À l’ère du numérique, la cybersécurité ne consiste pas seulement à protéger les données ; il s’agit de veiller à ce que le tissu même de nos systèmes financiers reste intact et résilient face aux menaces. Le vote par l’Union européenne de la loi sur la Résilience Opérationnelle Numérique (DORA) marque une étape importante en direction d’un écosystème financier plus sûr et plus stable. En tant que vétérans de la cybersécurité, nous avons été les témoins directs de l’évolution des menaces numériques et de la sophistication croissante des cyberadversaires. C’est dans ce contexte que nous nous penchons sur l’importance de cette nouvelle législation et sur sa capacité à transformer le paysage de la cybersécurité des services financiers.
Comprendre la loi DORA et comment elle est appliquée.
DORA a été formellement ratifié en novembre 2022 par le Parlement européen et le Conseil de l’Union européenne, qui sont les entités législatives chargées de l’adoption des lois au sein de l’UE. Avant que cette loi n’entre en vigueur, les établissements financiers et les fournisseurs de services TIC externes ont jusqu’au 17 janvier 2025 pour se mettre en conformité.
Le Digital Operational Resilience Act voit le jour en réponse à la dépendance croissante des entités financières vis-à-vis des technologies de l’information et de la communication (TIC). Cette loi vise à normaliser l’infrastructure de résilience opérationnelle numérique dans tous les États membres de l’UE en faisant en sorte à ce que les institutions financières soient en mesure de résister aux perturbations et aux menaces liées aux TIC, d’y répondre et de les surmonter.
À la base, DORA se concentre sur plusieurs domaines clés :
- Gestion des risques liés aux TIC : instauration d’obligations strictes pour les entités financières en matière d’identification, de gestion et d’atténuation des risques liés aux TIC.
- Signalement des incidents : Obligation de signaler en temps opportun les cyberincidents importants aux autorités nationales et européennes compétentes.
- Tests de résilience opérationnelle numérique : introduction d’exigences rigoureuses en matière de tests pour évaluer la résilience des entités financières face aux cybermenaces.
- Gestion des risques liés aux tiers : renforcement de la surveillance et de la gestion des fournisseurs de services TIC tiers, notamment les services de cloud computing.
Même si DORA a été formellement approuvé par l’UE, les autorités européennes de surveillance (AES) sont toujours en train de travailler sur plusieurs questions importantes. L’Autorité bancaire européenne (ABE), l’Autorité européenne des marchés financiers et l’Autorité européenne des assurances et des pensions professionnelles font partie des AES, qui sont les organes de régulation en charge du secteur financier de l’UE.
Les normes techniques de réglementation (RTS) et d’implémentation (NTI) que les entités visées sont tenues de mettre en œuvre sont rédigées par les ESA. Ces normes devraient finir d’être établies en 2024. Il est prévu que la Commission européenne achève l’élaboration d’un cadre de surveillance des fournisseurs essentiels de TIC d’ici 2024.
L’application des normes sera laissée aux « autorités compétentes », ou aux régulateurs désignés dans chaque État membre de l’UE, une fois qu’elles auront été finalisées et que la date limite de janvier 2025 sera passée. Il se peut que les autorités compétentes demandent aux entités financières de prendre des précautions de sécurité et de remédier à leurs vulnérabilités. De plus, les entités qui désobéissent s’exposeront à des sanctions administratives, ainsi qu’à des sanctions pénales dans certaines situations. La sanction sera décidée séparément par chaque État membre.
Les fournisseurs de TIC que la Commission européenne a classés comme « stratégiques » seront placés sous le contrôle direct des principaux superviseurs des ESA. Ces superviseurs auront les mêmes prérogatives que les autorités compétentes pour exiger que des mesures de sécurité et de correction soient prises et pour sanctionner les fournisseurs de TIC qui ne respecteraient pas leurs obligations. En vertu de la DORA, ils seront habilités à imposer des amendes égales à un pour cent du chiffre d’affaires mondial quotidien moyen du fournisseur contrevenant sur l’exercice précédent. Des amendes journalières pouvant aller jusqu’à six mois peuvent être infligées aux fournisseurs jusqu’à ce qu’ils s’y conforment.
Qui doit se conformer à la loi DORA ?
Le Digital Operational Resilience Act (DORA) est conçu principalement pour les entités du secteur financier de l’Union européenne. Il vise à garantir que tous les acteurs du système financier disposent des garanties et des mécanismes nécessaires pour gérer efficacement les cybermenaces. Voici une répartition des entités qui doivent se conformer à DORA :
- Etablissements de crédit : Cela inclut les banques et autres institutions financières qui offrent des facilités de crédit. Ils doivent s’assurer que leurs opérations et leurs services numériques peuvent résister aux cybermenaces.
- Etablissements de paiement : Les organisations fournissant des services de paiement doivent se conformer à la DORA pour protéger les processus de paiement contre les cyber-perturbations.
- Etablissements de monnaie électronique : Les entreprises qui émettent de la monnaie électronique, facilitent les paiements électroniques ou fournissent des services financiers connexes entrent dans le champ d’application de DORA.
- Entreprises d’investissement : Les entreprises offrant des services d’investissement, y compris des services de courtage, de gestion de portefeuille et des conseils en investissement, doivent se conformer aux exigences de DORA.
- Fournisseurs de services de crypto-actifs : Avec l’intégration croissante de crypto-actifs dans le système financier, les entités fournissant des services liés aux crypto-actifs sont également tenues d’assurer la résilience opérationnelle.
- Compagnies d’assurance et de réassurance : les assureurs et les réassureurs doivent se conformer à la DORA pour protéger leurs opérations contre les risques liés aux technologies de l’information et rester capables de fournir des services même en cas de cyberincident.
- Dépositaires centraux de titres et contreparties centrales : les entités impliquées dans le traitement post-négociation des transactions sur titres doivent assurer leur résilience numérique et opérationnelle.
- Plates-formes de négociation : Cela inclut les bourses et autres plates-formes où des instruments financiers sont négociés. Des mesures doivent être mises en place pour atténuer les cyberrisques.
- Fournisseurs de services tiers : bien qu’ils ne soient pas directement soumis à la DORA, les fournisseurs de services tiers (notamment cloud) aux entités financières réglementées sont indirectement concernés. Les entités financières doivent s’assurer que leurs partenaires tiers adhèrent également à des normes de résilience conformes à DORA.
- Autres acteurs des marchés financiers : Cela comprend une vaste catégorie d’autres entités engagées dans des activités financières essentielles à l’infrastructure des marchés financiers, soumises à une surveillance réglementaire pour assurer la résilience opérationnelle.
Reflétant l’engagement de l’UE à protéger le système financier contre les TIC et les cybermenaces, la loi DORA définit un cadre complet de résilience opérationnelle et numérique pour l’ensemble du secteur financier. La conformité avec DORA améliore non seulement la résilience des entités individuelles, mais contribue également à la stabilité et à l’intégrité du marché financier.
Implications de la loi DORA pour les entités financières
Pour les institutions financières de l’UE, DORA n’est pas qu’une simple réglementation parmi d’autres. Il s’agit d’un changement transformationnel vers une approche plus unifiée et plus robuste de la cybersécurité. En harmonisant les exigences, DORA vise à uniformiser les règles du jeu, en veillant à ce que toutes les entités, quelle que soit leur taille ou leur complexité, adhèrent à des normes élevées de résilience numérique.
La mise en œuvre de la DORA entraînera sans aucun doute des difficultés, en particulier pour les petits établissements qui ne disposent pas nécessairement des ressources de leurs homologues de plus grande taille. Mais c’est aussi l’occasion de renforcer les défenses, d’améliorer les mécanismes de réponse aux incidents et de favoriser une culture d’amélioration continue et de résilience.
Point de vue d’un spécialiste de la cybersécurité
Nos années d’expérience au cœur de la cybersécurité nous confirment que la loi DORA est une étape cruciale et particulièrement nécessaire. La résilience opérationnelle ne se limite pas à prévenir les attaques. Il s’agit de veiller à ce que les services financiers puissent continuer à fonctionner efficacement, même en cas de perturbation. L’approche globale de cette loi en matière de gestion des risques, de tests et de surveillance des tiers démontre une connaissance approfondie de la nature multidimensionnelle de la cybersécurité moderne.
À l’avenir, nous prévoyons que DORA stimulera l’innovation dans les pratiques et les technologies de cybersécurité. Alors que les institutions financières s’efforcent de se conformer aux exigences de DORA, nous assisterons probablement à une augmentation de l’adoption de pratiques, de processus et de solutions avancés en matière de cybersécurité et de cyber-résilience.
Étapes concrètes de la conformité
Pour les institutions financières qui entament leur démarche vers la conformité DORA, voici quelques mesures concrètes à prendre en compte :
- Effectuez une analyse des écarts : évaluez les pratiques actuelles en matière de cybersécurité et de résilience opérationnelle par rapport aux exigences de DORA afin d’identifier les domaines à améliorer.
- Renforcer la gestion des risques liés aux TIC : Élaborer des politiques et des procédures complètes de gestion des risques qui traitent de l’identification, de l’évaluation et de l’atténuation des risques liés aux TIC.
- Favoriser une culture de la résilience : Mettez en œuvre des programmes de formation et de sensibilisation pour vous assurer que tous les employés comprennent leur rôle dans le maintien de la résilience opérationnelle.
- Améliorer les plans de réponse aux incidents : étudier et actualiser les plans de réponse aux incidents et de continuité de l’activité pour les aligner sur les exigences de reporting et les objectifs de résilience de DORA.
Veeam dans le cadre de la solution
En tant que fournisseur de confiance de solutions de sauvegarde, de restauration et de gestion des données, Veeam est bien positionné pour répondre aux strictes exigences réglementaires prescrites par DORA. Avec ses partenaires et ses intégrateurs système, Veeam contribue à offrir des solutions intégrées leaders du marché en matière de sauvegarde, de restauration et d’administration des données dans le cadre d’une stratégie globale de transformation et de conformité.
Ensemble, nous concevons la bonne solution qui garantit que les besoins uniques de nos clients en matière de protection des données et de réglementation sont satisfaits. Nos offres conjointes permettent de s’assurer que les projets de transformation numérique et de conformité sont facilités, que les plans de reprise après incident (DR) et les directives d’orchestration sont suivis d’effet et que les programmes de continuité de l’activité sont mis en œuvre.
Ensemble, nous protégeons contre la cybercriminalité et favorisons la continuité de l’activité tout en veillant à ce que les données soient toujours protégées et disponible, où qu’elles se trouvent, grâce à l’alignement complet des services offerts par les intégrateurs de systèmes internationaux. Nos solutions conjointes permettent de gérer les workloads sur une plateforme unique qui fonctionne pour les environnements cloud, virtuels, physiques, SaaS et Kubernetes.
Voici quelques-uns de ses avantages : (mais sans s’y limiter)
- Article 9 : Protection et prévention : mettre en œuvre de solides mesures de sécurité des TIC pour protéger les systèmes et les données stratégiques et garantir des normes élevées de disponibilité, d’authenticité et d’intégrité des données confidentielles, sur la cible comme en transit :
Veeam Recovery Orchestrator crée une architecture de DR orchestrée pour assurer la continuité de l’activité et la résilience nécessaires à la disponibilité des systèmes TIC.
Le chiffrement du transport réseau assure la sécurité de bout en bout des moyens de transfert des données, à la fois sur la cible et en transit.
SureBackup et Disaster Recovery Orchestrator de Veeam testent et valident la capacité de restauration des données, limitant ainsi le risque qu’elles ne soient corrompues. La cible renforcée garantit leur disponibilité permanente grâce des capacités d’inaltérabilité.
La détection des logiciels malveillants basée sur l’IA/machine learning de Veeam ajoute une couche de protection supplémentaire aux sauvegardes en identifiant et en isolant les fichiers infectés avant leur restauration, en empêchant la propagation des logiciels malveillants et en garantissant l’intégrité des données de sauvegarde.
- Sur l’article 10 : Détection : les entités doivent disposer de mécanismes qui identifient les vulnérabilités potentielles et les activités anormales, par exemple des cybermenaces plausibles, et mettre en place des contrôles de sécurité pour se protéger contre ces risques :
Veeam ONE fournit de puissantes capacités de supervision, d’analyse et d’alerte pour détecter la présence de ransomwares ou d’activités anormales dans l’environnement de production et le processus de sauvegarde et de restauration.
Les alertes intégrées vous notifient de toute activité anormale et de toute modification radicale des performances pouvant être le signe d’une menace.
Les protocoles de réponse aux incidents peuvent être configurés de façon à déclencher des processus de correction automatique destinés à isoler la menace que constituent les ransomwares.
Notre système de détection des logiciels malveillants basé sur l’IA et l’apprentissage automatique renforce la capacité d’une organisation à détecter des menaces sophistiquées et évolutives susceptibles d’échapper aux méthodes de détection traditionnelles basées sur les signatures. En tirant parti des algorithmes d’apprentissage automatique, Veeam peut identifier les modèles et anomalies révélateurs de la présence de logiciels malveillants, même dans le cas de menaces inconnues ou de type jour zéro. Cela améliore les fonctionnalités de détection globales et aide les entreprises à répondre aux exigences de DORA.
En outre, notre détection de logiciels malveillants basée sur l’intelligence artificielle/l’apprentissage automatique améliore les processus de gestion des risques par les organisations en identifiant et en signalant de manière proactive les logiciels malveillants potentiels au sein des données de sauvegarde. Cette approche permet aux entreprises de prendre rapidement des mesures pour isoler et contrer les menaces, limitant ainsi les risques de violations de données ou de perturbation des opérations.
- Sur l’article 12 : Stratégies et procédures de sauvegarde, procédures et méthodes de restauration et de reprise : la règle de continuité de l’activité des TIC exige des stratégies dédiées :
Stratégies et procédures de sauvegarde : spécifier l’étendue des données à sauvegarder, ainsi que la fréquence minimale des sauvegardes en fonction du caractère stratégique des informations ou du niveau de confidentialité des données.
Les sauvegardes assurées par la Veeam Platform sont basées sur des stratégies qui définissent leur calendrier, leur portée et leur destination. Il aborde la fréquence des sauvegardes, les méthodes de restauration et répond aux exigences des SLAs organisationnels.
Les fonctionnalités de Veeam comprennent la vérification des sauvegardes pour assurer la réussite de la sauvegarde
La technologie habilitante de Veeam protège contre la cybercriminalité et favorise la résilience de l’activité sur toutes les plateformes : sur site, cloud, hybrides et multicloud.
Méthodes de restauration : pour déterminer les objectifs de temps de restauration (RTO) et les délais optimaux de reprise d’activité (RPO) de chaque fonction, vérifier s’il s’agit d’une fonction stratégique ou importante et évaluer son impact global possible sur l’efficacité sur le marché. Ces objectifs de temps doivent garantir que, dans des scénarios extrêmes, les niveaux de service convenus sont respectés.
La plateforme de Veeam minimise les pertes de données et de transactions. Veeam propose plusieurs manières de restaurer automatiquement ou manuellement selon les besoins métier spécifiques.
Veeam offre des options de sécurité des données qui couvrent la sauvegarde, la réplication, les snapshots de baie de stockage et la protection des données en continu (CDP). Ces fonctionnalités offrent des minima d’objectifs de temps de restauration et de délais optimaux de reprise d’activité en fonction des besoins.
- Menaces pesant sur la sécurité des e-mails et des domaines : identifier et atténuer toute situation raisonnablement identifiable susceptible d’entraîner un événement pouvant compromettre la sécurité numérique opérationnelle de l’entreprise.
Veeam assure la sauvegarde et la protection d’Active Directory, des données Microsoft 365, notamment Exchange Online (boîte aux lettres et archivage), OneDrive for Business, SharePoint Online et Teams, ainsi que des installations sur site de Microsoft Exchange Server et Microsoft SharePoint Server.
La solution VB365 de Veeam protège les sauvegardes Microsoft 365 contre les menaces et offre une restauration granulaire des données vers n’importe quel emplacement, en local ou sur une plateforme cloud.
N’hésitez pas à nous contacter pour en savoir plus sur les fonctionnalités et les capacités de nos solutions.
Résumé
Le Digital Operational Resilience Act est plus qu’une simple exigence réglementaire ; c’est un schéma pour un secteur financier plus sûr et plus résilient. Alors que nous naviguons dans les complexités de l’ère numérique, les principes qui sous-tendent DORA joueront sans aucun doute un rôle crucial dans l’élaboration de l’avenir de la cybersécurité. Pour les institutions financières, la voie de la conformité est aussi une voie vers une plus grande résilience opérationnelle, offrant un avantage concurrentiel dans un monde de plus en plus incertain.
En relevant les défis et les opportunités présentés par DORA, nous pouvons nous assurer que nos systèmes financiers sont non seulement protégés contre les menaces actuelles, mais qu’ils sont également prêts à relever les défis de demain.