Règlement Digital Operational Resilience Act (DORA) : votre entreprise est-elle prête à s’y conformer ?

Règlement DORA : quelles nouvelles mesures de cybersécurité pour l’Europe ?

Dora : contexte, définition et enjeu

Après deux ans de travail, la Commission Européenne annonce l’entrée en vigueur d’une nouvelle réglementation, le Digital Operational Resilience Act (DORA) qui vise à renforcer la résilience informatique opérationnelle en instaurant un nouveau cadre de gouvernance et de contrôle interne. Depuis novembre 2022, la réglementation DORA est adoptée par le Conseil Européen.

L’adoption du règlement DORA s’inscrit dans la lignée des préconisations formulées en 2020 par l’Autorité bancaire européenne (ABE) et l’Autorité Européenne des Assurances et des Pensions Professionnelles (AEAPP), et auxquelles les institutions financières européennes ont été fortement encouragées à adhérer.

Dès lors, le déploiement de mesures de cybersécurité et la mise en œuvre de contrôles indépendants et objectifs s’appliquant aux données et ressources s’imposent aux entreprises. Comme l’indique le Conseil de l’Union Européenne dans son communiqué de presse du 11 mai 2022, « Une fois que la proposition DORA sera officiellement adoptée, elle sera transformée en loi par chaque État membre de l’UE « .

Règlement DORA : qui est concerné ?

Banques, compagnies d’assurance, sociétés d’investissement et de gestion d’actifs : toutes les organisations issues du secteur financier Européen sont désormais dans l’obligation de promouvoir la résilience face aux risques liés aux Technologies de l’Information et de la Communication (TIC). De même, les fournisseurs tiers chargés de traiter données, dossiers et informations financières cruciales sont également soumis à ce cadre réglementaire.

Toutes les institutions et organisations financières se devront de respecter les normes techniques élaborées par les autorités européennes de surveillance (l’Autorité bancaire européenne (ABE), l’Autorité Européenne des Marchés Financiers (AEMF) et l’Autorité Européenne des Assurances et des Pensions Professionnelles (AEAPP)). Les autorités nationales compétentes respectives seront chargées d’assumer le rôle de surveillance de la conformité et feront appliquer la réglementation si nécessaire.

Qu’est-ce que la résilience opérationnelle informatique dans le contexte de DORA ?

La résilience opérationnelle informatique est le fruit d’une gestion efficace des risques opérationnels. Le principe de résilience opérationnelle informatique implique donc que des politiques et des règles internes et externes soient mises en place pour prévenir les incidents catastrophiques tels que les violations de données ou le cyber-vol par exemple.

À ce titre, l’identification et l’atténuation des risques, le déploiement de processus de surveillance et la réalisation de tests en continu permettent aux entreprises de réduire les potentielles perturbations dont leurs opérations pourraient faire l’objet, et ainsi de se préserver des répercussions potentiellement conséquentes occasionnées par les attaques cyber.

Le monde de l’entreprise à l’épreuve de la transformation numérique : pourquoi l’adoption de DORA est-elle nécessaire ?

Au cours de ces dernières années, le paysage des entreprises a radicalement changé. Nombre d’employés optent pour le télétravail, au moins une partie du temps.  Par conséquent, un certain nombre d’activités numériques quotidiennes ne se déroulent plus sur place : d’importants échanges de données potentiellement sensibles ou confidentielles se font notamment par le biais du cloud. Ce nouvel environnement entraîne par nature un niveau plus élevé de cyber-risque qui doit être traité de manière plus agressive que par le passé, et plus particulièrement dans le secteur financier. Et pour cause : ce secteur s’avère particulièrement prisé des pirates et cybercriminels.

Aussi, le cadre réglementaire proposé par le Digital Operational Resilience Act (DORA) invite les institutions financières de l’Union Européenne à réduire autant que possible les faiblesses de leurs systèmes et de leurs processus internes qui pourraient potentiellement augmenter les risques de cyber-attaques. Pour cela, le recours à des outils, le déploiement de nouveaux processus et de directives appropriés est essentiel. De plus, maintenir une vigilance accrue des organisations tierces ayant accès à des ressources sensibles s’avère crucial. Les entreprises soumises à la réglementation DORA devront ainsi produire des rapports, exécuter audits et tests de façon obligatoire pour démontrer le respect de ce nouveau cadre réglementaire.

Réglementation DORA :  quels objectifs et quelles deadlines ?

Cinq domaines principaux issus des Technologies de l’Information et de la Communication (TIC) et de la sécurité de l’information sont visés par le règlement DORA :

• La résilience opérationnelle numérique
• La gestion des risques
• Le signalement et la gestion des incidents liés aux TIC
• Le partage de l’information
• La gestion des risques liés aux tiers

Pour mettre en application les exigences relatives au règlement DORA, les organisations disposent d’un délai moyen de deux ans à compter de la date de signature de l’acte. Pour autant, la pleine adhésion à ces exigences prend du temps !

D’où la nécessité pour les entreprises de s’y atteler dès à présent et de veiller – dans un premier temps – à renforcer leurs politiques de conformité et de sécurité en vigueur. Des stratégies doivent être mises en place dès maintenant pour se préparer au déploiement officiel du règlement DORA.

Dans quelles mesures Radiant Logic favorise l’adhésion de votre organisation aux directives énoncées dans la réglementation DORA ?

Selon un communiqué de presse du 28 novembre 2022 publié par le Conseil européen, « DORA fixe des exigences uniformes pour la sécurité des réseaux et des systèmes d’information des entreprises et des organisations opérant dans le secteur financier ainsi que pour les tiers critiques qui leur fournissent des services liés aux TIC.”

La première étape pour sécuriser le réseau et les systèmes d’information d’une entreprise consiste avant tout à savoir qui y a accès, à quoi et comment, qui a accordé l’accès, tout en s’assurant que les accès octroyés sont légitimes.

Pour vous permettre d’exécuter cette première étape sans accroc, Radiant Logic vous accompagne à l’aide d’une solution logicielle à déployer dès aujourd’hui… Pour une transition plus douce demain !  S’appuyant sur une technologie unique, notre solution RadiantOne Identity Analytics a été conçue pour vous permettre d’automatiser la détection, l’analyse, le contrôle et la réduction des risques liés aux problèmes de qualité des données, qu’elles concernent les identités ou les accès présents dans vos Systèmes d’Information (SI). Vous détenez ainsi une compréhension complète des droits d’accès de votre entreprise et êtes en mesure de savoir précisément qui a accès à quoi, comment et suivant quel niveau de permission.

La revue périodique des droits d’accès est, de loin, le composant d’identity analytics qui apporte le bénéfice le plus immédiat aux organisations. Au-delà de la capacité des équipes à répondre aux exigences d’audit, l’exécution automatisée de campagnes régulières de revue des droits d’accès favorise :

• La sécurité et la protection des ressources de l’organisation
• La conformité des droits d’accès accordés aux employés
• L’adhésion aux politiques et règles de sécurité internes et externes en vigueur, y compris lorsqu’il est question de séparation des tâches (SoD, Segregation of Duties)

Une chose est sûre : si votre organisation doit se conformer à la réglementation DORA, le recours à RadiantOne Identity Analytics peut s’avérer particulièrement efficace ! Alors, pourquoi attendre ? Faites le premier pas et mettez toutes les chances de votre côté pour adhérer à DORA en contactant Radiant Logic, l’expert dans le contrôle et l’analyse des identités et des droits d’accès !