Reprise après sinistre : protéger les données critiques et renforcer la résilience numérique pour se conformer à la directive DORA

Les entreprises doivent se mettre en conformité à DORA pour garantir la protection des infrastructures informatiques critiques. La reprise après sinistre est au cœur des enjeux.

Nouvelle directive européenne pour la gestion des risques, le Digital Operational Resilience Act (DORA) vise à améliorer la résilience opérationnelle numérique des entités financières ainsi que de leurs fournisseurs tiers, et ce, quelle que soit la localisation de ces derniers à travers le globe. Si l’ensemble des entreprises doit se mettre en conformité d'ici le 17 janvier 2025, il reste donc un peu moins d'un an pour garantir la protection des infrastructures informatiques critiques et maintenir des normes élevées de disponibilité des données. La reprise après sinistre est au cœur de ces enjeux.

Cinq des neuf chapitres de DORA se concentrent sur l'amélioration de la résilience informatique : la gestion des risques (chapitre II), la gestion des incidents (chapitre III), les tests de résilience opérationnelle numérique (chapitre IV), la gestion des tiers (chapitre V) et le partage d'informations (chapitre VI). Domaine le plus touché par la nouvelle législation, la reprise après sinistre impacte respectivement les articles 9 (protection et prévention), 11 (intervention et rétablissement) et 12 (politiques et procédures de sauvegarde). Les entités financières disposant de technologies insuffisantes pour répondre aux nouvelles exigences de DORA seront donc contraintes de rechercher des solutions plus adaptées.

Optimiser la technologie de reprise après sinistre avec une protection continue des données

Pour améliorer la résilience, la continuité et la disponibilité, les entreprises doivent envisager des solutions de reprise après sinistre plus modernes basées sur la protection continue des données (CDP). La CDP suit et met en miroir les modifications apportées aux données non pas à des intervalles prédéfinis, comme le font les solutions de backup traditionnelles, mais en continu, en répliquant chaque version des données vers un emplacement local ou distant. Un journal granulaire enregistre l’ensemble des modifications au cours de chaque période, ce qui permet de récupérer ses données à un moment donné par incréments d'une seconde. S’appuyant sur des milliers de points de restauration, la CDP minimise le risque de perte de données et réduit l'impact d'une défaillance sur les opérations, qu'elle soit accidentelle ou délibérée, naturelle ou d'origine humaine. La CDP répond ainsi aux exigences fondamentales de l'article 9 en matière de résilience, de continuité et de disponibilité des systèmes informatiques.

Tests automatisés et rapports détaillés

L'article 11 de DORA exige la mise en œuvre et le maintien de plans de continuité appropriés testés régulièrement. Toutefois, toutes les solutions de reprise après sinistre n'offrent pas de tests de basculement ou de l’analytique avancé. Les entités financières doivent donc s'assurer que leurs solutions de reprise après sinistre soient capables d’activer des tests de basculement entièrement automatisés, sans interruptions mais aussi granulaires dans un environnement sandbox. Idéalement, ces tests doivent offrir des garanties de récupération mais aussi des capacités de reporting détaillées qui pourront ensuite être utilisées pour démontrer la sécurité de l'environnement lors des audits et des inspections. La récupération pourra ainsi être testée en quelques minutes d'un simple clic de souris, sans rupture opérationnelle.

La réplication asynchrone pour activer un site secondaire et la géo redondance

Pour se prémunir contre la défaillance d'un site dans sa globalité, l'article 12 recommande aux organisations financières d’exploiter un site secondaire « doté de ressources, de capacités, de fonctions et de dotations en personnel adéquates pour répondre aux besoins ». Cela signifie que les entreprises doivent utiliser des solutions de reprise après sinistre qui fournissent une fonction de réplication pour distribuer les données répliquées sur plusieurs emplacements cloud. Elles pourront répliquer les données d'une source unique vers plusieurs environnements cibles de reprise et déplacer des instances virtuelles spécifiques vers un site de production. Contrairement à la réplication synchrone, la réplication asynchrone fonctionne également entre des sites plus éloignés les uns des autres tout en évitant la perte de données. Elle allie les hautes performances de la réplication synchrone mais sans les exigences élevées en matière de bande passante réseau, de latence ou d'infrastructure. Cela permet aux organisations d'élever leur résilience à un niveau encore plus élevé et de protéger des sites entiers contre les catastrophes.

Détecter les chiffrements de ransomware en temps réel pour limiter les pertes de données et les temps d'arrêt après une attaque

Eviter ou détecter les attaques le plus tôt possible avant qu’elles ne puissent porter atteinte à l’entreprise est beaucoup plus intéressant que d’être capable de récupérer rapidement ses données après une attaque réussie. L'article 10 de DORA préconise une amélioration de cette détection : « Les organismes financiers doivent mettre en place des mécanismes pour détecter les activités anormales [...] rapidement, y compris des mécanismes d'alerte automatisés pour le personnel chargé de répondre aux incidents liés aux TIC. » Capitalisant sur de l'intelligence algorithmique, les outils de cybersécurité préventifs sont là pour détecter et stopper les attaques ransomware alertant en quelques secondes sur une anomalie de chiffrement susceptible d'indiquer le début de la phase critique d'un ransomware. Le temps d’action des cybercriminels sera ainsi de facto considérablement réduit.

DORA est règlement de grande envergure. Pour s’y conformer, les entités financières devront améliorer des pans entiers de leur informatique tout en implémentant des solutions capables de couvrir un maximum d’exigences requises par la législation. La reprise après sinistre et la protection continue des données constituent de sérieuses options à envisager pour leurs démarches de mise en conformité.