S'attaquer à la conformité Dora en mettant l'accent sur le PAM

Le Dora, règlement européen sur la résilience opérationnelle numérique du secteur financier, impose de strictes directives.

Le règlement européen sur la résilience opérationnelle numérique du secteur financier, surnommé Dora (Digital Operational Resilience Act) est né d'une prise de conscience que les entreprises, en particulier celles des services financiers, dépendent de plus en plus des technologies de l'information et de la communication (TIC) et des moyens numériques pour fonctionner. Le résultat de cette numérisation est principalement d'apporter rapidité, facilité d'utilisation et services innovants aux clients, mais elle introduit également le risque de cyber-attaques ou d'incidents qui pourraient conduire à des violations de données, des temps d'arrêt et des pertes financières. Toute perturbation des services financiers se répercute sur d'autres entreprises et peut avoir un impact négatif sur des économies entières.

L'introduction du Dora marque une avancée décisive dans la réglementation financière de l'UE, en comblant une lacune importante dans la gestion du risque opérationnel. Avant l'introduction de la Dora, les institutions financières s'appuyaient principalement sur l'allocation de capital basée sur la conformité pour prouver qu'elles atténuaient les risques opérationnels, mais cela ne suffisait pas à prouver un niveau adéquat de résilience opérationnelle.

Cependant, avec la mise en œuvre de la loi Dora , des lignes directrices strictes seront appliquées et exigeront la mise en place de mécanismes solides de protection, de détection, de confinement, de récupération et de réparation en cas d'incidents liés aux technologies de l'information et de la communication. La loi Dora aborde explicitement les risques liés aux TIC, en définissant des règles concernant la gestion des risques liés aux TIC, la notification des incidents, les tests de résilience opérationnelle et la surveillance des risques liés aux TIC pour les tiers. Reconnaissant que les incidents liés aux TIC et les vulnérabilités opérationnelles peuvent compromettre la stabilité de l'ensemble du système financier, le Dora met l'accent sur la nécessité d'une gestion globale des risques allant au-delà des mesures traditionnelles d'adéquation des fonds propres.

Le Dora entrera en vigueur en janvier 2025. Il s'applique aux banques, aux entreprises d'investissement, aux compagnies d'assurance, aux prestataires de services de paiement et à toute autre organisation active dans le domaine des services financiers. Le Dora exige des organisations qu'elles adhèrent à des lignes directrices spécifiques en matière de sauvegarde, de détection, de confinement, de récupération et de réparation en réponse aux menaces et incidents liés aux TIC.

Comment les organisations de toutes tailles peuvent-elles renforcer efficacement leur posture de sécurité et mettre en place les bases de leur conformité à la loi Dora ?

Commencez par la PAM

 La gestion des accès privilégiés (PAM) est la discipline dans laquelle les personnes, les processus et la technologie sont combinés pour donner aux organisations une visibilité sur qui accède à quels systèmes critiques, comptes ou fonctions administratives, et ce qu'ils font pendant qu'ils y sont. En choisissant une solution PAM qui prend en compte les quatre principaux piliers de Dora , les organisations peuvent non seulement devancer la conformité, mais aussi se protéger plus efficacement.

Gestion des risques liés aux TIC

La loi Dora exige un cadre solide de gestion des risques, ce qui signifie que les organisations doivent créer une stratégie basée sur la tolérance au risque, l'identification et la prévention des risques et la démonstration de la capacité à répondre aux risques. L'un des moyens pour les organisations de mieux contrôler leur gestion des risques liés aux TIC consiste à identifier et à prévenir les risques grâce à la surveillance du dark web, qui peut mettre en évidence les menaces pesant sur l'organisation et agir comme un système d'alerte précoce. La surveillance du dark web analyse les mots de passe enregistrés des employés ou les coffres-forts PAM à la recherche de mots de passe qui ont été exposés sur le dark web, alertant immédiatement les utilisateurs et les administrateurs sur les mesures à prendre pour protéger l'organisation.

Test de résilience des opérations numériques

Le Dora souligne l'importance d'évaluer la résilience des fournisseurs de services TIC tiers. Il convient donc de rechercher des partenaires technologiques qui offrent une sécurité de niveau international, par exemple une architecture Zero Trust et Zero Knowledge. Pour les partenaires de sécurité en particulier, choisissez ceux qui peuvent démontrer qu'ils effectuent des tests internes et externes approfondis, y compris des tests de pénétration - et assurez-vous qu'ils sont transparents en ce qui concerne le signalement des vulnérabilités.

Gestion des fournisseurs de services TIC tiers

La loi Dora  exige des entités financières qu'elles évaluent la résilience de leurs fournisseurs de services TIC tiers et qu'elles s'assurent de leur conformité avec les exigences de la loi Dora. Les organisations doivent surveiller les risques liés aux fournisseurs de technologie tout au long de la relation. Elles doivent rechercher des partenaires qui respectent des normes essentielles telles que la conformité SOC 2 et la certification ISO 27001, ainsi que des normes sectorielles ou régionales spécifiques telles que GDPR, HIPAA ou PCI-DSS.

Comme de nombreuses réglementations de conformité, la Dora  impose aux entreprises d'utiliser une méthodologie standardisée pour le reporting et la classification des incidents. Une solution PAM qui prend en charge le reporting personnalisé et l'intégration avec d'autres technologies de cybersécurité, comme une solution SIEM tierce, contribuera à garantir l'alignement avec toute méthodologie de reporting préférée. Assurez-vous que les administrateurs de l'organisation sont en mesure de surveiller et de signaler les autorisations d'accès des comptes privilégiés dans l'ensemble de l'organisation.

En considérant la conformité Dora  sous l'angle de la gestion des accès privilégiés, les organisations seront finalement en mesure de prouver qu'elles contrôlent qui a accès à quelles données et à quels systèmes sensibles, avec une visibilité sur ce qu'elles font lorsqu'elles sont connectées à ces systèmes. Cela les aidera à répondre à la majorité des exigences imposées par la nouvelle réglementation et leur permettra de mieux identifier, répondre, signaler et prévenir les risques - aujourd'hui et à l'avenir.