Qu'est-ce que le Digital Operational Resilience Act (DORA) ?
Le Digital Operational Resilience Act (DORA) est une proposition législative de l'Union européenne (UE) visant à renforcer la résilience opérationnelle du secteur financier à l'ère numérique. Elle établit un cadre global pour la gestion des risques liés aux technologies de l'information et de la communication (TIC) et des cybermenaces auxquelles sont confrontées les entités financières. Les principaux objectifs du DORA sont d'assurer la continuité des services financiers critiques face aux cyberincidents, de renforcer la supervision et la coordination de la gestion des risques liés aux TIC par les autorités compétentes, d'améliorer la coopération et le partage d'informations, et d'améliorer la notification et la transparence des incidents significatifs liés aux TIC.
Depuis quand la loi DORA est-elle en vigueur ?
La loi sur la résilience opérationnelle numérique (DORA) est en vigueur depuis le 16 janvier 2023. En juin 2023, les autorités européennes de surveillance (AES) devraient publier des documents de consultation concernant plusieurs normes techniques réglementaires et normes de mise en œuvre de niveau 2 (RTS & ITS). Ces documents visent à définir des exigences spécifiques. Les entreprises financières devront se conformer à cette réglementation d'ici le 17 janvier 2025, après une période de mise en œuvre de deux ans et l'élaboration de normes techniques réglementaires par les autorités européennes de surveillance (AES).
Quelles sont les entreprises éligibles au règlement DORA ?
Le DORA a un large champ d'application, impactant diverses entités telles que les banques, les établissements de crédit, les établissements de paiement, les entreprises d'investissement, les établissements de monnaie électronique, les contreparties centrales et les fournisseurs de services de crypto-actifs, entre autres. En outre, les fournisseurs de TIC tiers critiques sont également soumis à la réglementation, chacun d'entre eux étant désigné comme Lead Overseer, qui pourrait être soit l'ABE, l'ESMA ou l'EIOPA.
- Le DORA adopte une approche globale, englobant un large éventail d'institutions financières. Si les banques et les compagnies d'assurance, qui connaissent déjà les lignes directrices de l'ABE/EIOPA sur la sécurité des TIC et l'externalisation, sont incluses, le champ d'application s'étend aux plateformes de négociation, aux institutions proposant des plans de retraite professionnelle, aux fournisseurs de services de crypto-monnaie, aux intermédiaires d'assurance et à diverses autres entités financières relevant de ce nouveau cadre.
- Les FinTechs ne bénéficient pas d'exemptions uniquement en raison de leur petite taille si elles entrent dans les catégories spécifiées dans le règlement DORA. Néanmoins, les entreprises ayant moins de 10 employés et un revenu annuel limité sont soumises à des exigences moins strictes en vertu du règlement.
- Les fournisseurs de TIC - y compris les fournisseurs de services cloud qui fournissent des services aux entreprises financières - peuvent désormais être soumis au cadre de surveillance s'ils sont classés comme "fournisseurs de TIC critiques". Les critères de cette classification sont précisés par les autorités européennes de surveillance (AES), mais sont principalement basés sur l'importance des services fournis pour le marché financier, ainsi que sur le degré de dépendance à l'égard du fournisseur de TIC ou sur la facilité avec laquelle il peut être remplacé
Pourquoi la conformité à la loi DORA est-elle importante ?
- La conformité au DORA renforce la résilience opérationnelle en identifiant et en corrigeant les vulnérabilités.
- Le respect du DORA permet de préserver la stabilité du système financier en prévenant les perturbations susceptibles d'avoir des conséquences systémiques.
- La conformité à la DORA permet d'atténuer les risques de cybersécurité en mettant en œuvre des mesures et des protocoles robustes.
- La conformité renforce la confiance des clients en démontrant un engagement à protéger leurs données et à assurer la continuité des services.
- Les organisations doivent se conformer à la loi DORA afin de respecter les obligations légales et réglementaires et d'éviter les sanctions et les atteintes à la réputation.
- La conformité à la loi DORA encourage l'innovation dans le secteur financier en s'attaquant aux risques et en fournissant une base sûre pour l'adoption de nouvelles technologies.
- La conformité favorise la collaboration et la coopération entre les acteurs du marché et les autorités de contrôle, ce qui permet une réponse et une communication efficaces en cas d'incident.
- L'adhésion à DORA aide les organisations à garder une longueur d'avance sur l'évolution du paysage des menaces et à s'adapter aux risques et aux technologies émergents.
- La conformité à la DORA aligne les organisations sur les normes et les attentes internationales, favorisant ainsi l'harmonisation entre les juridictions.
- L'obtention de la conformité DORA peut offrir un avantage concurrentiel sur le marché en démontrant un engagement fort en faveur de la résilience opérationnelle et de la cybersécurité.
Quelles sont les 10 étapes de la mise en conformité avec la loi DORA ?
Étape 1 : Comprendre le champ d'application de la loi DORA
- Vue d'ensemble du DORA: acquérir une compréhension approfondie des objectifs et des dispositions du DORA, ainsi que des entités auxquelles il s'applique, telles que les établissements de crédit, les établissements de paiement, les établissements de monnaie électronique, les contreparties centrales et les fournisseurs de services de données.
- Cartographie des exigences du DORA: Identifier les exigences et obligations spécifiques définies par le DORA, telles que les tests de résilience, la gestion des risques liés aux TIC, la notification des incidents, la gestion des risques liés aux tiers et les capacités en matière de cybersécurité.
Étape 2 : Mise en place d'une structure de gouvernance
- Nommer un responsable de la conformité DORA: Désigner une personne ou une équipe chargée de superviser les efforts de mise en conformité avec la loi DORA au sein de votre organisation.
- Créer un cadre de conformité DORA: Élaborer un cadre complet décrivant les politiques, les procédures et les contrôles nécessaires pour garantir le respect des exigences de la loi DORA.
Étape 3 : Évaluer les risques
- Identifier les risques : Effectuer une évaluation détaillée afin d'identifier les risques potentiels et les vulnérabilités propres aux opérations, processus et systèmes de votre organisation.
- Évaluer l'impact et la probabilité: Évaluer l'impact potentiel et la probabilité des risques identifiés, en tenant compte des facteurs internes et externes.
Étape 4 : Test de résilience
- Concevoir des scénarios de test de résilience: Élaborer un programme solide de tests de résilience qui simule des scénarios réalistes, notamment des cyberattaques, des pannes de système et d'autres événements perturbateurs.
- Évaluer les résultats des tests: Analyser et interpréter les résultats des tests de résilience afin d'identifier les domaines d'amélioration, les vulnérabilités et les lacunes en matière de résilience opérationnelle.
Étape 5 : Gestion des risques liés aux TIC
- Établir un cadre de gestion des risques liés aux TIC: Élaborer et mettre en œuvre un cadre permettant d'identifier, d'évaluer, d'atténuer et de contrôler les risques liés aux TIC, y compris les risques de cybersécurité, les vulnérabilités technologiques et les perturbations opérationnelles.
- Examen et mises à jour réguliers : Examiner et mettre à jour en permanence le cadre de gestion des risques liés aux TIC afin de l'adapter aux nouvelles menaces, à l'évolution des technologies et aux meilleures pratiques du secteur.
Étape 6 : Rapport d'incident et communication
- Établir des procédures de signalement des incidents: Élaborer des procédures de signalement d'incidents claires et bien définies qui précisent comment et quand les incidents importants doivent être signalés aux autorités de contrôle compétentes.
- Favoriser des canaux de communication efficaces : Établir des canaux de communication efficaces au sein de l'organisation afin de garantir un signalement rapide et précis des incidents et de faciliter la coordination des efforts de réponse.
Étape 7 : Gestion des risques liés aux tiers
- Procéder à une vérification préalable: Mettre en œuvre un processus de diligence raisonnable solide pour évaluer les capacités de cybersécurité et de résilience opérationnelle des fournisseurs de services tiers avant de conclure des partenariats ou des accords d'externalisation.
- Dispositions contractuelles : Inclure des dispositions contractuelles spécifiques relatives à la gestion des risques liés aux tiers, décrivant les responsabilités, les attentes et les normes requises pour garantir le respect de la loi DORA.
Étape 8 : Capacités en matière de cybersécurité
- Mettre en œuvre des mécanismes d'authentification forte : Déployer des solutions d'authentification à plusieurs facteurs pour renforcer la sécurité de l'accès aux systèmes critiques et aux informations sensibles.
- Chiffrement et protection des données: Mettre en œuvre des protocoles de cryptage pour protéger les données au repos et en transit, afin de garantir la confidentialité et l'intégrité des informations sensibles.
- Surveillance proactive et détection des menaces par l'IA: Déployer des outils de surveillance avancés et des systèmes de détection des cybermenaces pilotés par l'IA pour détecter les menaces de cybersécurité et y répondre en temps réel.
Étape 9 : Réponse aux incidents et continuité des activités
- Élaborer des plans complets de réponse aux incidents: Créer des plans de réponse aux incidents détaillés et bien structurés qui définissent les rôles, les responsabilités, les procédures d'escalade et les canaux de communication pour une gestion efficace des incidents.
- Test et exercice des plans de réponse aux incidents: Tester et exercer régulièrement les plans d'intervention en cas d'incident afin de garantir leur efficacité, d'identifier les points à améliorer et de familiariser le personnel avec ses rôles et responsabilités.
Étape 10 : Amélioration continue et contrôle de la conformité
- Mettre en place des mécanismes de contrôle de la conformité : Mettre en œuvre un solide programme de contrôle de la conformité afin d'évaluer le respect des exigences du DORA, d'identifier les lacunes et de favoriser l'amélioration continue.
- Se tenir au courant des mises à jour réglementaires: Suivre de près les développements réglementaires, les mises à jour et les orientations relatives à la loi DORA afin de garantir une conformité continue.
Le respect de la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act, DORA) exige une approche globale et proactive de la résilience opérationnelle et de la cybersécurité. En mettant en œuvre les meilleures pratiques décrites dans ce guide, les organisations peuvent naviguer avec succès dans les complexités de la DORA, renforcer leur résilience opérationnelle et contribuer à la stabilité globale du système financier. Adoptez ces recommandations, adaptez-les à votre contexte spécifique et engagez-vous avec confiance et résilience sur la voie de la conformité à la loi DORA.
Qui doit être impliqué dans la mise en conformité avec la loi DORA ?
La mise en conformité de la DORA nécessite un effort de collaboration entre les différentes parties prenantes d'une organisation. Les personnes ou équipes clés suivantes doivent être impliquées dans le processus :
- Les cadres supérieurs : Les cadres supérieurs, y compris le PDG, le directeur financier et le directeur informatique, doivent diriger et soutenir les efforts de mise en conformité avec la loi DORA. Ils jouent un rôle crucial en donnant le ton au sommet et en allouant les ressources nécessaires.
- Responsable/équipe de conformité DORA : Désigner un responsable du respect de la loi DORA ou une équipe chargée de superviser et de coordonner les efforts de mise en conformité. Ces personnes doivent avoir une connaissance approfondie des dispositions et des exigences de la loi DORA.
- Le service juridique et de conformité : Le service juridique et de conformité joue un rôle essentiel dans l'interprétation et la compréhension des obligations légales du DORA. Il veille à ce que les politiques, les procédures et les pratiques de l'organisation soient conformes aux exigences législatives.
- L'équipe de gestion des risques : L'équipe de gestion des risques est chargée d'évaluer les risques, d'identifier les vulnérabilités potentielles et de mettre en œuvre des mesures d'atténuation des risques. Elle doit collaborer étroitement avec l'équipe chargée de la conformité pour traiter les risques spécifiques à la DORA.
- Équipes informatique et cybersécurité: Les équipes chargées des technologies de l'information et de la cybersécurité jouent un rôle essentiel dans la mise en œuvre des mesures technologiques nécessaires pour répondre aux exigences du DORA. Elles jouent un rôle crucial dans le déploiement des capacités de cybersécurité, les tests de résilience et les plans d'intervention en cas d'incident.
- Opérations et unités opérationnelles: Les équipes opérationnelles et les unités commerciales ont un rôle important à jouer dans la mise en œuvre des mesures de conformité DORA dans leurs domaines respectifs. Elles doivent collaborer avec les équipes chargées de la conformité, de la gestion des risques et de l'informatique pour garantir l'alignement et la mise en œuvre des exigences de la DORA.
- Audit interne : L'équipe d'audit interne fournit une assurance indépendante en évaluant l'efficacité des efforts déployés par l'organisation pour se conformer aux dispositions de la loi DORA. Elle effectue des audits et des évaluations pour s'assurer que les dispositions de la loi DORA sont respectées en permanence.
- Fournisseurs de services tiers: Si l'organisation fait appel à des prestataires de services tiers, ceux-ci doivent être impliqués dans la mise en conformité avec la loi DORA. Il s'agit notamment d'évaluer leurs capacités en matière de cybersécurité et de résilience opérationnelle et de garantir la conformité au moyen de dispositions contractuelles.
- Communication et formation des équipes: Une communication et une formation efficaces sont essentielles pour assurer la compréhension et le respect de la loi DORA dans l'ensemble de l'organisation. Les équipes chargées de la communication et de la formation doivent élaborer et mettre en œuvre des programmes éducatifs visant à sensibiliser et à fournir des conseils sur les exigences de la loi DORA.
- Consultants et conseillers externes: Les organisations peuvent faire appel à l'expertise externe de consultants ou de conseillers juridiques spécialisés dans la conformité à la loi DORA. Ils peuvent fournir des conseils, contribuer à l'évaluation des risques et aider à naviguer dans le paysage complexe de la loi DORA.
En impliquant ces acteurs clés et en favorisant la collaboration entre eux, les organisations peuvent assurer efficacement la conformité au DORA, en garantissant une approche holistique et complète de la résilience opérationnelle et de la cybersécurité.
Comment Vectra AI permet-il de se conformer à la loi DORA ?
Vectra AI offre des solutions avancées de détection et de réponse aux menaces en parfaite adéquation avec les exigences de la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act). Voyons comment Vectra AI peut aider les entreprises à se conformer à la loi DORA :
- Détection et réponse aux menaces en temps réel
Vectra AI 's platform exploite l'analyse comportementale pilotée par l'IA et basée sur les techniques MITRE Att&ck et les modèles d'apprentissage automatique pour détecter et analyser les menaces réseau, SaaS, identité, AWS Cloud Microsoft 365 Cloud et Hybrid Cloud en temps réel. En surveillant en permanence le trafic et les comportements sur le réseau, Vectra AI peut identifier les menaces potentielles avant qu'elles ne s'aggravent, ce qui permet de réagir rapidement pour atténuer les risques. - Amélioration de la réponse aux incidents
En cas d'incident cybernétique, la plateforme Vectra AI fournit des informations précieuses et des renseignements exploitables aux équipes de réponse aux incidents sur la base des éléments suivants MITRE D3FEND. Cela permet aux organisations de prendre des mesures décisives pour contenir, enquêter et remédier aux menaces, en répondant efficacement aux exigences du DORA en matière de rapports d'incidents. - Gestion proactive des risques
Vectra AI Les capacités proactives de chasse aux menaces permettent aux organisations de garder une longueur d'avance sur les risques potentiels. En détectant les menaces et les vulnérabilités cachées, les institutions financières peuvent prendre des mesures proactives pour renforcer leur posture de sécurité et se conformer aux dispositions de la DORA en matière de gestion des risques. Visitez la page de la solution KPMG & Vectra. - Automatisation des rapports de conformité
La mise en conformité avec la loi DORA exige des rapports complets sur les incidents de sécurité et les pratiques de gestion des risques. Vectra AI simplifie ce processus en automatisant les rapports de conformité, ce qui permet aux institutions financières de gagner du temps et d'économiser des efforts pour respecter les obligations réglementaires.
Voyons comment Vectra AI peut aider les organisations à se conformer aux chapitres et articles spécifiques de la loi DORA :
Article |
Exigence DORA |
Réponse de Vectra |
Chapitre II, article 5 |
Cadre de gestion des risques liés aux TIC |
Vectra AI offre des capacités intégrées de chasse aux menaces avancées pour une gestion proactive des menaces et des risques, conformément aux exigences de gestion des risques liés aux TIC. |
Chapitre II, article 7 |
Identification |
- Classification des actifs les plus précieux pour une meilleure visibilité. - Priorité automatique des incidents potentiels affectant les actifs critiques. - Meilleure visibilité des actifs, services et interactions sur site, cloud et hybrides. |
Chapitre II, article 9 |
Détection |
Vectra AI utilise des capacités avancées de détection des menaces dans l'ensemble de ses produits, y compris des méthodologies de pointe pour détecter les signaux d'attaque basés sur des techniques MITRE ATT&CK , des modèles d'IA, des modèles basés sur des signatures, ainsi qu'une visualisation et des rapports complets. |
Chapitre II, article 10 |
Réponse et rétablissement |
Offre des capacités d'analyse comportementale et de détection basées sur les techniques MITRE ATT&CK pour la détection en temps réel d'anomalies dans les réseaux, SaaS, l'identité et cloud. Comprend la priorisation intégrée des incidents et les procédures de réponse recommandées. |
Chapitre II, article 12 |
Apprendre et évoluer |
Intégration et représentation continues des procédures d'attaque basées sur la chaîne d'exécution cybernétique et le cadre MITRE ATT&CK pour l'apprentissage continu et les examens après action (AAR). |
Chapitre II, article 13 |
Communication |
MITRE ATT&CK-Les rapports basés sur les données pour une communication standardisée des événements, des détections et des incidents avec les parties prenantes, y compris les autorités et les CSIRT nationaux ou régionaux. |
Chapitre III, article 15 |
Processus de gestion des incidents liés aux TIC |
Classification automatique des menaces et hiérarchisation pilotée par l'IA pour une gestion intégrée des incidents à l'aide de solutions SOAR ou ITSM. |
Chapitre III, article 16 |
Classification des incidents liés aux TIC |
met en œuvre un système de classification en quatre étapes (faible, moyen, élevé, critique) avec un classement par ordre de priorité basé sur un score afin de rationaliser le traitement des incidents. |
Chapitre III, article 17 |
Signalement des incidents majeurs liés aux TIC |
Fournit des capacités de rapport intégrées qui incluent la documentation des techniques MITRE ATT&CK , l'étape de la chaîne de destruction cybernétique et les procédures MITRE D3FEND appliquées. |
Chapitre III, article 18 |
Harmonisation du contenu et des modèles de rapports |
Fournit des modèles de rapports standardisés et du contenu de rapports à la demande pour l'établissement de rapports intégrés entre différents outils et systèmes. |