiste à réaliser une évaluation approfondie des risques et une analyse des écarts entre les pratiques actuelles et les exigences imposées par le règlement :
2/ Mise en place d'un cadre de gestion des risques, notamment liés aux TIC ****:
3/ Sensibilisation et formation des équipes : l’amélioration de la conformité passe par une sensibilisation et une adoption des nouvelles exigences à mettre en œuvre au quotidien par les équipes :
4/ Avoir recours à des experts et s’appuyer sur la technologie : pour faciliter et accélérer la mise en conformité DORA :
Il est important de valider ces tests et processus auprès des régulateurs avant la date de fin de conformité.
5/ Disponibilité, authenticité, protection et confidentialité des données : la data représente le risque majeur et est la porte d’entrée aux cyberattaques :
La conformité à DORA touche directement aux domaines de la cybersécurité et de la résilience opérationnelle. Board of Cyber propose une gamme de solutions pour accompagner les équipes cyber et compliance à la conformité DORA.
Elles s’articulent autour de 4 axes majeurs.
Notre solution Trust HQ permet aux RSSI de publier leur politique de sécurité (PSSI) et d’effectuer un rapprochement avec les référentiels réglementaires en vigueur. Notre solution collecte les données pertinentes ainsi que les informations sur les politiques de sécurité. Les rapports détaillés vous indiquent où votre entreprise est en non-conformité. Des plans d'action peuvent alors être définis et pilotés directement depuis la solution. La PSSI est toujours à jour et sa diffusion en interne est simplifiée.
Notre solution Securty Rating évalue la performance cyber d’une organisation. Elle analyse les actifs de l’entreprise, de manière non intrusive et propose un comparatif par rapport aux autres organisations de votre secteur. Security Rating mesure la maturité cyber au travers de 6 domaines (évaluation des actifs, gestion des accès, sécurité des données, du réseau, des applications et des opérations). La notation de 0 à 1000, en continu, permet de piloter sa performance cyber. De plus, Security Rating fournit des explications détaillées sur les problèmes détectés. Les rapports comprenant tableaux de bord visuels et graphiques peuvent être partagés au COMEX et la direction des achats. Ils peuvent comprendre en quelques instants les risques auxquels l’entreprise est exposée. Pour un RSSI, ces données livrent une vision synthétique des risques. Pour les équipes opérationnelles, elle peuvent exploiter les recommandations et les mesures concrètes proposées par la solution.
La gestion des risques liés aux prestataires de services TIC est un aspect central de DORA. Board of Cyber aide les organisations à mettre en place et à gérer des programmes dédiés, comprenant une due diligence et la révision des contrats de service afin d’assurer une conformité totale avec la réglementation DORA.
Notre solution Trust HQ permet d’effectuer des campagnes d’audit et de récolter les preuves auprès des fournisseurs. Elle évite ainsi les échanges mails et les tableurs partagés, sources d’oublis et d’erreurs de manipulation. Ces données sont ensuite traitées par Security Rating afin d’obtenir une notation de vos tiers. Des tableaux de bord partageables et alertes vous indiquent les niveaux de risques, surtout en cas de dégradation de leur note.
En tant que prestataires TIC, Board of cyber s’appuie sur des qualifications et certifications pour garantir la conformité à nos solutions. A ce titre, nous sommes qualifiés SecNumCloud par l’ANSSI attestant de la sécurité, de la robustesse et de la fiabilité des solutions utilisées par nos clients.
Nos outils génèrent automatiquement des rapports conformes aux attentes des autorités (RTS). De plus, les équipes cyber/conformité peuvent disposer de reporting détaillés et opérationnels pour piloter leur résilience numérique. Dans une démarche d’amélioration continue, ces rapports peuvent également être partagés aux fournisseurs qui feraient l’objet d’audits ou de contrôles.
Le règlement DORA constitue une avancée majeure dans le renforcement de la cybersécurité et de la résilience opérationnelle numérique au sein du secteur financier européen. Elle impose une gestion des risques liés aux TIC en continu, la notification des incidents, les tests de résilience et le contrôle des prestataires tiers.
Les organisations doivent engager une évaluation de leurs pratiques actuelles afin de définir des cadres solides de gestion des risques et de sensibiliser leurs équipes. Faire appel à des experts, tels que ceux de Board of Cyber, permet d’y voir plus clair dans les exigences imposées par DORA et la manière de s’y conformer.
Le règlement DORA s'applique à un large éventail d'entités financières, incluant :
En tout, cela concerne 20 types d'entités financières.
Le cadre de gestion du risque lié aux TIC imposé par le règlement DORA repose sur plusieurs éléments clés :
Le règlement DORA impose aux entités financières d’intégrer les risques liés aux prestataires tiers de services TIC dans leur cadre de gestion des risques. Pour ce faire, elles doivent :
De plus, les entités doivent :
Selon le règlement DORA, les entités financières doivent notifier les incidents majeurs liés aux TIC aux autorités compétentes. Cela inclut :
