Aller au contenu

DORA et l’organisation des tests de résilience opérationnelle numérique

Avis d'experts

15 février 2024

Voici un an maintenant, que le règlement DORA (The Digital Operational Resilience Act est entré en vigueur.

 

Les entités financières (banques, assurances, gestionnaires de placement etc.) ont jusqu’au 17 janvier 2025 pour respecter l’ensemble des 64 articles du règlement et ont déjà commencé leur plan de mise en conformité de leur Technologies de l’Information et de Communication (TIC).

Un bref rappel de l’organisation de DORA

Loi de Programmation Militaire (LPM), Bâle II, le Framework Network and Information Systems (NIS) et maintenant DORA, sont des réponses règlementaires nécessaires des institutions internationales à la montée en puissance des menaces cyber en pleine explosion.

 

Il est important de souligner que le règlement DORA a pour but d’unifier et d’uniformiser les efforts déjà lancés et mis en place via les exigences LPM, NIS (et sa nouvelle édition NIS 2) pour le secteur financier rassemblés dans 5 piliers.

Aujourd’hui nous nous intéressons plus particulièrement aux campagnes de tests de résilience opérationnelle numérique, afin de mieux comprendre les impacts, les ressources et les charges que les entités financières doivent mettre en place dès aujourd’hui et maintenir afin d’être conforme aux exigences de ce pilier fondamentale de DORA.

Tout n’est pas à refaire pour les tests de résilience

Dans le cadre des tests de sécurité, le règlement prend en compte de nombreux acquis et existants :

 

  • Les bonnes pratiques de tests d’intrusion réguliers et des procédures de Security By Design / Intégration de la sécurité dans les projets, présentes dans toute politique de sécurité des systèmes d’information (PSSI) cohérente ;
  • Le cadre TIBER-EU recommandé par les autorités européennes ;
  • Les tests exigés par NIS 2 et par la LPM pour les Opérateurs d’Importance Vitale (OIV).

 

Le règlement DORA met en place un cadre nécessaire au secteur financier européen sur les politiques de tests de résilience, afin de permettre aux autorités compétentes de contrôler la conformité à ces nouvelles exigences légales afin de suivre la résilience du système financier, mais surtout que chaque entité financière puisse rendre souverain sa gestion de la résilience de ses TIC et de ses Prestataires Tiers de service TIC sur le marché mondial.

Le programme de tests de résilience selon DORA

Dans le cadre de DORA, les entités financières doivent établir, maintenir et réexaminer un programme ‘solide et complet’ de tests de résilience (Article 24.1).

 

Ce programme doit prévoir ‘l’exécution de tests appropriés’ comme :

  • Des analyses de vulnérabilités ;
  • Des évaluations de la sécurité des réseaux ;
  • Des tests de pénétration ;
  • (cf. article 25.1)

 

Il est à la charge de la direction de chaque entité financière, de définir et d’appliquer ses campagnes de tests de façon proportionnée en fonction de sa taille, de sa gestion des risques liés aux TIC, et prenant en compte ses prestataires tiers de service TIC.

 

Elles devront tout de même être en accord avec :

  • L’exigence de l’article 24.4, veiller ‘à ce que les tests soient effectués par des parties indépendantes internes ou externes’.
  • L’exigence de l’article 24.6, ‘d’auditer au moins une fois par an tous les systèmes et applications de TIC qui soutiennent des fonctions critiques ou importantes’.

Fonctions Critiques ou importantes (selon DORA)

Une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers.