DORA : Digital Operational Resilience Act Bâtir le cadre juridique Européen de la résilience opérationnelle numérique
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
DORA : Digital Operational Resilience Act
Bâtir le cadre juridique Européen de la
résilience opérationnelle numérique
Avril 2021
Quelles exigences, quels impacts pour votre
organisation et comment vous y préparer ?
1
contact@99-advisory.com | www.99-advisory.fr
DORA : Digital Operational Resilience Act 1
DORA, quelles exigences et quels impacts pour votre organisation financière ?
CONTEXTE ET DÉFIS ACTUELS
Depuis la crise financière de 2008, le secteur financier fait face à un véritable risque systémique. Toutefois, le risque
systémique n’est pas seulement présent sur les activités financières, les évolutions technologiques et l’exposition de plus en
plus importante aux cyberattaques a engendré une réelle volonté des Régulateurs d’encadrer les pratiques en matière de
sécurité des SI et résilience en lien avec les Technologies de l’information et des communications.
Crise financière Protection des OIV EBA/GL/2019/04 (EU) N° 202/0266 (COD)
Marchés financiers pas assez Face à l’augmentation et sophistication Orientations finales sur la Digital Operational
intégrés, le risque informatique des attaques informatiques et leurs gestion des risques TIC et la Resilience Act DORA.
n’est pas considéré comme impacts potentiellement destructeurs les sécurité Règlement sur la résilience
Opérateurs d’Importance Vitale doivent
prioritaire opérationnelle numérique
sécuriser leurs SI
du secteur financier
2008 2013 2019
... 2016 2020… 2022…
Résilience opérationnelle Network Information Systems
Initiatives pour garantir la stabilité
EIOPA : gouvernance et de
Directive (NISD 2) gestion des risques liés aux TIC,
financière et instaurer un ensemble Assurer un niveau de sécurité élevé et
unique de règles prudentielles et de Cybersecurity Act adopté
commun pour les réseaux et les
conduite, harmonisées et applicables aux systèmes d’information de l’Union
entités financières dans toute l’Union européenne
européenne
DE LA RECOMMANDATION VERS LA NORMALISATION DU DORA va poser les normes européennes visant une
CADRE RÉGLEMENTAIRE DE LA RÉSILIENCE OPÉRATIONNELLE harmonisation des exigences clés en matière de résilience
NUMÉRIQUE opérationnelle numérique pour toutes les entités financières.
Les initiatives et le corpus réglementaire jusqu’à présent établi Les capacités et la résilience globale que les entités financières,
n’a pas été accompagné d’un cadre exhaustif applicable aux sur la base de ces exigences clés, contribueront à préserver la
risques informatiques ou opérationnels. stabilité et l’intégrité des marchés financiers de l’Union et donc
à assurer un niveau élevé de protection des investisseurs et des
consommateurs dans l’Union.
RÉSILIENCE OPÉRATIONNELLE NUMÉRIQUE
La capacité d’une entité financière à développer, garantir et réévaluer son intégrité opérationnelle d’un point de vue
technologique en assurant directement, ou indirectement par le recours aux services de tiers prestataires de services informatiques,
l’intégralité des capacités liées à l’informatique nécessaires pour garantir la sécurité des réseaux et des systèmes d’information
qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité
*CTPP : Critical Third Party Provider
PROPOSER LE PREMIER CADRE DE SURVEILLANCE UNIQUE AU NIVEAU DE L'UE CSP : Cloud Services Provider
Anticiper tout impact potentiel Identifier et superviser les
futur (définition ou hausse de la prestataires de services TIC jugés
sévérité des scénarios) « critiques » (CTPP et CSP)*
Tirer parti des possibilités offertes par
la technologie et l’innovation tout en
Optimiser les actions de atténuant les nouveaux risques
mise en conformité associés.
consolider et à mettre à niveau les
exigences en matière de risques 2
informatiquesDORA : Digital Operational Resilience Act 2
DORA, quelles exigences et quels impacts pour votre organisation financière ?
5 EXIGENCES POUR FONDER UN CADRE DE RÉFÉRENCE
P ROCESSUS LÉGISLATIF
Risques liés
Publication
aux TIC du projet de 2021-22
Règlement
Partage Rapport
d’incident Première
d’information 2021
Digital consultation
Publication des RTS
Operational 2020
et applicabilité du
Règlement
Resilience Précisions sur le projet
2019
Act et probable publication
en fin d’année
Risques
Tests de
résilience
liés aux
Le risque maximal qu’une Le niveau de risque qu’une
Tiers organisation est disposée à organisation est prête à
prendre pour chaque risque accepter dans la poursuite de
pertinent ses objectifs opérationnels
OBJECTIF IMPACT OPÉRATIONNEL
Limiter les perturbations causées • Mettre en place les principes de gouvernance*
Risques par les incidents avec le dispositif de • Quantifier la « risk tolerance » dans le scope du « risk apetite »
• Identifier les fonctions critiques et importantes*
TIC gestion et de surveillance des
• Déployer un dispositif de protection, prévention, détection, réponse
risques adapté et récupération des processus et actifs*
Développer le dispositif de gestion • Formaliser un dispositif de gestion des incidents TIC (prévenir,
Rapport des incidents TIC afin d’être en détecter, rétablir)*
capacité de réagir efficacement face • Aligner la méthode de classification des incidents (impact quantitatif /
d’incident qualitatif / géographique, criticité…)*
aux menaces actuelles
• Signaler les incidents majeurs dans les temps imposés*
Tester l’efficacité du cadre de gestion • Capitaliser sur les incidents majeurs passés et leurs impacts
Tests de des risques TIC en éprouvant les • Revoir la bibliothèque de scénarios en conséquence*
• Déployer un programme de conduite de test complet et itératif (test,
résilience dispositifs et répondre aux menaces
évaluation, plan d’actions)*
avec un minimum d’impact
• Mener des tests techniques et d’intrusion (redTeam, Pentest-TLPT…)
• Pouvoir de sanction de la part des Autorités Européennes de Surveillance
Proposer une vision holistique de la • Déployer une stratégie et une politique en matière de gestion des Tiers
Risques gestion des prestataires TIC TIC (CTPP et CSP)
Tiers notamment les prestataires de • Formaliser un registre des fournisseurs et prestations rendues*
fonctions critiques et essentielles • Mener une revue contractuelle (sécurité, concentration, stat sortie)*
• Evaluer les Tiers au regard des nouvelles exigences
Définir une stratégie de • Décrire le dispositif de partage d’information sur les incidents liés aux
Partage TIC
communication afin de promouvoir
d’informat- l’échange d’informations sur les
• Mettre en place des accords afin de garantir la confidentialité des
données échangées
ion cybermenaces entre établissements • Disposer d’un plan de communication envers les autorités de régulation
* Impacts opérationnels anticipables et réalisables via les programmes de cyber résilience sans attendre l’applicabilité de DORA
NEXT STEPS
DORA devrait être adoptée d’ici la fin de l’année 2021, selon les débats qui vont émaner et les entreprises devraient
disposer de 12 à 18 mois pour se mettre en conformité.
En parallèle, les autorités européennes devraient préciser certains aspects techniques d’application sur des sujets tels que :
• La conduite des tests d’intrusion / tests du plan de continuité et des scénarios pressentis
• Le processus de détection des incidents TIC avec le partage d’information
• Les contrôles en matière de sécurité et l’intégration d’un « security by design » dans les projets ainsi que le
3
renforcement des dispositifs IAMDORA : Digital Operational Resilience Act 3
Comment 99 Advisory peut vous aider à vous préparer?
99 ADVISORY VOUS ACCOMPAGNE
• Une palette d’expertises complète pour une approche holistique de vos enjeux : expertises réglementaires, métiers et
sectorielles
• Une parfaite connaissance des attentes des régulateurs et superviseurs (ANSSI, CNIL, ENISA, ACPR, AMF, BCE, EBA, IFACI)
• La flexibilité d’une structure de 150 consultants, capables de combiner R&D, veille et traitement simultané de sujets
techniques et réglementaires
• La réactivité d’une équipe à taille humaine, garante d’un suivi quotidien et sur-mesure de chacun de nos clients.
CE QUE NOUS POUVONS FAIRE POUR VOUS
VOUS ACCOMPAGNER DÈS MAINTENANT POUR UNE MISE EN CONFORMITÉ SEREINE
• Cadrage et définitions des défis techniques et organisationnels
Cadrage et Gap
1 Analysis
•
•
Analyse de l’écosystème de gestion des risques TIC (modèle de gouvernance, exigences concernées…)
Gap analysis de maturité par rapport aux exigences DORA
• Capitaliser sur les expériences et efforts de conformités menés sur les Guidelines EBA (ICT, Outsourcing) et les
réglementation connexes (LPM, NIS, DSP2, RGPD, SAPIN 2…) afin de répondre aux exigences en matière de :
• Identification des risques, du « risk tolerance » et fonctions/actifs critiques et essentiels
Déploiement des
2 exigences
•
•
Déploiement de gestion du risques (protection, prévention, détection, réponse et récupération)
Formalisation de registre lié à la gestion des Tiers
• Revue contractuelle, évaluation, suivi de la relation et stratégie de sortie
• Renforcement du dispositif de déclaration des incidents et modalités de partage des informations
• Harmonisation des critères de qualification des incidents
• Revue de dispositif de continuité d’activité et gestion de crise
Continuité
• Définition / revue des scénarios de risques en tenant compte des scénarios les plus défavorables (détérioration
3 d’activité et
significative des services des fonctions critiques / interruption / défaillance d’un prestataire TIC)
modalités de tests • Préparation et réalisation de tests de résilience opérationnelle numérique proportionnés et contextualisés
STRATÉGIE, ORGANISATION CONTINUITE D’ACTIVITE ACCULTURATION & SENSIBILISATION
& GOUVERNANCE & GESTION DE CRISE
• Stratégie et Gouvernance • Mise en œuvre d’une feuille de route PUPA avec • Définition d’une stratégie d’acculturation
• Externalisation des services IT formalisation de la documentation (BIA, PRA, • Sensibilisation et formation des Directions et
• Dispositif de réponse à incident avec PRI…) des collaborateurs
constitution d’une RED Team / SOC / CERT • Déploiement de programme de tests • Campagnes de faux phishing
• Résilience des infrastructures en accès • Tests de gestion de crise, et de pénétration type • Mise en situation et gestion de crise adaptées
distant et en Cloud PenTest et autres tests techniques… à vos processus
• Stratégie de gestion des habilitation et • Mise en place des solutions de gestion de crise • Conception de supports, de films, d’e-learning,
authentification en favorisant la BAU et en adoptant une escape game…
approche des risques TIC globale • Bonnes pratiques télétravail et BYOD
QUELQUES RÉFÉRENCES
Clients Contexte d’intervention Prestations menées
• Identification de l’existant et Gap Analysis au regard des Guidelines ICT
Organe Central
Guidelines EBA ICT • Déclinaison des Guidelines ICT en Politiques internes dans un contexte international
Groupe Bancaire
• Conduite du changement aux nouvelles exigences réglementaires
• Elaboration de la feuille de route SSI et définition de l’organisation cible
• Déploiement d’un Plan d’Assurance Qualité avec définition des grands principes de la SSI régalienne
Accompagnement SSI &
Banque Privée • Refonte du dispositif IAM et renforcement de la sécurité des accès et des authentifications
Refonte du dispositif IAM
• Conduite du changement au sein des équipes et de la direction (plan de sensibilisation et supports
méthodologiques)
Banque privée • Définition du périmètre de contrôle et formalisation d’un référentiel d’Audit
Audit des SSI et Sécurité de • Analyse de la documentation normative et entretiens métiers d’exploratoires
Groupe mutualiste l’information • Réalisation de tests fonctionnels et opératoires
• Formalisation des analyses et du rapport d’Audit final
• Création d’un référentiel de cartographie des risques et des processus
Établissement
• Définition de la méthode de risk assessment dont la stratégie de traitement des risques,
luxembourgeois
Cartographie des risques SSI méthodologie de cotation du risque brut (impact / fréquence / criticité)
d’une grande
• Evaluation des risques au regard des mesures de sécurité existantes
banque européenne 4
• Définition et réalisation des plans d’actions correctivesFRANCE BELGIQUE
10 Av. de la Grande Armée 43 Av. des Arts
75017 Paris 1040, Bruxelles
+33 (0)1 42 66 45 15 +32 (0)2 673 64 30
Clément Molus Pauline Mendiela
Manager / DPO Groupe Finnegan Consultante Senior
Clement.molus@99-advisory.com Pauline.mendiela@99-advisory.com
« L’information contenue dans le présent document (l’information) est jugée fiable mais 99 Advisory ne
garantit ni son caractère d’exhaustivité ni son exactitude. Les opinions et évaluations contenues ci-après sont
émises par 99 Advisory et peuvent être modifiées sans préavis. 99 Advisory ne saurait être tenue responsable
des erreurs, omissions ou opinions dans ce document. Afin d’éviter toute ambiguité., toute information
contenue dans le présent document ne saurait constituer un accord entre parties. Des informations
supplémentaires seront fournies sur demande. »
5
www.99-advisory.frVous pouvez aussi lire
