DORA (Digital Operational Resilience Act)
DORA (Digital Operational Resilience Act) est le paquet européen de mesures visant à améliorer et à soutenir tous les services financiers et d'assurance numériques et, par conséquent, les entreprises qui y sont liées. Il a été publié en novembre dernier (2022) et sera mis en œuvre en décembre 2024 :
- https://eur-lex.europa.eu/legal-content/TXT/?uri=CELEX%3A52020PC0595
- https://data.consilium.europa.eu/doc/document/ST-10581-2022-INIT/pdf
Le secteur financier est déjà réglementé par la Banque centrale européenne, mais les exigences, leur application et leur interprétation restent locales. L'objectif de DORA est d'unifier les règles avec un niveau de sécurité commun et d'aider les entreprises à :
- Identifier les actifs et les risques liés à l'activité
- Protéger le système d'information pour assurer la fourniture de services d'infrastructure critiques
- Détecter les événements de cybersécurité
- Réagir aux incidents, soutenir les activités de récupération et améliorer la situation
- Récupérer et restaurer les systèmes affectés
La façon la plus simple de résumer DORA est d'assurer un niveau minimum de résilience au secteur financier.
Patrowl est entièrement conforme aux exigences de DORA en matière de surveillance continue des actifs grâce à la Cybersécurité Offensive as-a-Service. Pour plus de détails, veuillez lire Patrowl.
DORA pour qui ?
DORA s'adresse à l'ensemble des 22 000 entreprises liées au secteur financier : fournisseurs de services de crédit, de paiement, de crypto-actifs, d'assurance, de réassurance, d'intermédiaires, de fonds de pension...
La seule exception concerne les très petites entreprises de moins de 10 salariés et dont le chiffre d'affaires annuel est inférieur à 2 millions d'euros.
Pourquoi DORA ?
DORA se concentre sur la résilience appliquée à la cybersécurité en listant des critères et des recommandations pragmatiques.
Toutes les institutions financières utilisent des ordinateurs et traitent des données. Un incident de cybersécurité non maîtrisé peut conduire à un désastre financier (comme le récent piratage de FTX, une bourse de crypto-monnaies) et c'est la raison pour laquelle l'UE a rédigé le DORA.
DORA en détails ?
DORA énumère plusieurs thèmes à traiter :
- Gestion des risques et gouvernance pour limiter les perturbations causées par un incident de cybersécurité
- Détection permanente des incidents de cybersécurité
- Résilience du service avec un Plan de Continuité d'Activité (PCA) et un processus de gestion de crise qui doivent être testés et mis à jour
- Contrôle permanent avec pentest, lié à la résilience.
- C'est ce que fait Patrowl avec le pentest permanent, l'Offensive Cybersecurity-as-a-Service, parfois appelé Pentest-as-a-Service.
- Détection permanente de vulnérabilités
- C'est aussi ce que fait Patrowl en redécouvrant et en surveillant en permanence la surface d'attaque externe des entreprises (actifs exposés à Internet).
- Classifier les incidents de cybersécurité et les adapter afin d'en limiter la propagation, d'en limiter l'impact et de partager les connaissances avec les pairs et les autorités de réglementation. Le DORA semble s'inspirer du GDPR avec une obligation de déclaration dans les 24 heures.
- Prise en compte réelle de la cybersécurité des tiers (fournisseurs) par l'analyse des risques, le contrôle et l'audit.
- Le partage de l'intelligence entre les organisations financières
En savoir plus sur DORA ?
Pour en savoir plus sur DORA, consultez les articles de Marc-Antoine LEDIEU expliquant les enjeux, les implications et les conséquences de la loi DORA : https://technique-et-droit-du-numerique.fr/?s=dora