Qu'est-ce que DORA Conformité ?
Le DORA encourage les organisations à créer des capacités de résilience opérationnelle flexibles dans un cadre réglementaire fourni par la législation, y compris
Développer des pratiques solides de gestion des risques
Réaliser des audits internes et des auto-évaluations
Mettre en œuvre des contrôles pour minimiser les risques liés aux TIC
DORA se distingue par le fait qu'elle vise à promouvoir une gouvernance forte tout en permettant à chaque entreprise de s'adapter à son propre contexte. À la lumière de la loi DORA, les entreprises du secteur financier doivent être prêtes à répondre efficacement aux différentes formes de perturbations numériques - des pannes de système aux cyberattaques - tout en maintenant leurs activités commerciales.
Pourquoi DORA est-il nécessaire ?
Le secteur financier opère dans un environnement numérique hautement interconnecté.
Cette dépendance croissante à l'égard des TIC et des fournisseurs de services tiers pour les systèmes et infrastructures critiques a augmenté la surface d'attaque numérique, et les organisations financières sont donc beaucoup plus exposées aux menaces de cybersécurité. Les attaques cybernétiques qui compromettent ou perturbent les systèmes, modifient ou exfiltrent des données sensibles et détruisent la réputation des institutions menacent la stabilité de l'ensemble du système financier.
Compte tenu des exigences de DORA Conformité, il est important que les organisations opérant dans la sphère financière renforcent leurs capacités de gestion des risques informatiques et de résilience opérationnelle. Une approche efficace inclut tous les aspects des risques liés aux TIC, y compris :
En mettant en œuvre les exigences du DORA, les institutions financières se protègent contre les cybermenaces, assurent la continuité de leurs activités et renforcent la confiance de leurs clients.
Que couvre le DORA ?
L'accent est mis sur la résilience opérationnelle afin de garantir la poursuite des opérations dans un environnement numérique potentiellement hostile. Pour répondre rapidement aux menaces liées aux TIC, les entreprises du secteur des services financiers doivent donner la priorité à leurs plans de résilience en s'appuyant sur ces six principes fondamentaux :
Gestion des risques : Mise en place d'un cadre de gestion des risques liés aux TIC, comprenant une gouvernance interne complète, des auto-évaluations et des contrôles permettant d'identifier et de minimiser les risques.
Partage d'informations et de renseignements : Les entités financières sont encouragées à mettre en place des processus de notification et de partage d'informations sur les cybermenaces au sein de la communauté de la sécurité.
Gestion des risques liés aux tiers : Le DORA exige que les organisations mettent en œuvre des mesures de sécurité qui couvrent la chaîne d'approvisionnement.
Plan de continuité des activités : Les services financiers doivent disposer d'un plan de continuité complet et bien testé pour maintenir les opérations en cas d'incidents de sécurité.
Réponse aux incidents et gestion de crise : Composante clé de la résilience numérique, le DORA exige la présence d'un plan de réponse aux incidents bien développé pour classer, gérer et rendre compte des incidents liés aux technologies de l'information et de la communication.
Tests et contrôles continus : Le DORA exige des organisations qu'elles testent et surveillent régulièrement leurs systèmes pour détecter les activités anormales et s'assurer qu'ils sont résistants aux cybermenaces.
Les principales exigences du DORA
Les éléments suivants représentent les exigences fondamentales auxquelles les institutions financières et les prestataires de services doivent se conformer pour atteindre la pleine conformité DORA :
Les organisations doivent mettre en place des contrôles pour minimiser les risques liés aux TIC et doivent être en mesure de démontrer leur résilience par des tests réguliers, en montrant qu'elles peuvent résister à des incidents de sécurité sans interruption significative des services.
La loi DORA impose la mise en place de processus solides de gestion des risques liés aux TIC, impliquant des auto-évaluations approfondies afin d'identifier la position de l'organisation en matière de sécurité et sa vulnérabilité potentielle.
Les organisations doivent allouer des ressources pour renforcer leur résistance aux cybermenaces. Il s'agit notamment d'encourager la présence d'un personnel qualifié ayant une expertise dans la gestion des systèmes TIC.
Les organisations doivent en outre préparer une documentation détaillée sur les mesures prises pour assurer la résilience des opérations numériques. Il s'agit notamment de plans de continuité, de plans de réponse aux incidents liés aux TIC, de structures de gouvernance des données et d'activités de test et d'établissement de rapports.
Les contrôles que le DORA met en place en ce qui concerne les systèmes TIC de tiers (par ex. cloud ) encouragent les organisations à classer et à évaluer les contrats, à exiger des garanties de conformité supplémentaires de la part des prestataires de services et à mettre à jour leur couverture d'assurance pour répondre aux nouvelles exigences.
Comment les organisations peuvent-elles commencer à se préparer à DORA ?
Les institutions financières doivent commencer à se préparer en réalisant une évaluation des lacunes afin d'identifier les domaines dans lesquels des améliorations sont nécessaires. L'évaluation des écarts doit déterminer la conformité de DORA avec les lignes directrices de l'ESA, le NIS et le CROE, ainsi qu'avec les normes de gestion des risques informatiques telles que NIST CSF, ISO, ITIL et COBIT.
Selon les spécificités de votre organisation, la conformité HIPAA peut également être un facteur.
En fin de compte, cette analyse permettra d'identifier les domaines clés qui ne sont pas conformes à la loi DORA et servira de base à l'élaboration d'une stratégie de résilience numérique.
Une fois l'évaluation des lacunes terminée, les organisations doivent créer une feuille de route qui définit les délais de mise en œuvre et aide à hiérarchiser les plans d'allocation des ressources et de mise en œuvre des systèmes de sécurité pour répondre aux exigences de Conformité.
La loi DORA aura-t-elle un impact sur mon organisation ?
L'un des principaux aspects de DORA est le renforcement de la surveillance des entités financières par les autorités européennes de surveillance (AES). Cela conduira à des contrôles plus stricts pour assurer la résilience numérique.
Les organisations du secteur financier auront besoin d'investissements importants dans la gestion des risques informatiques et dans les capacités de détection et de sécurité des cybermenaces. En outre, la directive NIS2, une norme de cybersécurité parallèle à la DORA, affectera un large éventail de secteurs d'activité. Ensemble, ces réglementations peuvent entraîner une augmentation des coûts, les organisations devant réorganiser leurs systèmes et leur personnel pour se conformer à leurs exigences rigoureuses.
Compte tenu de tous ces défis, il est essentiel d'adopter une approche proactive pour se conformer aux exigences de la loi DORA. La loi DORA entraînera une surveillance accrue et des réglementations plus strictes pour les entreprises du secteur financier, ce qui se traduira par des coûts plus élevés pour ces institutions.
En commençant dès maintenant, les organisations peuvent mieux naviguer dans ce nouveau paysage réglementaire afin d'être parfaitement préparées aux exigences de la DORA.
Statut actuel de DORA
La DORA est entrée en vigueur en janvier 2023 et les organisations ont jusqu'à janvier 2025 pour se conformer pleinement à la réglementation, il est donc essentiel pour les organisations de commencer immédiatement le travail de préparation à la conformité.
Le délai de conformité approchant à grands pas, il est de plus en plus important pour les professionnels de la sécurité du secteur financier de comprendre quelles sont les mesures à prendre pour garantir la conformité à la directive DORA.
Les processus de certification par les AES et le début des tests de pénétration obligatoires (Threat Led Penetration Testing - TLPT), qui fourniront un cadre pour évaluer l'état de préparation des institutions financières, sont deux étapes clés à ne pas manquer avant janvier 2025.
Comment les solutions de Check Point aident à la conformité DORA
Alors que nous naviguons dans les méandres de la DORA et que la date limite pour une conformité totale approche, les organisations doivent prendre des mesures proactives pour garantir la conformité.
Pour répondre aux réglementations relatives à la déclaration rapide des incidents, à la gestion des risques par des tiers et aux exigences accrues en matière d'audit, il est essentiel de prendre des mesures proactives afin de comprendre l'état de préparation actuel et d'identifier les domaines de l'organisation qui pourraient ne pas être conformes.
L'évaluation de l'état de préparation du Check Point NIS2/DORA peut vous aider à améliorer ou à atteindre la conformité en préparant votre organisation à la DORA avant l'échéance de janvier 2025.
Check Point Software est bien équipé pour vous accompagner dans la préparation de NIS2 et DORA. En travaillant ensemble, nous pouvons favoriser une culture de résilience opérationnelle au sein de votre organisation afin de réduire le risque de cybermenaces et de non-conformité réglementaire.
Commentaires