Imad Abounasr, Associé cybersécurité chez EY
La montée en puissance des cybermenaces et l'émergence de nouvelles réglementations
DORA (Digital Operational Resilience Act) est le nouveau règlement européen d'application directe dont l’entrée en vigueur est prévue le 17 janvier 2025. Son objectif principal est de renforcer la résilience opérationnelle des acteurs financiers face aux cybermenaces. Parmi les défis majeurs à relever pour se conformer à DORA, on cite d’abord le délai imparti pour se conformer aux attentes des régulateurs, étant donné que la réglementation couvre un large éventail de sujets complexes.
Un autre des enjeux de conformité réside dans la nécessité de formaliser de nouveaux processus, basée sur une approche par les risques, relativement nouvelle. Cela implique d’identifier les processus critiques de l’entreprise, puis de définir la liste des risques, des applications et des tiers qui soutiennent ces processus métiers afin de prioriser les actions.
Enfin, la conformité à la réglementation induit la gestion du risque tiers : dans un monde de plus en plus ouvert aux partenariats externes, il est crucial de maîtriser les risques liés aux prestataires de services tiers. Ces derniers peuvent parfois gérer des processus critiques entiers. DORA impose des obligations strictes en matière de sélection, de surveillance, de contractualisation.
DORA dans le paysage réglementaire
DORA, NIS 2, et les autres réglementations cyber partagent un objectif commun. Il s’agit d’élever le niveau de sécurité, mais aussi de maturité des organisations en matière de cybersécurité. Toutefois, elles se distinguent par leurs périmètres d'application et leurs exigences spécifiques.
En termes de périmètre d’application, DORA s'applique spécifiquement au secteur financier, tandis que NIS 2 couvre 18 secteurs d'activité. D'autres réglementations ciblent des domaines plus précis, comme la loi de l'Union européenne (UE) sur la cyber-résilience (CRA), qui concerne les produits ou logiciels avec un composant numérique.
Côté exigences, DORA définit des exigences détaillées en matière de résilience opérationnelle et de gestion des risques TIC, couvrant un champ d’application plus large que la directive européenne NIS2. Elle se positionne comme la « lex specialis » pour la résilience opérationnelle numérique du secteur financier.
Ensemble, ces réglementations contribuent à créer un cadre réglementaire complet et cohérent pour la cybersécurité en Europe.
Les architectes, des acteurs clés dans la mise en œuvre de DORA
DORA place la responsabilité ultime de la gestion du risque TIC (Technologies de l'Information et de la Communication) au niveau de la direction générale. Cela implique la mise en place d'une gouvernance et d’une stratégie globale autour de ce sujet. La direction générale doit également veiller à ce que les mesures de gestion des risques soient correctement mises en œuvre, contrôlées.
Côté opérationnel, la mise en conformité DORA exige la collaboration de plusieurs services, fonctions au sein des organisations. Parmi les acteurs clés figurent la DSI, les fonctions risque, les métiers, la sécurité, les achats. Chaque service apporte son expertise spécifique, contribuant à une approche globale de la gestion des risques TIC.
Les architectes jouent un rôle central dans le dispositif DORA par leur compréhension approfondie de l'architecture applicative et fonctionnelle. Ils font le lien entre la cartographie des processus métiers et l’architecture des systèmes d’information, permettant ainsi d’identifier les risques TIC et de prioriser les mesures de mise en œuvre, conformément aux exigences de DORA.
Anticiper et collaborer : les clés d'une mise en conformité réussie
Pour se conformer à DORA, les acteurs du secteur financier doivent en premier lieu anticiper et planifier. DORA introduit de nouvelles exigences, et, de ce fait, nécessite une analyse approfondie mais aussi une adaptation des processus existants. Il est donc crucial de démarrer l'évaluation de la situation actuelle, puis de définir une feuille de route pour la mise en conformité. Pour ce faire, il est nécessaire de mobilier les ressources adéquates en s’accompagnant d’une équipe composée d’experts en sécurité, des risques, des métiers, de l’IT et des achats pour piloter le projet.
En second lieu, il est indispensable de saisir l’opportunité d’amélioration. DORA ne se limite pas à une simple conformité : le niveau de maturité de la résilience opérationnelle au sein de l’organisation doit donc être renforcée en réalisant une cartographie complète des processus métiers critiques et en identifiant les risques associés. Des liens clairs entre les risques IT et les risques métier doivent être établis, ce qui permettra une meilleure prise en compte des risques, mais aussi une allocation plus efficace des ressources.
DORA étant un processus continu, les équipes se doivent de mettre en place un programme de surveillance, des tests réguliers pour vérifier que les mesures de résilience restent efficaces face aux menaces en constante évolution. En somme, une approche proactive de la gestion des risques, qui adapte continuellement la stratégie en fonction des nouvelles exigences et des meilleures pratiques.
En s’engageant activement dans la mise en conformité à DORA, les institutions financières sont protégées contre les cybermenaces tout en garantissant la continuité de leurs activités critiques.
DORA (Digital Operational Resilience Act) est le nouveau règlement européen d'application directe dont l’entrée en vigueur est prévue le 17 janvier 2025. Son objectif principal est de renforcer la résilience opérationnelle des acteurs financiers face aux cybermenaces. Parmi les défis majeurs à relever pour se conformer à DORA, on cite d’abord le délai imparti pour se conformer aux attentes des régulateurs, étant donné que la réglementation couvre un large éventail de sujets complexes.
Un autre des enjeux de conformité réside dans la nécessité de formaliser de nouveaux processus, basée sur une approche par les risques, relativement nouvelle. Cela implique d’identifier les processus critiques de l’entreprise, puis de définir la liste des risques, des applications et des tiers qui soutiennent ces processus métiers afin de prioriser les actions.
Enfin, la conformité à la réglementation induit la gestion du risque tiers : dans un monde de plus en plus ouvert aux partenariats externes, il est crucial de maîtriser les risques liés aux prestataires de services tiers. Ces derniers peuvent parfois gérer des processus critiques entiers. DORA impose des obligations strictes en matière de sélection, de surveillance, de contractualisation.
DORA dans le paysage réglementaire
DORA, NIS 2, et les autres réglementations cyber partagent un objectif commun. Il s’agit d’élever le niveau de sécurité, mais aussi de maturité des organisations en matière de cybersécurité. Toutefois, elles se distinguent par leurs périmètres d'application et leurs exigences spécifiques.
En termes de périmètre d’application, DORA s'applique spécifiquement au secteur financier, tandis que NIS 2 couvre 18 secteurs d'activité. D'autres réglementations ciblent des domaines plus précis, comme la loi de l'Union européenne (UE) sur la cyber-résilience (CRA), qui concerne les produits ou logiciels avec un composant numérique.
Côté exigences, DORA définit des exigences détaillées en matière de résilience opérationnelle et de gestion des risques TIC, couvrant un champ d’application plus large que la directive européenne NIS2. Elle se positionne comme la « lex specialis » pour la résilience opérationnelle numérique du secteur financier.
Ensemble, ces réglementations contribuent à créer un cadre réglementaire complet et cohérent pour la cybersécurité en Europe.
Les architectes, des acteurs clés dans la mise en œuvre de DORA
DORA place la responsabilité ultime de la gestion du risque TIC (Technologies de l'Information et de la Communication) au niveau de la direction générale. Cela implique la mise en place d'une gouvernance et d’une stratégie globale autour de ce sujet. La direction générale doit également veiller à ce que les mesures de gestion des risques soient correctement mises en œuvre, contrôlées.
Côté opérationnel, la mise en conformité DORA exige la collaboration de plusieurs services, fonctions au sein des organisations. Parmi les acteurs clés figurent la DSI, les fonctions risque, les métiers, la sécurité, les achats. Chaque service apporte son expertise spécifique, contribuant à une approche globale de la gestion des risques TIC.
Les architectes jouent un rôle central dans le dispositif DORA par leur compréhension approfondie de l'architecture applicative et fonctionnelle. Ils font le lien entre la cartographie des processus métiers et l’architecture des systèmes d’information, permettant ainsi d’identifier les risques TIC et de prioriser les mesures de mise en œuvre, conformément aux exigences de DORA.
Anticiper et collaborer : les clés d'une mise en conformité réussie
Pour se conformer à DORA, les acteurs du secteur financier doivent en premier lieu anticiper et planifier. DORA introduit de nouvelles exigences, et, de ce fait, nécessite une analyse approfondie mais aussi une adaptation des processus existants. Il est donc crucial de démarrer l'évaluation de la situation actuelle, puis de définir une feuille de route pour la mise en conformité. Pour ce faire, il est nécessaire de mobilier les ressources adéquates en s’accompagnant d’une équipe composée d’experts en sécurité, des risques, des métiers, de l’IT et des achats pour piloter le projet.
En second lieu, il est indispensable de saisir l’opportunité d’amélioration. DORA ne se limite pas à une simple conformité : le niveau de maturité de la résilience opérationnelle au sein de l’organisation doit donc être renforcée en réalisant une cartographie complète des processus métiers critiques et en identifiant les risques associés. Des liens clairs entre les risques IT et les risques métier doivent être établis, ce qui permettra une meilleure prise en compte des risques, mais aussi une allocation plus efficace des ressources.
DORA étant un processus continu, les équipes se doivent de mettre en place un programme de surveillance, des tests réguliers pour vérifier que les mesures de résilience restent efficaces face aux menaces en constante évolution. En somme, une approche proactive de la gestion des risques, qui adapte continuellement la stratégie en fonction des nouvelles exigences et des meilleures pratiques.
En s’engageant activement dans la mise en conformité à DORA, les institutions financières sont protégées contre les cybermenaces tout en garantissant la continuité de leurs activités critiques.
À propos des auteurs
Cyril Amblard-Ladurantie, Responsable Marketing des produits GRC - Gouvernance, Risque & Conformité - MEGA International
Cyril Amblard-Ladurantie est Responsable marketing des produits GRC (Gouvernance, Risque & Conformité) chez MEGA International avec plus de 15 ans d'expérience dans le domaine. Avant de rejoindre MEGA, il était manager au sein d'un grand cabinet de conseil (EY), où il accompagnait les entreprises dans leur parcours d’acquisition de solution GRC digitale, depuis l’expression de besoins jusqu’à la conduite de changement. Auparavant, il a occupé des postes d'avant-vente et de support chez un grand éditeur international de solutions GRC et de contenu réglementaire (Thomson Reuters).
Imad Abounasr est Partner, en charge de l’activité de cybersécurité pour le secteur des services financiers chez EY en France. Depuis plus de dix ans, Imad aide les entreprises en France et à l’étranger à appréhender le risque de cybersécurité dans un contexte en constante évolution technologique et soumis à une pression réglementaire de plus en plus forte. Imad accompagne aujourd’hui les principaux acteurs du secteur financier dans la définition de leur modèle opérationnel en sécurité de l’information, leur feuille de route et la mise en œuvre des programmes de conformité. Riche de ses précédentes expériences, illes accompagne à la fois sur les plans techniques et organisationnels. Il intervient également, depuis une dizaine d’années, sur les problématiques de sécurisation des SI et de protection des données et anime des formations et des conférences sur le sujet. Avant de rejoindre EY, il était responsable des activités d’audits et de tests d’intrusion chez un acteur spécialisé dans la sécurité des systèmes d’information.
Imad Abounasr est Partner, en charge de l’activité de cybersécurité pour le secteur des services financiers chez EY en France. Depuis plus de dix ans, Imad aide les entreprises en France et à l’étranger à appréhender le risque de cybersécurité dans un contexte en constante évolution technologique et soumis à une pression réglementaire de plus en plus forte. Imad accompagne aujourd’hui les principaux acteurs du secteur financier dans la définition de leur modèle opérationnel en sécurité de l’information, leur feuille de route et la mise en œuvre des programmes de conformité. Riche de ses précédentes expériences, illes accompagne à la fois sur les plans techniques et organisationnels. Il intervient également, depuis une dizaine d’années, sur les problématiques de sécurisation des SI et de protection des données et anime des formations et des conférences sur le sujet. Avant de rejoindre EY, il était responsable des activités d’audits et de tests d’intrusion chez un acteur spécialisé dans la sécurité des systèmes d’information.
Autres articles
-
Trois piliers pour dépasser le plafond de verre de l’inventaire applicatif
-
Résilience du système financier : les 4 piliers de la réglementation DORA
-
Au-delà de Chat GPT : Quelle valeur business de l'intelligence artificielle générative ?
-
MEGA International obtient le meilleur classement Gartner Peer Insights Customers’ Choice 2023 pour ses outils d’architecture d’entreprise
-
Le volume des données gérées par les organisations double tous les 2 ans, confirme une étude commandée par MEGA International