Actualités : analyse de données, Business Intelligence, Data Science, Big Data


Renforcer la résilience opérationnelle : les clés de la conformité à DORA


Rédigé par Cyril Amblard-Ladurantie, MEGA International et Imad Abounasr, EY le 24 Octobre 2024

L'augmentation des cybermenaces pousse les régulateurs à mettre en place des règles contraignantes pour la cybersécurité des institutions financières et de leurs prestataires technologiques. Ces réglementations visent à renforcer leur cyber-résilience, mais elles nécessitent une collaboration accrue entre des acteurs n’ayant pas toujours l’habitude de travailler ensemble.



Imad Abounasr, Associé cybersécurité chez EY
Imad Abounasr, Associé cybersécurité chez EY
La montée en puissance des cybermenaces et l'émergence de nouvelles réglementations

DORA (Digital Operational Resilience Act) est le nouveau règlement européen d'application directe dont l’entrée en vigueur est prévue le 17 janvier 2025. Son objectif principal est de renforcer la résilience opérationnelle des acteurs financiers face aux cybermenaces. Parmi les défis majeurs à relever pour se conformer à DORA, on cite d’abord le délai imparti pour se conformer aux attentes des régulateurs, étant donné que la réglementation couvre un large éventail de sujets complexes.

Un autre des enjeux de conformité réside dans la nécessité de formaliser de nouveaux processus, basée sur une approche par les risques, relativement nouvelle. Cela implique d’identifier les processus critiques de l’entreprise, puis de définir la liste des risques, des applications et des tiers qui soutiennent ces processus métiers afin de prioriser les actions.

Enfin, la conformité à la réglementation induit la gestion du risque tiers : dans un monde de plus en plus ouvert aux partenariats externes, il est crucial de maîtriser les risques liés aux prestataires de services tiers. Ces derniers peuvent parfois gérer des processus critiques entiers. DORA impose des obligations strictes en matière de sélection, de surveillance, de contractualisation.

DORA dans le paysage réglementaire

DORA, NIS 2, et les autres réglementations cyber partagent un objectif commun. Il s’agit d’élever le niveau de sécurité, mais aussi de maturité des organisations en matière de cybersécurité. Toutefois, elles se distinguent par leurs périmètres d'application et leurs exigences spécifiques.

En termes de périmètre d’application, DORA s'applique spécifiquement au secteur financier, tandis que NIS 2 couvre 18 secteurs d'activité. D'autres réglementations ciblent des domaines plus précis, comme la loi de l'Union européenne (UE) sur la cyber-résilience (CRA), qui concerne les produits ou logiciels avec un composant numérique.

Côté exigences, DORA définit des exigences détaillées en matière de résilience opérationnelle et de gestion des risques TIC, couvrant un champ d’application plus large que la directive européenne NIS2. Elle se positionne comme la « lex specialis » pour la résilience opérationnelle numérique du secteur financier.

Ensemble, ces réglementations contribuent à créer un cadre réglementaire complet et cohérent pour la cybersécurité en Europe.

Les architectes, des acteurs clés dans la mise en œuvre de DORA

DORA place la responsabilité ultime de la gestion du risque TIC (Technologies de l'Information et de la Communication) au niveau de la direction générale. Cela implique la mise en place d'une gouvernance et d’une stratégie globale autour de ce sujet. La direction générale doit également veiller à ce que les mesures de gestion des risques soient correctement mises en œuvre, contrôlées.

Côté opérationnel, la mise en conformité DORA exige la collaboration de plusieurs services, fonctions au sein des organisations. Parmi les acteurs clés figurent la DSI, les fonctions risque, les métiers, la sécurité, les achats. Chaque service apporte son expertise spécifique, contribuant à une approche globale de la gestion des risques TIC.

Les architectes jouent un rôle central dans le dispositif DORA par leur compréhension approfondie de l'architecture applicative et fonctionnelle. Ils font le lien entre la cartographie des processus métiers et l’architecture des systèmes d’information, permettant ainsi d’identifier les risques TIC et de prioriser les mesures de mise en œuvre, conformément aux exigences de DORA.

Anticiper et collaborer : les clés d'une mise en conformité réussie

Pour se conformer à DORA, les acteurs du secteur financier doivent en premier lieu anticiper et planifier. DORA introduit de nouvelles exigences, et, de ce fait, nécessite une analyse approfondie mais aussi une adaptation des processus existants. Il est donc crucial de démarrer l'évaluation de la situation actuelle, puis de définir une feuille de route pour la mise en conformité. Pour ce faire, il est nécessaire de mobilier les ressources adéquates en s’accompagnant d’une équipe composée d’experts en sécurité, des risques, des métiers, de l’IT et des achats pour piloter le projet.

En second lieu, il est indispensable de saisir l’opportunité d’amélioration. DORA ne se limite pas à une simple conformité : le niveau de maturité de la résilience opérationnelle au sein de l’organisation doit donc être renforcée en réalisant une cartographie complète des processus métiers critiques et en identifiant les risques associés. Des liens clairs entre les risques IT et les risques métier doivent être établis, ce qui permettra une meilleure prise en compte des risques, mais aussi une allocation plus efficace des ressources.

DORA étant un processus continu, les équipes se doivent de mettre en place un programme de surveillance, des tests réguliers pour vérifier que les mesures de résilience restent efficaces face aux menaces en constante évolution. En somme, une approche proactive de la gestion des risques, qui adapte continuellement la stratégie en fonction des nouvelles exigences et des meilleures pratiques.

En s’engageant activement dans la mise en conformité à DORA, les institutions financières sont protégées contre les cybermenaces tout en garantissant la continuité de leurs activités critiques.

À propos des auteurs

Cyril Amblard-Ladurantie, Responsable Marketing des produits GRC - Gouvernance, Risque & Conformité - MEGA International
Cyril Amblard-Ladurantie, Responsable Marketing des produits GRC - Gouvernance, Risque & Conformité - MEGA International
Cyril Amblard-Ladurantie est Responsable marketing des produits GRC (Gouvernance, Risque & Conformité) chez MEGA International avec plus de 15 ans d'expérience dans le domaine. Avant de rejoindre MEGA, il était manager au sein d'un grand cabinet de conseil (EY), où il accompagnait les entreprises dans leur parcours d’acquisition de solution GRC digitale, depuis l’expression de besoins jusqu’à la conduite de changement. Auparavant, il a occupé des postes d'avant-vente et de support chez un grand éditeur international de solutions GRC et de contenu réglementaire (Thomson Reuters).

Imad Abounasr est Partner, en charge de l’activité de cybersécurité pour le secteur des services financiers chez EY en France. Depuis plus de dix ans, Imad aide les entreprises en France et à l’étranger à appréhender le risque de cybersécurité dans un contexte en constante évolution technologique et soumis à une pression réglementaire de plus en plus forte. Imad accompagne aujourd’hui les principaux acteurs du secteur financier dans la définition de leur modèle opérationnel en sécurité de l’information, leur feuille de route et la mise en œuvre des programmes de conformité. Riche de ses précédentes expériences, illes accompagne à la fois sur les plans techniques et organisationnels. Il intervient également, depuis une dizaine d’années, sur les problématiques de sécurisation des SI et de protection des données et anime des formations et des conférences sur le sujet. Avant de rejoindre EY, il était responsable des activités d’audits et de tests d’intrusion chez un acteur spécialisé dans la sécurité des systèmes d’information.




Nouveau commentaire :
Twitter

Vous pouvez commenter ou apporter un complément d’information à tous les articles de ce site. Les commentaires sont libres et ouverts à tous. Néanmoins, nous nous réservons le droit de supprimer, sans explication ni préavis, tout commentaire qui ne serait pas conforme à nos règles internes de fonctionnement, c'est-à-dire tout commentaire diffamatoire ou sans rapport avec le sujet de l’article. Par ailleurs, les commentaires anonymes sont systématiquement supprimés s’ils sont trop négatifs ou trop positifs. Ayez des opinions, partagez les avec les autres, mais assumez les ! Merci d’avance. Merci de noter également que les commentaires ne sont pas automatiquement envoyés aux rédacteurs de chaque article. Si vous souhaitez poser une question au rédacteur d'un article, contactez-le directement, n'utilisez pas les commentaires.


Twitter
Rss
LinkedIn
Facebook
Apple Podcast
App Store
Google Play Store