Ce que la loi sur la résilience opérationnelle numérique signifie pour vous

Nous sommes à un moment critique pour la transformation numérique. Chaque entreprise, sous une forme ou une autre, cherche à adopter et à intégrer les technologies émergentes, qu’il s’agisse d’intelligence artificielle, d’architectures de cloud hybride ou d’analyse de données avancée, pour obtenir un avantage concurrentiel et atteindre ses objectifs opérationnels clés. Mais même si de nombreux changements et enthousiasmes sont en cours, les risques et vulnérabilités en matière de sécurité ont continué à suivre cette innovation. Les cyberattaques et les violations de données peuvent faire des ravages sur les systèmes informatiques d’une entreprise, entraînant des coûts énormes pour réparer les dégâts et un impact à long terme sur les clients qui pourraient entraver la croissance d’une entreprise pour les années à venir.

Alors que les risques de sécurité deviennent de plus en plus complexes, les agences gouvernementales mettent l’accent sur de nouvelles réglementations pour aider à définir ce que les entreprises doivent faire pour protéger leur infrastructure informatique tout en établissant des normes de sécurité informatique. Des éléments tels que le California Consumer Privacy Act (CCPA) ou le Règlement général sur la protection des données (RGPD) ont déjà eu un impact considérable sur l’urgence de donner la priorité aux infrastructures de sécurité.

Dans ce contexte, examinons l’une des politiques de sécurité les plus récentes destinées à apporter encore plus de changements dans la façon dont nous pensons et abordons la sécurité informatique : la Loi sur la résilience opérationnelle numérique (DORA). Ce texte législatif de l’Union européenne (UE) exige que les entreprises se mettent en conformité d’ici janvier 2025, ce qui signifie qu’elles disposent d’un peu moins d’un an pour s’assurer qu’elles sont prêtes.

Mais que signifie exactement cette politique pour la sécurité informatique ? Et comment les entreprises peuvent-elles s’assurer qu’elles sont prêtes ?

Qu’est-ce que DORA ?

Introduite en 2020, puis promulguée en 2022, DORA vise à établir un niveau cohérent et commun de résilience opérationnelle numérique parmi les entreprises de services financiers dans l’UE ou faisant des affaires avec celle-ci. Le but ultime étant ici de développer une approche favorisant une structure standardisée du développement technologique. Le règlement exige que les entités financières de l’UE et leurs principaux fournisseurs de TIC adoptent des capacités complètes de gestion des risques liés aux technologies de l’information et des communications (TIC) dans leurs processus de sécurité. La conformité à DORA nécessitera le plein respect de cinq domaines d’intérêt critiques décrits dans le règlement :

• Gestion des risques TIC: Ce guide établit un cadre standard pour ce que les organisations doivent faire en réponse à un incident de sécurité informatique.
• Signalement des incidents majeurs liés aux TIC: La réglementation définit la manière dont les organisations devront désormais classer et signaler les incidents de sécurité liés aux TIC.
• Tests de résilience opérationnelle numérique: Fournit des conseils pour tester les stratégies de récupération existantes afin d’identifier les vulnérabilités potentielles.
• Partage d’informations et de renseignements: oblige les entreprises à partager des informations sur les cybermenaces et les vulnérabilités à mesure qu’elles sont identifiées.
• Gestion du risque tiers informatique: Charge les entreprises de s’assurer que tout fournisseur tiers est aligné sur ses capacités de sécurité et de résilience numérique.

Alors, qui doit adhérer à DORA ? Bien qu’il s’agisse d’une politique européenne ayant des conséquences pour les entreprises européennes, son impact affectera sans aucun doute les entreprises du monde entier. DORA met fortement l’accent sur les organisations financières de l’UE – des banques aux compagnies d’assurance – mais ce ne sont pas les seules entreprises qui devront adhérer à cette politique. Toute entreprise qui travaille avec des banques, des assureurs ou des organismes financiers basés dans l’UE devra également maintenir sa conformité, même si elle n’est pas réellement basée dans l’UE.

Se préparer

Le temps presse pour les entreprises de préparer leur infrastructure de sécurité informatique à se conformer aux réglementations spécifiées dans DORA. Alors, sans perdre de temps, par où commencer ? Il existe plusieurs domaines clés pour améliorer la gestion des risques, notamment :

• Définir des rôles et des responsabilités clairs : DORA souligne que les organes de direction devront maintenir un rôle actif dans l’adaptation de leur cadre de gestion des risques liés aux TIC et de leur stratégie globale de résilience opérationnelle.
• Mettre en œuvre un examen périodique de la politique de continuité des activités TIC et de la politique de reprise après sinistre TIC : La mise en œuvre d’une cadence d’examen régulière des politiques de continuité des activités TIC et de reprise après sinistre est cruciale pour une surveillance efficace de la gestion des risques. Selon DORA, « les entités financières doivent régulièrement revoir leur politique de continuité des activités TIC et leur plan de reprise après sinistre TIC en tenant compte des résultats des tests effectués conformément aux recommandations découlant des contrôles d’audit ou des contrôles de surveillance ».
• Examiner systématiquement le budget lié à la satisfaction des besoins de résilience opérationnelle numérique : Se préparer à un nouvel ensemble de réglementations nécessite les ressources appropriées. À titre d’exemple, DORA nécessite une fonction de gestion de crise qui met en œuvre des procédures claires pour gérer les communications de crise internes et externes.
• Mettre en œuvre des outils et des processus de sécurité TIC : Toute préparation axée sur DORA doit prendre en compte les outils et les processus. Les organisations doivent prendre en compte les systèmes existants tels que le mainframe ainsi que les vulnérabilités qui pourraient exposer l’entreprise à des risques excessifs.

À l’avenir, les entreprises devront examiner de plus près les environnements informatiques qu’elles utilisent. Tests d’intrusion réguliers, évaluations d’intégrité, évaluations de conformité et gestion des vulnérabilités, comme Programme d’analyse des vulnérabilités Rocket® z/Assure®, sera essentiel au maintien du type de conformité rigoureuse exigée par DORA. Avec les solutions et processus appropriés en place, les entreprises peuvent être proactives dans la détection des vulnérabilités dans leurs environnements informatiques et s’assurer qu’elles sont affrontées de front avant qu’une violation ne se produise.

Votre infrastructure de sécurité informatique est-elle prête pour les futures réglementations ? Avec Logiciel de fuséesoyez assuré que vous disposerez de la technologie, de l’expertise, des services et du support nécessaires pour une résilience opérationnelle numérique et une surveillance solide de la gestion des risques.