AVIS D’EXPERT – Comprendre DORA est déjà un défi en soi. Le texte consacre, au cœur du secteur de la banque-assurance et sous la menace cyber, la continuité des services financiers en Europe.
Seules l’anticipation et la prudence garantiront le maintien de l’agrément, explique Vladimir Kolla, codirecteur de Patrowl, éditeur de la solution d’Offensive Security-as-a-Service éponyme (cartographie et test des actifs exposés sur Internet, identification des vulnérabilités et défauts de configuration et plan de remédiation)
DORA, à la recherche de la continuité du système bancaire
L’important cumul d’incidents de sécurité ces 10 dernières années a mené l’Union Européenne à adopter le règlement sur la résilience opérationnelle numérique du secteur financier, dit DORA. La conjonction de crises économiques en chaîne et de crises informatiques comme en 2017 avec NotPetya a conduit les établissements financiers à prendre des mesures drastiques de sécurité de leurs systèmes. Cette attaque massive fut le premier grand déclencheur d’une prise de conscience remarquable que la législation a ensuite consacrée.
La notion de vulnérabilité et sa détection obligatoire sont certainement les mots d’ordre à retenir de ce texte. Adopté et publié fin 2022, Dora vise dans toute l’Europe 22 000 entités financières. 15 000 prestataires spécialisés dans la fourniture de services au secteur financier sont directement concernés et devront se mettre en conformité avant 2025.
L’objectif de cette législation n’est pas spécifiquement la sécurité des réseaux et des systèmes d’information mais précisément le maintien de la fourniture en continu des services financiers et de leur qualité.
Banque-assurance : tous concernés ou presque par DORA
Le concept de résilience opérationnelle numérique repose sur le fait d’accepter de perdre en efficience pour gagner en résistance, c’est-à-dire s’organiser pour continuer malgré les cyberattaques. Seules ne sont pas concernées les microentreprises et les toutes petites entreprises de moins de 10 salariés ou réalisant moins de 2 millions de CA. Mais le plus complexe sera d’identifier les prestataires IT du secteur financier touchant à des fonctions critiques ou importantes, lesquels par ailleurs ne bénéficieront pas de l’exception « toute petite entreprise ».
La liste des organisations impliquées est extrêmement longue et témoigne de la modernité du texte européen. On citera notamment les services de cryptoactifs, les agences de notation de crédit, les institutions de retraite professionnelle, les gestionnaires de fonds d’investissement alternatifs, les plateformes de négociation, etc.
Un texte très avant-gardiste sur la sécurité de l’information
DORA reste un texte long, complexe à appréhender mais également novateur. Il repose sur 6 piliers principaux, représentant les étapes de mise en conformité, et dont la finalité est très clairement la sécurité de la donnée.
Les obligations de gouvernance confient les responsabilités et les décisions en matière de cybersécurité au COMEX et à la direction générale, qui doivent assumer le traitement des risques.
Les mesures techniques s’enchaînent en relation avec une litanie de clauses spécifiques à retrouver formellement dans les futurs contrats IT.
Les audits internes et externes sont généralisés, pour la quasi-totalité des sujets intéressant de près ou de loin la cybersécurité. Rejoignant la notion d’audits, les tests de résilience opérationnelle deviennent obligatoires. Enfin, la formation à tous les niveaux est exigée, documentée et justifiée.
Le processus est un cycle que les organisations répètent chaque année, la menace étant très évolutive.
DORA fait évoluer les paradigmes de la sécurité
La protection, la préservation de la donnée trouve son illustration dans la rédaction obligatoire d’une PSI, politique de sécurité de l’information et non plus d’un PSSI, plan de sécurité des systèmes d’information.
Autre changement majeur, la sécurité active passe au premier plan. Au-delà des menaces déjà identifiées, il s’agit d’être capable de réagir mieux et plus vite qu’avant, dès la détection d’une nouvelle menace, sans attendre d’éventuelles publications de documentation la concernant. Objectif ultime : le temps réel. C’est l’esprit de la législation, complété de cycle de tests et d’amélioration continue, au même rythme que l’évolution agressive de la menace.
Enfin (ou presque), les plans de procédures doivent être entièrement auditables, mais surtout audités. Les organisations ont l’obligation de démontrer que les actifs de TIC (c’est-à-dire logiciels et matériels) et les actifs informationnels (la donnée, en clair) sont surveillés et protégés à l’état de l’art, et ce chaque année.
Quid des organisations certifiées ISO/IEC 27001:2013 ou 2022 ?
Le respect des dispositions de DORA devient une condition d’octroi (ou de maintien) de l’agrément. D’application directe, DORA entre en vigueur dans un peu plus d’un an mais certaines dispositions doivent encore être précisées jusqu’en 2025, notamment des détails sur les mesures techniques de détection de vulnérabilités.
En attendant ces ultimes précisions, il s’agit pour les organisations financières et leurs prestataires d’avancer et de couvrir ce qui peut l’être déjà. L’application des recommandations d’hygiène numérique de l’ANSSI permet de répondre à un large pan des attentes. Pour les organisations financières les plus matures, DORA représente principalement une adaptation de leurs process et l’adjonction du concept (et des technologies) de surveillance en continu des actifs. Ainsi, les organisations certifiées ISO/IEC 27001:2013 voire 2022 sur un large périmètre remplissent leurs obligations de conformité à DORA à 90 %.
Il restera à suivre avec attention les prochaines publications des autorités européennes de surveillance.
Il est indispensable de ne pas faire reposer tout l’édifice sur les seules épaules du RSSI. DORA nécessite l’engagement des métiers et le sponsoring du plus haut niveau de l’organisation. La détection des vulnérabilités, la veille, l’analyse de risque doivent être, elles, réalisées en continu, donc automatisées par définition. Outre la continuité opérationnelle, l’automatisation permet d’apporter la preuve de l’effectivité et de l’exhaustivité des mesures de surveillance et donc de leur conformité.
Vladimir Kolla
