Pour en savoir plus sur les détails de la réglementation, vous pouvez consulter cet article : Que signifie DORA pour la résilience des organisations financières ?

Le 17 janvier 2025, échéance clé, marque la date théorique de mise en conformité des entités financières. Elle annonce également le début des opérations de contrôle par les autorités de tutelle.

Dans ce contexte, Damien LACHIVER et Etienne BOUET, Senior Managers chez Wavestone et experts en mise en conformité DORA, forts de nombreux projets d’accompagnement auprès d’entités du CAC40, partagent leur vision des enjeux pratiques et des opportunités liés à cette réglementation, ainsi que les attentes des régulateurs et les actions essentielles pour s’y préparer efficacement.

En quoi la réglementation DORA ne se limite-t-elle pas à une simple conformité réglementaire ?

E.BOUET : DORA ne doit pas être perçue uniquement comme une question de conformité à un texte. Certes, il y a des exigences réglementaires à respecter, mais le véritable enjeu réside dans la résilience. La question à se poser est : comment la conformité à DORA peut-elle concrètement améliorer la résilience opérationnelle ? Ce lien n’est pas toujours évident. Par exemple, les analyses d’écart ou les audits en cybersécurité montrent qu’il existe encore des failles, et qu’être conforme ne suffit pas si cela ne s’accompagne pas d’une réelle optimisation de la résilience.

D.LACHIVER : Beaucoup d’entités restent encore dans une logique de conformité, car les attentes de DORA concernent des domaines déjà bien établis, comme la cybersécurité, la continuité d’activité et la gestion des risques IT. Les grandes structures, en particulier, bénéficient déjà d’un taux de conformité élevé grâce à des décennies d’expérience.

Cependant, après cette phase de conformité, il est crucial de se tourner vers la remédiation et l’anticipation, avec la mise en œuvre de chantiers qui ne seront pas fondamentalement différents des programmes historiques déjà été initiés. La vraie perspective est de se demander quels nouveaux scénarios ou solutions peuvent renforcer la résilience.

Quels sont les scénarios critiques à intégrer pour améliorer la résilience ?

D.LACHIVER : Deux scénarios majeurs nécessitent une attention particulière et des investissements :

– La perte totale de l’IT interne : comment rétablir et reconstruire entièrement les systèmes d’information après une cyberattaque de grande ampleur ?

– La perte soudaine d’un tiers critique : que se passe-t-il si je perds un partenaire/prestataire dont l’interruption d’activité impacte structurellement mon activité ?

E.BOUET : La dépendance croissante aux tiers n’a pas encore été pleinement reconnue comme un risque majeur. Les scénarios associés ne sont pas suffisamment intégrés dans les priorités stratégiques, ce qui entraîne un manque d’investissements pour s’y préparer.

Les entités du secteur financier seront-elles prêtes pour le 17 janvier 2025 ?

E.BOUET : Il est peu probable que toutes les entreprises soient totalement prêtes d’ici janvier. Le marché, dans son ensemble, accuse un certain retard, bien que des progrès significatifs aient été réalisés. Notamment, les documents normatifs nécessaires à la conformité sont en grande partie finalisés, et les priorités ont été alignées avec les risques.

D.LACHIVER : En effet, la date du 17 janvier 2025 marquera davantage une étape qu’une finalité. La plupart des chantiers opérationnels, comme la gestion des tiers, restent encore à adresser et nécessiteront un effort continu.

Quels sont les principaux défis que pose la mise en œuvre de DORA ?

E.BOUET : Initialement, les défis consistaient à mobiliser une grande diversité d’acteurs : cybersécurité, gestion des risques, achats, juridique, métiers, IT… Les sujets abordés par DORA étaient déjà connus de ces filières, mais la réglementation vient renforcer les attentes et ajouter des exigences supplémentaires à des responsabilités déjà bien établies.

D.LACHIVER : Historiquement, ces sujets ont souvent été traités de manière fragmentée, en silos. Mais DORA exige de cranter de véritables progrès en termes de résilience, ce qui nécessite une approche plus cohérente et intégrée. Aujourd’hui, les deux grands chantiers qui se démarquent sont :

• La gestion des tiers, qui représente un défi colossal.
• La mise en place des TLPT (« Threat-Led Penetration Testing »), une nouveauté ambitieuse mais complexe.

Pourquoi la gestion des tiers est-elle un défi si important ?

E.BOUET : La gestion des tiers (TPRM ou « Third Party Risk Management ») est l’un des défis majeurs de DORA. Les tiers sont omniprésents, mais souvent mal maîtrisés. On ne sait pas toujours dire s’ils sont critiques ou non, et les relations manquent souvent de structure. Maîtriser sa dépendance aux tiers critiques, c’est du bon sens, mais cela va bien au-delà de la contractualisation : il faut connaître ses tiers, évaluer leur criticité et gérer cette dépendance de manière opérationnelle, ce qui reste un défi pour beaucoup.

D.LACHIVER : Historiquement, c’est un sujet souvent négligé, traité en silos entre les achats, la cybersécurité, la continuité, etc. Il manque une vision globale des risques liés aux tiers. L’objectif de DORA est justement de dépasser cette approche fragmentée pour bâtir une gestion cohérente et complète tout au long du cycle de vie des contrats.

Que signifie « tester les stratégies de sortie » avec les tiers critiques ?

D.LACHIVER : Tester les stratégies de sortie revient à anticiper ce qu’une entité ferait en cas d’interruption de la prestation d’un tiers, qu’elle soit volontaire ou subie. Par exemple, dans le cas d’une cyberattaque chez un prestataire, il peut être nécessaire de rompre la relation pour protéger son propre système d’information.

E.BOUET : Les tests sur table permettent d’évaluer la dépendance envers les tiers et de simuler, de manière théorique, les procédures à suivre face à différents scénarios. Ils encouragent également les entités à repenser leurs relations avec certains prestataires, notamment ceux qui ne sont pas capables de s’aligner sur les exigences de DORA.

En quoi le TLPT (Threat-Led Penetration Testing) représente-t-il un défi spécifique ?

D.LACHIVER : Le TLPT est l’une des grandes nouveautés introduites par DORA. Il consiste en des tests de pénétration dirigés par la menace, portés par le texte, le Framework théorique TIBER, et déclinés par les autorités nationales. Bien que le cadre théorique soit clair, la mise en pratique reste un défi, car ces tests ne sont pas courants dans le secteur financier. Leur volume limité (un test tous les trois ans) et les moyens du régulateur permettent de relativiser leur urgence, bien qu’ils soient essentiels pour renforcer la résilience.

E.BOUET : Ces tests soulèvent encore de nombreuses questions, car ils imposent une approche inédite pour certains acteurs, souvent moins matures sur ce type d’exercice. Aujourd’hui, nous sommes dans une phase d’attente, avec quelques initiatives de tests à blanc. La mise en œuvre réelle dépendra de la planification du régulateur et des retours d’expérience qui émergeront lorsque les TLPT seront pleinement exécutés dans les mois à venir.

Comment DORA peut-elle transformer la gouvernance des risques IT ?

D.LACHIVER : DORA pousse à une approche unifiée des risques IT en brisant les silos entre les différentes filières, comme la cybersécurité, la continuité d’activité, ou les achats. Cela passe notamment par :

– L’harmonisation des terminologies et notions clés (par exemple, la notion de criticité doit être comprise de manière cohérente entre toutes les filières) pour optimiser et simplifier les discussions avec les métiers.

– Une évolution structurelle (comme le modèle CSO – Chief Security Officer) qui favoriserait une gouvernance commune des filières, permettant une prise de décision plus efficace et cohérente.

Quelles sont les exigences concrètes pour être conforme à DORA au 17 janvier 2025 et au-delà ?

E.BOUET : La première grande attente pour le 17 janvier est la capacité à identifier un incident majeur selon les critères de DORA et à le notifier au régulateur. Cela nécessite des processus opérationnels bien définis pour assurer une détection et une remontée d’informations rapides et efficaces. Cette exigence est légitime, compte tenu de l’historique des filières IT et sécurité dans un secteur habitué à gérer des incidents critiques.

D.LACHIVER : Ensuite, pour le 30 avril 2025, les entités financières devront produire un registre d’informations sur leurs tiers. Je pense que les organisations seront en mesure de fournir un registre à cette date. Cependant, cela nécessitera probablement un travail supplémentaire pour en améliorer la qualité et la complétude.

E.BOUET : Enfin, sur l’ensemble de l’année 2025, ce qui compte, c’est de prouver que les entités sont en mouvement. Les régulateurs attendent que les chantiers soient lancés, que les écarts identifiés soient progressivement corrigés, et que des avancées concrètes soient réalisées. Ce qui importe, c’est d’avoir une trajectoire claire et structurée pour répondre aux attentes de DORA.

Quels sont les gains à long terme attendus avec DORA ?

D.LACHIVER : DORA pourrait créer un cercle vertueux en renforçant la maîtrise des risques, la vision métier et la résilience opérationnelle du secteur. Elle incite les entités à aller au-delà de la conformité et à intégrer ces enjeux dans leur stratégie globale.

E.BOUET : Un des points clés est la responsabilité réaffirmée des organes de direction. Leur implication, notamment par la validation régulière des risques, renforce la prise de conscience globale et les investissements nécessaires pour améliorer la résilience.

D.LACHIVER : Cette relation entre les équipes opérationnelles et la direction aligne les priorités stratégiques et opérationnelles, ce qui favorise une dynamique d’amélioration continue. Cela donne également plus de poids aux équipes en charge des risques IT et soutient la transformation des organisations vers une meilleure résilience numérique.

Pour tout besoin d’accompagnement dans votre démarche de mise en conformité DORA, vous pouvez contacter :

• damien.lachiver@wavestone.com
• etienne.bouet@wavestone.com

Vous pouvez également consulter cet article pour en savoir plus sur les défis que pose DORA à l’approche de son entrée en application : DORA : À moins de 2 mois de l’échéance, quels défis restent à relever pour les entités financières ?

Cet article DORA – Les enjeux de la résilience numérique du secteur financier à l’horizon 2025 est apparu en premier sur RiskInsight.

Une densification et une complexification du paysage réglementaire cybersécurité

Les premières tentatives de réglementations en matière de protection des données à caractère personnel et de cybersécurité restent partielles jusqu’au début des années 2000. Elles sont alors initiées essentiellement par les Etats-Unis et l’Union Européenne. Elles sont d’abord axées sur la protection des données à caractère personnel, en France avec la Loi Informatique et Libertés (1978) et aux Etats-Unis avec des réglementations sectorielles :  le Privacy Act (1974) pour le secteur public, le Health Insurance Portability and Accountability Act pour le secteur de la santé (1996) et le Gramm–Leach–Bliley Act (1999) pour le secteur financier.

Les premières réglementations cybersécurité ont ensuite vu le jour au début des années 2000 dans le secteur financier et visaient à améliorer la sécurité des services fournis. Parmi les réglementations notables, on peut citer le Sarbanes-Oxley Act (2002), aux Etats-Unis, renforçant la transparence des entreprises en matière de contrôle interne ainsi que la Directive sur les Services de Paiement (2007), au sein de l’Union Européenne, qui règlemente la sécurité des paiements et des opérations en ligne.

Depuis le début des années 2010, des réglementations plus structurantes ont émergé pour constituer un premier socle réglementaire cyber, toujours dans les mêmes régions. Ces réglementations sont principalement centrées sur la protection des infrastructures critiques, avec en France la Loi de Programmation Militaire de 2013-2018 (2013), aux Etats-Unis le National Cyber Security and Critical Infrastructure Protection Act (2014), mais aussi la directive Network and Information Security 1 (2016) promulguée par l’Union Européenne.

Ce n’est qu’à la fin des années 2010 que la volonté de réglementer l’espace cyber devient plus globale. Alors que de nombreux pays ont emboîté le pas des Etats-Unis et de l’Union Européenne, des réglementations cyber plus contraignantes émergent également, engendrant des impacts en profondeur sur les systèmes d’information. Cela se manifeste à travers l’arrivée de réglementations majeures sur la protection des données à caractère personnel à travers le monde : le Règlement Général sur la Protection des Données (RGPD, 2018) en Europe, le California Consumer Privacy Act (CCPA, 2020) en Californie, la Loi pour la Protection des Données personnelles (LGPD, 2020) au Brésil, la Personal Information Protection Law (PIPL, 2021) en Chine, ou encore le Personal Data Law (2022) en Russie.

D’autres réglementations visant à protéger les systèmes d’informations se multiplient, avec la Cybersecurity Law en Chine (2017), la Réglementation Cybersécurité NYCRR 500 pour l’Etat de New-York (2017), ou encore la nouvelle mouture de la Directive NIS (2023) et DORA en Europe.

Evolution du paysage réglementaire cybersécurité[2]

À ce paysage réglementaire cybersécurité complexe vient par ailleurs s’ajouter un vaste écosystème d’exigences et standards cybersécurité, avec différents niveaux de contraintes : des exigences réglementaires issues de réglementations cyber ou non, à valeur obligatoire, des recommandations ou encore des exigences ayant valeur de contrat. Dans ce contexte, il est nécessaire de bien identifier l’ensemble des exigences applicables et le niveau de contrainte qu’elles imposent.

Typologies d’exigences et standards cybersécurité, au-delà des réglementations cyber

Une stratégie de conformité réglementaire cybersécurité à adapter au nouveau paradigme

Face à la complexification du paysage réglementaire cybersécurité de par le monde, la conformité ne peut être pensée uniquement comme une conformité totale à l’ensemble des exigences réglementaires applicables. Face à des exigences pointues et coûteuses à appliquer, voire parfois contradictoires, il devient nécessaire de mettre en place des stratégies de conformité cyber basées sur les risques. Leur définition sera basée sur l’étude du niveau de conformité réglementaire de l’existant, sur l’évaluation de l’effort et de la complexité des mesures devant être déployées pour la mise en conformité à chaque réglementation, mise au regard des risques associés à de potentielles non-conformités, tant en termes de sanctions qu’en termes de protection du SI. Cette analyse, loin de vouloir échapper à la loi, vise à bien identifier le bénéfice/risque des activités et peut conduire à réorienter des activités, limiter leurs périmètres, ou encore agir de concert avec l’écosystème pour faire évoluer les exigences.

Afin de mettre en œuvre une telle stratégie, il est d’abord essentiel d’identifier l’ensemble des réglementations applicables et de mettre en place une veille réglementaire permettant de suivre l’évolution des réglementations et les actualités associées. Une organisation à deux niveaux doit ensuite être mise en place afin d’assurer le pilotage de la conformité réglementaire cyber.

Un premier niveau de pilotage global visant à disposer d’une vue d’ensemble haut-niveau : une analyse globale du niveau de conformité cyber doit être réalisée. Elle pourra s’appuyer sur un référentiel cybersécurité reconnu tel que NIST ou ISO 27001 pour les exigences sécurité. Pour les exigences relatives à la protection des données à caractère personnel, le RGPD est un bon socle puisque l’essentiel des réglementations sur cette thématique à l’international en sont dérivées. Le NIST privacy et les normes ISO privacy constituent également des référentiels solides en la matière. Ces référentiels pourront être mappés avec les principales réglementations applicables et on pourra tirer parti des synergies existantes entre les réglementations, comme l’illustrent les deux exemples ci-dessous.

Pour compléter cette analyse, un plan d’audit devra être déroulé afin d’évaluer plus précisément la conformité aux réglementations locales clés.

Un deuxième niveau de pilotage « local », à l’échelle géographique ou métier, visant à assurer la conformité réglementaire locale dans chacune des régions où le groupe est présent. Cela nécessite tout d’abord la mise en place d’une veille locale afin d’identifier et de connaître précisément les réglementations et les actualités associés. Cela passe ensuite par l’analyse détaillée du niveau de conformité aux réglementations locales, l’identification des spécificités et des besoins pour assurer le bon niveau de conformité, et la remontée de ces éléments au groupe pour assurer le pilotage global des actions de conformité.

Des réglementations protectionnistes questionnant le besoin de découplage des systèmes d’information

Être conforme à une multitude de règlementations cybersécurité devient un véritable défi pour les entreprises présentes à l’international et disposant d’un système d’information centralisé. Cela s’explique par l’empilement de ces réglementations avec parfois des dispositions incompatibles ou contradictoires entre certaines réglementations, mais aussi en raison de l’émergence d’exigences engendrant des impacts en profondeur sur les systèmes d’information.

C’est entre autres le cas de la réglementation PIPL en Chine, et en particulier son article 40 qui prévoit que le transfert de données hors de Chine sera autorisé seulement si leur traitement est conforme à l’évaluation de sécurité établie par l’administration chinoise. Cette réglementation sera applicable au-delà d’un certain volume de données à caractère personnel (pas encore spécifié par les autorités chinoises).

Des incompatibilités entre les réglementations ont également vu le jour entre les Etats-Unis et l’Union Européenne. Cette situation est illustrée par l’invalidation du Privacy Shield [3] américain par la Cour de Justice de l’Union Européenne, ses arrêts Schrems remettant en question la capacité des hébergeurs Cloud américains à traiter les données personnelles de leurs clients européens conformément aux exigences européennes.

Dans ce contexte de renforcement des exigences de cybersécurité et de protection des données à caractère personnel, exacerbé par les volontés protectionnistes de certains Etats, il peut devenir nécessaire d’étudier les besoins de découplage des systèmes d’information globalisés et centralisés en considérant la séparation en plusieurs zones géographiques, qui pourraient être :

• Une zone comprenant les Etats-Unis et le Royaume-Uni ;
• Une deuxième zone centrée sur la Chine ;
• Une troisième zone composée de l’Union Européenne et les pays adéquats[4] au sens du GDPR.

Selon leur réalité réglementaire et les évolutions potentielles, les autres pays ou régions pourraient être rattachés à l’une ou l’autre de ces trois zones.

À l’avenir, les systèmes d’information de ces différentes zones pourraient s’appuyer plus largement sur les clouds souverains qui sont en cours de développement.

Des contraintes qui peuvent même exhorter à l’arrêt de l’activité dans une région

Nous observons même l’arrêt ou le décalage de lancement d’activités de plusieurs entreprises dans certains pays où les contraintes réglementaires et risques de sanctions associés sont trop importants au regard des enjeux métiers et de la stratégie de l’entreprise. C’est notamment le cas dans certains Etats des Etats-Unis, et en Europe, où certains grands acteurs freinent leur développement à cause du RGPD (exemple de l’open AI/ Bard de Google, encore le lancement de Thread par Meta).

Perspectives : quelles évolutions en 2023 et après ?

Le paysage réglementaire, complexe comme évoqué précédemment, va continuer à s’étoffer dans les mois et les années à venir. A la fois sur des sujets nouveaux (IA, sécurité des produits) comme sur des pans existants, comme les infrastructures critiques.

Sur le volet « infrastructure critique », après de premières phases de réglementations centrées sur la protection des données à caractère personnel, les autorités ont veillé à la protection des infrastructures critiques, qui se poursuit avec notamment la directive NIS 2. Adoptée le 10 novembre 2022 et bientôt transposée en droit français, elle vise à réduire les disparités entre les Etats membres, renforcer la cybersécurité dans un contexte de digitalisation croissant et établir des mesures de sécurité pour améliorer le niveau de sécurité des infrastructures critiques au sein des Etats membres de l’UE.

Une nouvelle phase se profile désormais, durant laquelle les réglementations se concentreront sur la sécurité des produits numériques, avec en particulier :

• L’AI Act, réglementation européenne visant à définir un référentiel commun pour le développement et l’utilisation de l’Intelligence Artificielle (IA). Dans un contexte d’accélération fulgurante des usages de l’IA, de nouvelles réglementations devraient également émerger de par le monde, et notamment en Chine où des mesures ont d’ores-et-déjà été prises et ont entraîné la fermeture de 55 applications et 4200 sites entre janvier et mars 2023[5].
• Le Cyber Résilience Act (R.A), réglementation européenne elle aussi, qui vise à renforcer le niveau de sécurité des produits numériques en imposant des mesures à respecter par les constructeurs dès la conception des produits. Sans compter l’annonce récente par la Maison Blanche de l’initative « Cyber trust mark » ciblant le même objectif mais avec une approche différente[6].

L’enjeu réglementaire n’est donc pas près de réduire et les équipes cyber doivent s’y préparer. Il sera, a minima, nécessaire de renforcer les liens avec les métiers concernés et également avec les équipes juridiques. Les entreprises les plus matures dans le domaine ont créé des pôles juridiques au sein même des équipes cyber, pour échanger avec les différents services juridiques. Ceci n’est pas forcément nécessaire en fonction de l’organisation de chaque structure, mais peut aussi être un gage de mobilisation important.

Dans tous les cas, l’enjeu sera pour les entreprises d’arriver à transformer ces exigences réglementaires, souvent obligatoires, en un avantage concurrentiel dans leurs activités, en ne faisant pas de la conformité punitive, a minima, mais bien en s’emparant du sujet et en faisant un acte de transformation de ces pratiques qu’elle pourra valoriser extérieurement.

[1] https://blog.checkpoint.com/2023/01/05/38-increase-in-2022-global-cyberattacks/

[2] Liste non exhaustive des réglementations cyber

[3] https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-suites-de-larret-de-la-cjue

[4] Pays en adéquation avec le niveau de protection requis par l’UE https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde

[5] https://www.01net.com/actualites/comment-les-lois-chinoises-tres-strictes-risquent-de-nuire-a-lia-made-in-china.html

[6] https://arstechnica.com/information-technology/2023/07/the-cyber-trust-mark-is-a-voluntary-iot-label-coming-in-2024-what-does-it-mean/

Cet article Paysage réglementaire cyber : enjeux et perspectives est apparu en premier sur RiskInsight.

L’Operational Resilience Maturity Assessment Framework est un outil qui permet de mesurer la résilience opérationnelle d’une organisation.

Qu’est-ce que c’est la résilience opérationnelle ?

La résilience opérationnelle est une discipline encore jeune et de plus en plus inévitable pour les organisations, notamment pour le secteur financier. On peut citer le Royaume Uni qui est pionnier sur le sujet, avec l’entrée en vigueur d’un Operational Resilience Framework en mars 2022, imposé par la Bank of England, la Prudential Regulation Authority (PRA) et la Financial Conduct Authority (FCA) et l’Union Européenne, qui suit, avec la réglementation Digital Operational Resilience Act (DORA). Les autorités sont en effet parties du principe que de nombreux événements pouvaient perturber les activités des banques (et plus largement des organisations).

La résilience opérationnelle prend donc en compte différentes sources de menaces : menaces venant d’un tiers (un partenaire, un fournisseur ou un prestataire), pandémie, panne d’électricité, incendie pour ne citer qu’eux. D’un point de vue organisationnel, la résilience est très souvent un programme piloté par un Head of OpRes, la DSI ou la division risques, et moins souvent par un RSSI.

Pourquoi avoir créé l’Operational Resilience Maturity Assessment Framework accélérateur ? Quel problème cela résout chez les clients ?

Sous la pression des régulateurs, nos clients ont dû mesurer leur niveau de résilience. La compliance est un bon point de départ mais elle ne va pas assez loin ! L’idée de notre Operational Resilience Maturity Assessment Framework, c’est d’avoir un outil qui englobe à la fois ces nouvelles directives et aussi les meilleures pratiques observées sur le terrain. L’outil est utile car il :

• Permet de mesurer la maturité d’une organisation sur les méthodologies et processus en place pour appréhender la résilience opérationnelle
• Rend compte des capacités réelles de résilience à un instant T, en analysant les outils et les capacités en place
• Facilite la formalisation d’un plan de réduction des risques et de pilotage
• Intègre toute l’expérience terrain de Wavestone en matière de résilience de tous nos bureaux ! Outre-Manche notamment, plus avancé que les pays de l’Union européenne, on travaille sur des missions de résilience depuis plus de 3 ans.

Concrètement, l’Operational Resilience Maturity Assessment Framework centralise dans un Excel l’ensemble des dimensions à prendre en compte pour être résilient et monter en maturité. En tout, on a identifié 90 questions, classées en 12 grands sujets que couvrent la résilience.  Le questionnaire peut être déroulé comme tel afin d’évaluer la résilience opérationnelle d’un client. Mais il peut aussi être utilisé comme trame pour construire son propre département de résilience et comme un vecteur d’identification de projets, sans pour autant procéder à une évaluation. Comme base pour une évaluation sur-mesure et conforme aux standards du client.

Aussi, à mesure que le paysage réglementaire se développe, les entreprises doivent pouvoir mettre en place ou renforcer leurs forces de veille pour rester en avance sur les régulateurs et la concurrence. Par conséquent, en complément de notre outil d’évaluation de la maturité de résilience, nous avons développé le « Radar réglementaire de la résilience opérationnelle » qui cartographie les réglementations à travers le monde selon les mêmes thèmes. Mis à jour tous les trimestres, il offre une vue d’ensemble des évolutions réglementaires sur la résilience opérationnelle et permet à l’utilisateur de les comparer par géographie et par sujet.

Peux-tu nous parler de la dernière fois que tu l’as utilisé (exemple concret) ?

En fait, l’élément déclencheur de la création de notre outil a été la réalisation d’une mission pour un grand acteur du secteur bancaire ! Pendant cette première mission, on a pu définir quatre niveaux de résilience : 1 : « insuffisant », 2 : « compliant », 3 : « bon niveau » et 4 : « leader ».

Récemment on a décroché une deuxième mission qui nous permet de peaufiner les questions, pour qu’elles soient plus précises et exhaustives. On a également retravaillé notre liste de preuves qui sert à justifier un positionnement sur tel ou tel niveau de maturité et on a ajouté un 5^e niveau, « le pionner ».

Pour l’instant le benchmark de la maturité en matière de résilience se concentre sur les banques qui est un secteur plus mature compte tenu de leurs contraintes réglementaires et de la sensibilité des données qu’il traite. Pour une organisation d’un autre secteur, il faudra adapter les niveaux pour s’aligner sur la maturité globale du marché.

Un mot pour la fin ?

On pense qu’on pourra aller encore plus loin dans l’évaluation de la résilience dans quelques années. Plus on aura de retour du terrain, plus on pourra être précis dans les conditions requises pour atteindre un niveau. Par exemple, un acteur sera jugé mature s’il a la capacité de reconstruire son AD en 3h. Comme sur le CyberBenchmark. La prochaine étape serait donc de définir des indicateurs quantitatifs et/ou qualitatifs… Et la seule manière d’y arriver c’est de continuer à confronter le framework à la réalité !

Si tout est améliorable, on est super fières de cet outil qui a été co-construit avec nos clients et nos experts et qui a déjà fait ses preuves.

Cet article [INTERVIEW] Résilience opérationnelle, savoir rebondir après une cyberattaque est apparu en premier sur RiskInsight.

L’Union Européenne a publié le règlement « Digital Operational Resilience Act », ou « DORA », le 27 décembre 2022, qui est entré en vigueur le 16 janvier 2023. Il fixe de nouvelles règles pour les entités financières et leurs prestataires de services TIC en termes de résilience des TIC.
La conformité au texte sera obligatoire à partir du 17 janvier 2025.

DORA vise à simplifier et à améliorer la résilience des organisations des services financiers en établissant un cadre réglementaire et un cadre de supervision robustes. Comme nous l’avons déjà expliqué en détails dans notre article « Décryptage de DORA : qu’est-ce que cela signifie pour la résilience des organisations financières ? », la réglementation introduit des exigences à travers cinq piliers :

• Gestion du risque lié aux TIC
• Gestion, classification et notification des incidents liés aux TIC
• Tests de résilience opérationnelle numérique
• Gestion des risques liés aux prestataires tiers de services TIC
• Dispositifs de partage d’informations (facultatif)

Principaux sujets et articles DORA s’appliquant aux entités financières(références des articles entre parenthèses)

En analysant le contenu du règlement et en tenant compte de la maturité actuelle du secteur financier, la complexité diffère largement en fonction du sujet abordé. Dans la mesure où l’adoption de framework de gestion des risques TIC constitue déjà une bonne pratique largement répandue dans le secteur financier, l’effort portera principalement sur une mise en cohérence de l’existant au sein de l’organisation. De même, les processus et outils de gestion des incidents liés aux TIC ont déjà eu à intégrer des contraintes réglementaires de classification et de notification. Par conséquent, l’intégration des exigences de DORA ne devrait pas présenter de difficultés majeures.

Néanmoins, le respect des exigences de mise en conformité aura toujours ses défis… et ses opportunités !

Un règlement ambitieux qui pointe des fragilités connues

Pour de nombreuses organisations, le premier défi consistera à embarquer le top management dans l’initiative. Comme DORA les désigne comme responsables du suivi, de l’approbation, de la révision et de fixer le cap en termes de résilience opérationnelle, leur implication est essentielle à la réussite d’un éventuel programme. Les embarquer dès les prémices permettra de gagner un temps précieux dans l’identification et la validation des fonctions critiques, de prioriser les principaux scénarios de menace et de donner le rythme sur le sujet. En contrepartie, cela demandera aux équipes en charge de réfléchir soigneusement aux indicateurs de performance (KPI) et aux indicateurs de risque (KRI) appropriés et compréhensibles qui permettront de rendre compte du niveau de résilience opérationnelle de l’organisation. Autant que possible, donnez-leur rapidement un aperçu du contenu de la réglementation et de leur rôle dans ce cadre !

Le deuxième défi sera de passer un cap en termes de gestion des risques liés aux tiers. Les grandes organisations ont souvent des centaines, voire des milliers de parties prenantes, ce qui implique un tri fastidieux pour se concentrer sur les plus critiques. La gestion du risque de résilience opérationnelle des tiers repose aujourd’hui principalement sur l’intégration d’étapes dans les processus d’achat et, finalement, sur l’inclusion de clauses spécifiques dans les contrats. DORA demande beaucoup plus sur le sujet, la responsabilité incombant aux services financiers de s’assurer de la conformité des tiers à ces exigences. Elle exige également de travailler sur des stratégies de sortie potentielles et des tests conjoints. Cette ambition pourrait impacter la manière même de travailler avec ses fournisseurs à l’avenir et devrait être anticipée par les tiers concernés qui vont devoir être en mesure de fournir des preuves de leur bonne gestion du risque de résilience opérationnelle.

Enfin, les tests sont un point crucial et un challenge au sein de DORA. Les organisations devront structurer et tester régulièrement leur résilience pour évaluer en permanence leurs risques et la pertinence de leur stratégie de résilience. Cela nécessite d’acquérir une vision stratégique du sujet qui préexiste rarement dans la mesure où les tests sont souvent gérés en silos (tests de vulnérabilité, tests de pénétration, tests de continuité d’activité…). L’approche adoptée devra également garantir la bonne couverture des fonctions critiques de l’organisation au fil des ans. Les organisations devront par ailleurs mener des tests de pénétration fondés sur la menace et effectués sur des systèmes en environnement de production en direct au moins tous les trois ans, en incluant éventuellement des prestataires de services TIC.

Relever ces défis ne sera pas de tout repos. C’est pourquoi il est essentiel d’enclencher les travaux dès maintenant, car ils exigeront de véritables changements pour les organisations concernées. De toute évidence, une analyse d’écarts aux exigences réglementaires détaillée est un bon point de départ.

La résilience d’abord, la conformité ensuite ?

Il est clair qu’une réglementation telle que la DORA offre des opportunités à ceux qui tenteront de voir au-delà des contraintes de conformité.

En premier lieu, le règlement introduit une approche holistique de la gestion des risques liés aux TIC qui pourrait apporter plus de cohérence au sein des organisations. Cela pourrait constituer une première étape dans la mise en place d’un cadre unifié de gestion des risques liés aux TIC, permettant une meilleure évaluation des risques et simplifiant le reporting à la direction générale. Cela pourrait également lancer l’idée d’une gouvernance convergée sur la gestion des risques liés aux TIC regroupant la cybersécurité, la continuité des activités et la continuité des services informatiques. 

Ensuite et surtout, c’est une occasion unique de travailler sur votre niveau réel de résilience en vous posant des questions complexes. Si vous deviez faire face à une situation demain où vous êtes dépourvu de votre SI, votre organisation survivrait-elle ? Vos capacités existantes couvriraient-elles pleinement les besoins qu’une telle situation demande ? Et êtes-vous sûr que votre solution de résilience fonctionnera le jour J ?

Cet article DORA : challenges et opportunités est apparu en premier sur RiskInsight.