Pour gérer vos consentements :
Actualités: ENTREPRISE

[Avis d’expert] Renforcer la résilience opérationnelle : les clés de la conformité à DORA

Chaque semaine, la rédaction de ChannelBiz  donne la parole à des spécialistes IT et Tech, qui apporte un éclairage plus personnel sur l’actualité et les tendances du Channel. Cette semaine, ce sont Cyril Amblard-Ladurantie, Responsable Marketing des produits GRC – Gouvernance, Risque & Conformité – MEGA International et Imad Abounasr, Associé cybersécurité chez EY, qui se prêtent à l’exercice.

La montée en puissance des cybermenaces et l’émergence de nouvelles réglementations

DORA (Digital Operational Resilience Act) est le nouveau règlement européen d’application directe dont l’entrée en vigueur est prévue le 17 janvier 2025. Son objectif principal est de renforcer la résilience opérationnelle des acteurs financiers face aux cybermenaces. Parmi les défis majeurs à relever pour se conformer à DORA, on cite d’abord le délai imparti pour se conformer aux attentes des régulateurs, étant donné que la réglementation couvre un large éventail de sujets complexes.

Un autre des enjeux de conformité réside dans la nécessité de formaliser de nouveaux processus, basée sur une approche par les risques, relativement nouvelle. Cela implique d’identifier les processus critiques de l’entreprise, puis de définir la liste des risques, des applications et des tiers qui soutiennent ces processus métiers afin de prioriser les actions. Enfin, la conformité à la réglementation induit la gestion du risque tiers : dans un monde de plus en plus ouvert aux partenariats externes, il est crucial de maîtriser les risques liés aux prestataires de services tiers. Ces derniers peuvent parfois gérer des processus critiques entiers. DORA impose des obligations strictes en matière de sélection, de surveillance, de contractualisation.

DORA dans le paysage réglementaire

DORA, NIS 2, et les autres réglementations cyber partagent un objectif commun. Il s’agit d’élever le niveau de sécurité, mais aussi de maturité des organisations en matière de cybersécurité. Toutefois, elles se distinguent par leurs périmètres d’application et leurs exigences spécifiques. En termes de périmètre d’application, DORA s’applique spécifiquement au secteur financier, tandis que NIS 2 couvre 18 secteurs d’activité. D’autres réglementations ciblent des domaines plus précis, comme la loi de l’Union européenne (UE) sur la cyber-résilience (CRA), qui concerne les produits ou logiciels avec un composant numérique.

Côté exigences, DORA définit des exigences détaillées en matière de résilience opérationnelle et de gestion des risques TIC, couvrant un champ d’application plus large que la directive européenne NIS2. Elle se positionne comme la « lex specialis » pour la résilience opérationnelle numérique du secteur financier. Ensemble, ces réglementations contribuent à créer un cadre réglementaire complet et cohérent pour la cybersécurité en Europe.

Les architectes, des acteurs clés dans la mise en œuvre de DORA

DORA place la responsabilité ultime de la gestion du risque TIC (Technologies de l’Information et de la Communication) au niveau de la direction générale. Cela implique la mise en place d’une gouvernance et d’une stratégie globale autour de ce sujet. La direction générale doit également veiller à ce que les mesures de gestion des risques soient correctement mises en œuvre, contrôlées. Côté opérationnel, la mise en conformité DORA exige la collaboration de plusieurs services, fonctions au sein des organisations.

Parmi les acteurs clés figurent la DSI, les fonctions risque, les métiers, la sécurité, les achats. Chaque service apporte son expertise spécifique, contribuant à une approche globale de la gestion des risques TIC. Les architectes jouent un rôle central dans le dispositif DORA par leur compréhension approfondie de l’architecture applicative et fonctionnelle. Ils font le lien entre la cartographie des processus métiers et l’architecture des systèmes d’information, permettant ainsi d’identifier les risques TIC et de prioriser les mesures de mise en œuvre, conformément aux exigences de DORA.

Anticiper et collaborer : les clés d’une mise en conformité réussie

Pour se conformer à DORA, les acteurs du secteur financier doivent en premier lieu anticiper et planifier. DORA introduit de nouvelles exigences, et, de ce fait, nécessite une analyse approfondie mais aussi une adaptation des processus existants. Il est donc crucial de démarrer l’évaluation de la situation actuelle, puis de définir une feuille de route pour la mise en conformité. Pour ce faire, il est nécessaire de mobilier les ressources adéquates en s’accompagnant d’une équipe composée d’experts en sécurité, des risques, des métiers, de l’IT et des achats pour piloter le projet.

En second lieu, il est indispensable de saisir l’opportunité d’amélioration. DORA ne se limite pas à une simple conformité : le niveau de maturité de la résilience opérationnelle au sein de l’organisation doit donc être renforcée en réalisant une cartographie complète des processus métiers critiques et en identifiant les risques associés. Des liens clairs entre les risques IT et les risques métier doivent être établis, ce qui permettra une meilleure prise en compte des risques, mais aussi une allocation plus efficace des ressources.

DORA étant un processus continu, les équipes se doivent de mettre en place un programme de surveillance, des tests réguliers pour vérifier que les mesures de résilience restent efficaces face aux menaces en constante évolution. En somme, une approche proactive de la gestion des risques, qui adapte continuellement la stratégie en fonction des nouvelles exigences et des meilleures pratiques. En s’engageant activement dans la mise en conformité à DORA, les institutions financières sont protégées contre les cybermenaces tout en garantissant la continuité de leurs activités critiques.


 

Guilhem Therond

Articles récents

« Apporter des solutions simples à des menaces complexes » : Entretien avec Benoit Juvin, Responsable Channel de Barracuda

Le marché de la cybersécurité continue de se transformer à un rythme effréné, poussé par…

2 jours années

Avec sa Partner Sales Engineer Community, Barracuda entend fédérer la communauté des revendeurs et MSP

Barracuda, spécialiste des solutions de cybersécurité « cloud-first », lance sa Partner Sales Engineer Community.…

2 jours années

Distribution : Westcon-Comstor en croissance de 16% sur le 1er semestre 2024

Westcon-Comstor poursuit sa transition vers un modèle basé sur des revenus récurrents, s'appuyant notamment sur…

2 jours années

2,8 % de pertes de CA annuel : l’impact financier des cybermenaces pour les entreprises est connu

Dans le cadre d'une enquête mondiale regroupant 1 800 participants au total, 200 décideurs informatique…

2 jours années

Dell Tech Forum : à la découverte des dernières innovations IA de Dell

Lors du Dell Tech Forum, Dell Technologies est revenue sur les dernières avancées de sa…

3 jours années

Avec TECHx : TD SYNNEX part à la rencontre de ses revendeurs en France

TD SYNNEX France introduit TECHx, un nouveau format d’événements destiné à rassembler l’écosystème IT, incluant…

3 jours années