Barracuda full logo

Prêt, partez, DORA

Thèmes:
21 août 2024
|
Kevin Williams

Le règlement DORA (Digital Operational Resilience Act), qui crée un cadre réglementaire sur la résilience opérationnelle numérique, est lentement mis en œuvre en Europe depuis 2023, comme je l’ai souligné dans cet article du mois de mars. D’ici janvier 2025, il sera pleinement en vigueur. Nous pourrions nous moquer de ce règlement en rappelant qu’il porte le même nom qu’un célèbre personnage de dessin animé. Cependant, dans le cas qui nous concerne, DORA est un sujet bien plus sérieux.

Il s’agit d’un règlement européen, mais les entreprises basées aux États-Unis qui mènent des activités en Europe doivent s’y conformer. Pour résumer, le règlement DORA établit des normes contraignantes pour les entités financières et leurs fournisseurs de services technologiques tiers afin de gérer les risques liés aux technologies de l’information et de la communication (TIC).

Marshall England, vice-président du marketing chez FortifyData, une société spécialisée dans la gestion des risques cybernétiques, estime que les entreprises et les fournisseurs de services gérés (MSP) doivent être prêts pour le règlement DORA.

« Les fournisseurs de services financiers et leurs partenaires MSP devront peaufiner leur stratégie globale de gestion des cyberrisques, de gestion des risques fournisseurs et de signalement des incidents qui pourront être transmises aux régulateurs européens », déclare Marshall England.

Le contrôle de la conformité et de la réglementation va s’intensifier

Alina Timofeeva, experte en cybersécurité et conseillère en matière de risques basée à Londres, estime que les récentes perturbations mondiales ne font que renforcer l’importance du règlement DORA. « Je prévois un meilleur respect des réglementations existantes, y compris du règlement DORA, et plus de sévérité de la part des régulateurs », explique Alina Timofeeva, ajoutant qu’actuellement, la conformité varie.

« Je m’attends à ce que, lors des discussions avec les régulateurs, les entreprises veuillent démontrer au moins une conformité totale de niveau 3 avec les principaux risques et les cadres de contrôle existants ou proposés, au lieu de se contenter de cocher des cases », explique Alina Timofeeva. En outre, elle indique que les banques doivent accélérer leur préparation au règlement DORA. Elles doivent procéder à des auto-évaluations afin de comparer leurs performances aux exigences, identifier leurs lacunes et prendre les mesures appropriées pour y remédier.

« Après avoir effectué une évaluation de l’état de préparation au règlement DORA et consulté la haute direction et le conseil d’administration sur la résilience numérique afin de les sensibiliser, j’imagine que les étapes clés seraient le renforcement de la résilience et la résilience de bout en bout », confie-t-elle.

Une plus grande prise de conscience et un élargissement des compétences sont nécessaires

Voici quelques domaines de résilience sur lesquels se concentrer :

  1. Développez et améliorez stratégiquement le cadre de résilience opérationnelle, la gouvernance et le modèle opérationnel.
  2. Identifiez les services clés de l’entreprise et cartographiez-les pour comprendre leur dépendance vis-à-vis des données, de la technologie, des tiers, du personnel et des processus. Ces informations peuvent ensuite être utilisées pour élaborer des stratégies de résilience pour chacun de ces services.
  3. Renforcez les capacités de gestion des incidents afin d’améliorer et de normaliser les directives de gestion des incidents, avec l’intégration d’analyses (y compris l’analyse prédictive). Dans ce cadre, définissez une liste de signes d’alerte précoce, mettez en place des capacités permettant de suivre ces signes et établissez des protocoles de réponse aux incidents liés à des signes d’alerte précoce spécifiques.
  4. Définissez et mettez en place un programme de tests complet fondé sur une approche basée sur les risques. Cela comprend notamment des tests d’intrusion basés sur les menaces et des tests de lien avec la tolérance au risque des TIC.
  5. Définissez une stratégie claire à l’égard des tiers afin de garantir leur conformité. Examinez les contrats tiers existants et pertinents en utilisant une approche basée sur les risques. Tenez compte des rôles et des responsabilités clés, des risques et des contrôles du modèle de propriété partagée.

Selon Alina Timofeeva, les organisations doivent veiller à ce que leur conseil d’administration et la direction s’impliquent plus activement dans la gestion des risques liés aux TIC, car pour produire de solides rapports, il est nécessaire de comprendre les risques liés aux TIC.

Pour ceux qui ont besoin d’un rappel sur le règlement DORA, vous pouvez consulter le texte complet ici.

Remarque : cet article a été initialement publié sur SmarterMSP.

 

Kevin Williams

Kevin Williams est journaliste basé dans l'Ohio. Kevin a écrit pour diverses publications, notamment le Washington Post, le New York Times, USA Today, le Wall Street Journal, National Geographic et d'autres. Il a d'abord écrit sur le monde en ligne à ses débuts pour le magazine "Online Access", aujourd'hui disparu, au milieu des années 90.  Connectez-vous avec lui sur LinkedIn.

Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.