NAKIVO > Blog

Renforcer la continuité des activités grâce à la loi sur la résilience opérationnelle numérique (DORA)

Publié le: août 19, 2024

Written by: NAKIVO Team

<>Si la numérisation a apporté de nombreux avantages, elle a également accru la dépendance du secteur financier à l’égard des technologies de l’information et de la communication (TIC), entraînant une augmentation des risques numériques tels que les cyberattaques, les perturbations des TIC, la corruption et la perte de données. Afin de lutter contre les menaces pour la sécurité et d’améliorer la résilience opérationnelle du secteur financier, l’Union européenne a ratifié la loi DORA (Digital Operational Resilience Act).

Ce blog explore comment la nouvelle réglementation européenne peut aider les entités financières à améliorer la gestion des risques liés aux TIC pour un écosystème financier plus sûr. Il explique également comment NAKIVO peut aider les institutions financières à se conformer à la loi DORA.

Ensure Availability with NAKIVO

Ensure Availability with NAKIVO

Meet strict requirements for service availability in virtual infrastructures. Achieve uptime objectives with robust DR orchestration and automation features.

DISCOVER SOLUTION

Qu’est-ce que la loi sur la résilience opérationnelle numérique (DORA) ?

Aperçu et objectif de la DORA

La loi sur la résilience opérationnelle numérique (DORA) est le règlement européen 2022/2554, officiellement ratifié par le Parlement européen et le Conseil de l’Union européenne en novembre 2022. La première ébauche de la DORA a été proposée en 2020 dans le cadre du paquet sur la finance numérique (DFP), qui définissait la stratégie, les recommandations et la proposition législative de l’UE en matière de crypto-actifs, de blockchain et de résilience numérique pour le secteur financier.

Le règlement vise à établir un cadre juridique normalisé pour les institutions financières de l’UE et leurs fournisseurs informatiques tiers afin de renforcer la résilience opérationnelle et la sécurité des systèmes TIC. En d’autres termes, l’un des principaux objectifs de la DORA est d’atténuer les cybermenaces, les violations des TIC et les perturbations dans le secteur financier.

Les institutions financières et leurs fournisseurs TIC tiers doivent mettre en œuvre le cadre et les normes techniques de la DORA par le 17 janvier 2025.

Organismes de réglementation chargés de l’application de la DORA

Même si l’UE a officiellement adopté la DORA en 2022, les autorités de surveillance de l’UE (ESA) sont encore en train d’élaborer les normes techniques réglementaires (RTS) prévues par la loi. Trois ESA – l’Autorité bancaire européenne (ABE), l’Autorité européenne des assurances et des pensions professionnelles (AEAPP) et l’Autorité européenne des marchés financiers (AEMF) – ont publié la version initiale en janvier 2024 et devraient finaliser les RTS d’ici la fin de l’année. Après que les AES auront soumis les RTS définitives à la Commission européenne, les normes seront ratifiées par le Parlement et le Conseil.

L’application des RTS et le contrôle de leur respect incombent aux autorités nationales compétentes respectives, qui n’ont pas encore été désignées. L’application commencera une fois que les autorités auront été désignées et que la date limite de janvier 2025 aura été dépassée.

Principales conditions à remplir de la loi DORA

Le règlement DORA définit les conditions de sécurité applicables aux réseaux et aux systèmes informatiques des institutions financières et de leurs fournisseurs tiers. Ces conditions à remplir couvrent quatre aspects majeurs de la sécurité des TIC :

  • Gestion des risques liés aux TIC (chapitre II). Mettre l’accent sur la responsabilité de la gestion en matière de perturbations des TIC et établir un cadre commun pour détecter, identifier, gérer et atténuer les menaces liées aux TIC.
  • Gestion, classification et signalement des incidents liés aux TIC (chapitre III). Normaliser les obligations de signalement des incidents liés aux TIC et élargir la portée des incidents à signaler aux autorités.
  • Tests de résilience opérationnelle numérique (chapitre IV). Rendre obligatoires les tests de résilience basés sur les risques des systèmes TIC critiques, avec des tests de pénétration avancés axés sur les menaces (TLPT), à effectuer au moins chaque trois ans.
  • Gestion des risques liés aux tiers dans le domaine des TIC (chapitre V). Exiger des institutions financières qu’elles établissent des règles de surveillance des risques pour leurs fournisseurs tiers, y compris des dispositions relatives aux risques dans leurs contrats, et imposer des sanctions en cas de non-respect.
  • Partage d’informations (chapitre VI). Mise en place de dispositifs de partage d’informations permettant aux entités financières d’échanger leurs informations et renseignements sur les cybermenaces afin de sensibiliser aux nouvelles menaces et de partager des stratégies d’atténuation des risques.

Qui doit se conformer à la loi sur la résilience opérationnelle numérique ?

Organisations couvertes par la DORA

Les institutions financières et les entités dont les activités sont essentielles pour l’infrastructure du secteur financier relèvent du champ d’application de la DORA :

  • Établissements de crédit et de paiement
  • Établissements de monnaie électronique
  • Prestataires de services liés aux crypto-actifs
  • Entreprises d’investissement et gestionnaires de fonds d’investissement alternatifs
  • Compagnies d’assurance et de réassurance et intermédiaires
  • Plateformes de négociation et référentiels centraux
  • Fonds de pension
  • Dépositaires centraux de titres, contreparties centrales et référentiels de titrisation
  • Prestataires de services, y compris les services tels que les informations sur les comptes, la communication de données, la gestion, le financement participatif
  • Agences de notation de crédit
  • Administrateurs d’indices de référence critiques
  • Fournisseurs de services TIC tiers, y compris les fournisseurs de cloud

Risques liés à la non-conformité avec la DORA

La DORA autorise les États membres à décider de sanctions administratives ou de mesures correctives en cas de non-conformité. La loi permet également aux États membres d’appliquer des sanctions pénales pour les infractions relevant du droit pénal national.

Ainsi, la DORA définit les mesures minimales que les États membres peuvent prendre pour garantir la mise en œuvre effective de ses lignes directrices, notamment la publication d’avis publics et, dans certains cas, la demande de cessation temporaire ou définitive de toute activité non conforme.

Le règlement DORA habilite également les AES à désigner les prestataires de services informatiques tiers essentiels pour le secteur financier et à nommer un superviseur principal pour chaque prestataire essentiel. Les superviseurs principaux disposent des mêmes pouvoirs que les autorités compétentes et peuvent exiger des mesures correctives et des sanctions de la part des prestataires informatiques non conformes. La DORA autorise les superviseurs principaux à infliger des amendes pouvant atteindre 1 % du chiffre d’affaires quotidien moyen mondial du prestataire informatique au cours de l’année précédente. Cette amende peut être infligée quotidiennement pendant une période maximale de six mois ou jusqu’à ce que la conformité soit atteinte.

Impact de la DORA sur les entités financières et les prestataires tiers

Même si les normes réelles n’ont pas encore été finalisées, la DORA définit les conditions à remplir et les recommandations sur la manière dont le secteur financier devrait normaliser ses pratiques de gestion des TIC et ses mesures de sécurité.

Si vous êtes un fournisseur informatique tiers, tel qu’un fournisseur de cloud, votre première étape consiste à déterminer si vous êtes considéré comme critique au sens de l’article 31 (section II). Les fournisseurs critiques sont soumis à la réglementation DORA au même titre que les autres entités financières.

La DORA exige des institutions financières qu’elles évaluent le risque lié aux fournisseurs tiers et qu’elles stipulent la gestion des incidents dans les contrats de service. Ainsi, en tant que fournisseur non critique travaillant avec des organismes financiers, vous serez tenu d’atténuer les risques susceptibles d’avoir un impact sur l’organisme financier.

Ajustements opérationnels requis par la DORA

La DORA met l’accent sur la gestion des perturbations informatiques et exige des institutions financières qu’elles élaborent et maintiennent un cadre complet pour atténuer les risques informatiques. Ce cadre doit inclure les éléments suivants :

  • Définition des rôles et responsabilités de la gestion et du personnel concerné
  • Évaluation régulière des risques liés aux TIC afin d’identifier et de surveiller les risques dans l’ensemble des systèmes, processus et actifs TIC
  • Surveillance continue des systèmes TIC afin de détecter les menaces potentielles
  • Procédures structurées et détaillées pour prévenir, gérer et répondre aux incidents TIC, y compris les plans d’intervention en cas d’incident et de continuité des activités
  • Mise à jour et amélioration continues des pratiques et des mesures sur la base de l’analyse des incidents
  • Protocoles de communication des incidents à l’intention des clients et des autres parties prenantes, tant externes qu’internes, afin de garantir la transparence et la confiance en cas de perturbations des TIC
  • Protocoles clairs pour signaler les incidents aux organismes de réglementation et autres entités concernées en fonction de la gravité de l’incident

Pratiques renforcées en matière de gestion des risques

Outre la surveillance continue des risques liés aux TIC, la DORA impose des tests réguliers des systèmes et des actifs pour évaluer leur exposition aux risques liés aux TIC. Les institutions financières deviennent responsables des risques associés aux prestataires de services TIC tiers et doivent traiter les cas de non-conformité de ces derniers. Plus précisément, la DORA exige des entités financières qu’elles incluent des dispositions relatives à la gestion des risques liés aux TIC dans leurs contrats avec les prestataires avec lesquels elles travaillent.

La loi souligne l’importance des stratégies de prévention, qui comprennent le test des mesures de résilience et de sécurité existantes afin d’identifier les vulnérabilités des systèmes et des protocoles, ainsi que l’analyse et le signalement post-incident. La DORA encourage également l’apprentissage à l’échelle du secteur et l’organisation d’événements permettant aux institutions financières de partager leur expérience et leurs connaissances.

Normes renforcées en matière de cybersécurité et de protection des données

La DORA reconnaît que la cybersécurité et la protection des données sont les principaux facteurs qui influent sur la résilience opérationnelle d’une organisation et exige des entités financières qu’elles :

  • mettent en œuvre des mesures de sécurité telles que des contrôles d’accès et le chiffrement
  • élaborent des plans de continuité des activités et de reprise après sinistre
  • utiliser des outils pour effectuer la surveillance continue des menaces informatiques et détecter les logiciels malveillants en temps réel
  • veiller à mettre à jour régulièrement les logiciels et le matériel afin de réduire les vulnérabilités
  • effectuer régulièrement des évaluations de vulnérabilité, notamment des tests de pénétration et des tests basés sur des scénarios

    Pour les environnements critiques et les zones à haut risque, les entités sont tenues d’exécuter périodiquement des tests avancés, tels que des tests de type « red team », et peuvent même être tenues de participer à des exercices de test à l’échelle du secteur.

  • signaler rapidement les incidents aux parties prenantes et aux autorités à des fins de transparence pendant les incidents et pour permettre à d’autres organisations de tirer des enseignements des incidents

Avis d’experts sur la loi sur la résilience opérationnelle numérique

Points de vue de professionnels de la cybersécurité

« La DORA exige des institutions financières qu’elles élaborent une politique de sécurité des données appropriée et un réseau robuste basé sur une approche fondée sur les risques. Les pratiques spécifiées par la DORA sont-elles nouvelles dans le secteur ? Non, elles existent depuis des décennies. Cependant, malgré le risque croissant de cyberattaques telles que le ransomware, certaines organisations n’ont pas encore mis en œuvre ou n’ont mis en œuvre que partiellement les mesures de sécurité les plus élémentaires », déclare Sergei Serdyuk, vice-président chez NAKIVO.

Prévisions pour l’avenir de la DORA

« La DORA ouvre la voie à une cybersécurité renforcée dans le secteur financier. Et nous espérons qu’avec le temps, cette réglementation s’étendra également à d’autres secteurs. Avec la numérisation mondiale et les progrès de l’IA, de plus en plus d’industries et d’organisations sont exposées à des risques liés à la cybersécurité. Dans de nombreux cas, cela ne signifie pas une perte individuelle pour une organisation, qu’elle soit financière ou en termes de réputation, mais un risque accru de perturbations sectorielles et intersectorielles en raison des interdépendances entre les organisations. » —Sergei Serdyuk, vice-président chez NAKIVO.

Étapes pour garantir la conformité à la DORA avec NAKIVO

La DORA accorde une attention particulière aux procédures de sauvegarde et de réplication (articles 11-12), car elles ont une incidence directe sur la disponibilité des services, la continuité et la sécurité des données de l’entreprise. La DORA oblige les entités à garantir la sécurité du transfert des données et à minimiser le risque de corruption et de perte de données, ainsi que les mauvaises pratiques de gestion des données et les erreurs humaines.

NAKIVO Backup & Replication est une solution complète de protection des données qui vous permet de sauvegarder, répliquer, configurer et automatiser les workflows de reprise après sinistre et de surveiller les charges de travail à partir d’une seule interface web.

La solution prend en charge les environnements virtuels, cloud, physiques, NAS, Saas et hybrides, ce qui la rend particulièrement adaptée pour aider les entités financières de différentes tailles à garantir une protection des données de premier ordre. La solution fonctionne de manière transparente avec différents types de stockage, notamment les appliances de déduplication et les appliances NAS, les clouds publics, les plateformes cloud compatibles S3 et les bandes magnétiques, afin de garantir le niveau de flexibilité requis pour répondre aux différents besoins commerciaux et de conformité.

The NAKIVO solution’s advanced dashboard to monitor all data protection activities

Réalisation d’une évaluation initiale de la conformité

Effectuez une analyse des écarts afin d’identifier les domaines dans lesquels des améliorations peuvent être nécessaires pour se conformer à la réglementation DORA. Concentrez-vous sur les 4 domaines clés mentionnés ci-dessus :

  • Gestion des risques liés aux TIC
  • Gestion, classification et signalement des incidents liés aux TIC
  • Tests de résilience opérationnelle numérique
  • Gestion des risques liés aux tiers dans le domaine des TIC

Élaboration d’une stratégie de conformité à la directive DORA

Lors de l’élaboration d’une stratégie de conformité à la directive DORA, il convient d’établir une feuille de route annuelle définissant les étapes, les objectifs et les priorités. La stratégie variera en fonction de la complexité de l’infrastructure informatique de l’organisation et de son niveau actuel de résilience face aux menaces numériques.

La DORA exige des organisations financières qu’elles disposent de plans de continuité des activités, de plans d’intervention et de reprise des TIC appropriés et qu’elles procèdent à une évaluation de l’impact sur les activités (BIA) de leur exposition à des perturbations graves.

La DORA exige également des organisations qu’elles disposent d’au moins un site secondaire distant (un site de reprise après sinistre) afin d’assurer la continuité des opérations commerciales critiques lorsque le site principal est hors service. Afin de minimiser les temps d’arrêt et de limiter les perturbations ou les pertes, une organisation doit élaborer un plan de reprise après sinistre qui comprend les éléments suivants :

  • La portée de la sauvegarde et de la reprise après sinistre en fonction de l’importance des composants logiciels et matériels et des données stockées ;
  • Dépendances entre les composants informatiques et ordre de reprise des machines virtuelles ;
  • Objectifs de récupération (temps de récupération et points de récupération) pour chaque fonction en fonction de son importance et de son impact global sur les opérations commerciales (cela signifie également que vous devez disposer d’un plan de rotation des points de récupération basé sur la fréquence des mises à jour des données et leur importance) ;
  • Rôles et responsabilités attribués au personnel ;
  • Conditions à remplir pour un site de reprise après sinistre secondaire afin de garantir une capacité suffisante en termes de processeurs, de mémoire, de disque et de bande passante réseau pour une transition en douceur.

Naviguer dans la conformité DORA avec NAKIVO

Les fonctionnalités avancées de la solution NAKIVO peuvent vous aider à minimiser les efforts de conformité DORA et à automatiser la plupart des processus liés à la cybersécurité. Pour vous aider à mieux naviguer parmi tous les cas d’utilisation, nous illustrons ici comment vous pouvez répondre aux conditions à remplir pour la sécurité de la DORA en utilisant la solution NAKIVO :

  • Résilience des données (article 9). La solution NAKIVO vous permet de respecter facilement la règle de sauvegarde 3-2-1 pour une meilleure résilience des données. Selon cette règle, vous devez stocker au moins 3 copies de vos données de sauvegarde dans 3 emplacements différents ; 2 copies doivent être hors site et 1 dans le cloud.
  • Intégrité des données (article 12). Grâce aux sauvegardes et réplicas cohérentes avec les applications, vous avez l’assurance que les données applicatives sont cohérentes, même lorsque la sauvegarde est effectuée pendant que l’application est en cours d’exécution. La solution prend également en charge les sauvegardes de bases de données Oracle, d’applications Microsoft telles qu’Active Directory et Exchange Server, ainsi que des applications et services Microsoft 365 (Teams, Exchange Online, SharePoint Online, OneDrive for Business).
  • Résilience face au ransomware et à d’autres cybermenaces (article 9). La solution NAKIVO vous permet de créer des sauvegardes immuables localement, dans le cloud ou sur des appliances HYDRAstor afin de garantir que personne ne puisse modifier ou supprimer vos données. Vous pouvez également tirer parti de l’air-gaping en envoyant des copies de sauvegarde sur bande magnétique ou tout autre support de stockage amovible auquel les cybercriminels ne peuvent pas accéder via le réseau. La solution vous permet également d’analyser les sauvegardes à la recherche de logiciels malveillants avant la récupération des données, afin que vous puissiez être sûr que les données de sauvegarde ne sont pas infectées.
  • Chiffrement de bout en bout (article 9). Avec la solution NAKIVO, vous pouvez effectuer le chiffrement des données de sauvegarde avant qu’elles ne quittent la machine source et effectuer le chiffrement du réseau et des référentiels de sauvegarde afin de garantir la sécurité de vos données pendant leur transfert et leur stockage.
  • Prévention des accès non autorisés et mécanismes d’authentification forte (Article 9). Vous pouvez protéger toutes les sauvegardes et tous les workflows de protection des données grâce à un contrôle d’accès basé sur les rôles et à une authentification multifactorielle.
  • Surveillance des menaces en temps réel (Article 10). La meilleure façon de garantir la détection en temps réel des anomalies est d’utiliser un logiciel anti-malware complet. Cependant, la solution NAKIVO dispose de fonctionnalités qui peuvent vous aider à améliorer la surveillance des menaces. Par exemple, grâce à la fonctionnalité de surveillance informatique pour VMware, vous pouvez détecter les problèmes et les activités suspectes avant qu’ils ne deviennent plus graves. Cette fonctionnalité permet de réaliser la surveillance en temps réel de toutes les mesures de performance, y compris l’utilisation du processeur, de la mémoire vive et du disque, afin que vous puissiez rapidement détecter toute consommation inhabituelle.
  • Résilience opérationnelle face aux risques liés aux TIC et temps d’arrêt minimal en cas de perturbations (articles 11-12). La fonctionnalité avancée de reprise après sinistre de NAKIVO vous permet d’automatiser et de tester les workflows de reprise après sinistre . Vous pouvez configurer des séquences automatisées et les déclencher en un seul clic en cas de sinistre afin de basculer instantanément vers les réplicas situées sur un site secondaire.
  • Test régulier des workflows et protocoles de reprise après sinistre (article 12). Pour garantir une récupération fluide et la réalisation des objectifs en cas de sinistre, vous pouvez planifier des tests réguliers des workflows de basculement et de restauration automatique dans un mode test qui ne perturbe pas vos activités de production. Ces tests vous permettent de vérifier la séquence des actions et la connectivité réseau.

Résumé

La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act) constitue un bond stratégique vers un secteur financier plus résilient et des opérations financières plus sécurisées. En imposant la mise en œuvre des bonnes pratiques en matière de cybersécurité et en encourageant l’apprentissage et la sensibilisation, cette loi aide les institutions financières à faire face aux menaces actuelles et aux défis futurs, tout en établissant une référence pour d’autres secteurs.

Intégrez NAKIVO à votre parcours vers un système TIC plus résilient.

See the Solution in Action

See the Solution in Action

Get a personalized demo of any feature to get started in no time. Our engineers are here to help and answer any questions you may have.

Book a Free Demo

Les gens qui ont consulté cet article ont également lu

Picture
Différence entre locataire unique et locataires multiples dans AWS
Picture
Configuration d’un relais SMTP Office 365 avec des connecteurs TLS
Picture
Configuration initiale de l’hôte VMware ESXi