Lockbit: from Genesis to the Last Judgment
Comment se mettre en conformité avec le DORA ?
Un guide pour les professionnels de la cybersécurité
Dans le secteur financier, les cyberattaques ont augmenté de manière spectaculaire. Entre le deuxième trimestre 2022 et le deuxième trimestre 2023, les cyberattaques contre les entreprises de services financiers en Europe ont plus que doublé, augmentant de 119 %. Cette tendance alarmante souligne l'urgence de se conformer au règlement sur la résilience opérationnelle numérique (DORA). DORA vise à garantir une haute résilience opérationnelle numérique pour toutes les entités financières réglementées. Publiée au Journal officiel de l'UE en novembre 2022, DORA impose aux entités financières de signaler rapidement et de manière exhaustive les incidents majeurs liés aux TIC aux autorités de surveillance et aux acteurs du marché, permettant ainsi une réponse rapide et appropriée au sein du système financier de l'UE. DORA entre en vigueur le 17 janvier 2025 dans tous les États membres de l'UE, complétant les lois existantes telles que la directive sur la sécurité des réseaux et de l'information (NISD), NIS2 et le règlement général sur la protection des données (RGPD).
DORA introduit un changement de paradigme avec son accent sur la « résilience ». Les entreprises du secteur financier doivent s'organiser dès le départ pour gérer efficacement les pannes et les cyberattaques.
DORA s'applique à presque tous les types d'entités financières au sein de l'Union européenne. Bien que les banques et les compagnies d'assurance soient les plus évidentes, de nombreuses autres organisations sont également couvertes par l'Article 2 de DORA. De plus, DORA exige que les entités financières gèrent les risques associés aux fournisseurs tiers, ce qui implique que ces fournisseurs doivent également se conformer aux réglementations DORA.
Les avantages à intégrer les référentiels de cybersécurité avec DORA
Les standards de sécurité offrent des meilleures pratiques reconnues mondialement. Aligner la DORA avec ces standards assure une gestion cohérente de la cybersécurité et de la conformité. Parmi les standards clés à considérer, on trouve :
- NIST Cybersecurity Framework (NIST CSF)
- CIS Controls
- ISO 27001 et 27002
Les organisations peuvent simplifier leurs processus de gestion en exploitant l'infrastructure et les ressources existantes. Cette gestion peut être facilitée par des outils conviviaux, permettant des opérations rationalisées.
Les directives claires fournies par ces standards facilitent la priorisation des efforts et l'allocation des ressources en fonction de l'importance et de l'impact de chaque contrôle.
Les standards peuvent être choisis et adaptés en fonction de la taille, de l'activité et des défis de l'organisation. En s'alignant sur la DORA, les mesures de cybersécurité restent flexibles face aux évolutions réglementaires et technologiques.
Les standards de cybersécurité intègrent intrinsèquement le concept d'amélioration continue. En alignant ces standards avec la DORA, les organisations peuvent maintenir leurs mesures de cybersécurité à jour face aux nouvelles menaces.
Se conformer à la DORA en mettant en œuvre l'ISO 27001
ISO 27001, ainsi que son Système de gestion de la sécurité de l'information (SGSI) compagnon, offre aux organisations un cadre structuré pour se conformer à la DORA. Cependant, la certification seule ne garantit pas la conformité ; tout dépend de la manière dont la norme ISO est mise en œuvre. Toutes les exigences de la DORA ne sont pas entièrement couvertes par ISO 27001/27002, il sera donc nécessaire d'ajouter ou de modifier des contrôles supplémentaires.
Les domaines clés où ISO 27001 soutient la conformité à la DORA :
- Gestion des risques liés aux TIC: La norme ISO 27001 exige une évaluation des risques liés à la sécurité de l'information et la mise en œuvre de contrôles appropriés, en accord avec les processus systématiques de gestion des risques du DORA.
- Réponse aux incidents et signalement: La norme ISO 27001 définit des contrôles pour la gestion des incidents de sécurité, qui correspondent aux exigences du DORA en matière de rapports d'incidents.
- Test de résilience opérationnelle numérique: La norme ISO 27001 prévoit des contrôles pour la planification de la continuité des activités, ce qui correspond aux exigences du DORA en matière de tests de résilience.
- Gestion des risques liés aux TIC pour les tiers: La norme ISO 27001 établit des contrôles pour la gestion de la sécurité de l'information avec les tiers, ce qui répond aux exigences du DORA en matière de gestion des risques liés aux tiers.
- Partage d’information: ISO 27001 inclut des contrôles pour le partage d'informations et le renseignement sur les menaces, soutenant les mécanismes de partage d'informations externes de la DORA.
Cartographie des contrôles pertinents des cadres ISO 27001 aux 5 principaux piliers de la DORA.
ID.AM-05:
Assets are prioritized based on classification, criticality, resources, and impact on the mission
ID.RA-02:
Cyber threat intelligence is received from information sharing forums and sources
ID.RA-08:
Processes for receiving, analyzing, and responding to vulnerability disclosures are established
ID.RA-03:
Internal and external threats to the organization are identified and recorded
ID.IM-04:
Incident response
plans and other cybersecurity plans that affect operations
are established, communicated, maintained, and improved
PR.IR-02:
The organization’s technology assets are protected from environmental threats
PR.IR-03:
Mechanisms are implemented to achieve resilience requirements in normal and adverse situations
PR.IR-04:
Adequate resource capacity to ensure availability is maintained
RS.AN-06:
Actions performed during an investigation are recorded, and the records’ integrity and provenance are preserved
RS.AN-07:
Incident data and metadata are collected, and their integrity and provenance are preserved
RC.CO-03:
Recovery activities and progress in restoring operational capabilities are communicated to designated internal and external stakeholder
A.5.29:
Information security during disruptio
A.5.30:
ICT readiness for business continuity
GV.SC-01:
A cybersecurity supply chain risk management program, strategy, objectives, policies, and processes are established and agreed to by organizational stakeholders
GV.SC-02:
Cybersecurity roles
and responsibilities for suppliers, customers, and partners are established, communicated, and coordinated internally and externall
GV.SC-03:
Cybersecurity supply chain risk management is integrated into cybersecurity and enterprise risk management, risk assessment, and improvement processes
GV.SC-04:
Suppliers are known and prioritized by criticality
GV.SC-05:
Requirements to address cybersecurity risks
in supply chains are established, prioritized, and integrated into contracts and other types of agreements with suppliers and other relevant third parties
GV.SC-06:
Planning and due diligence are performed to reduce risks before entering into formal supplier or other third-party relationships
GV.SC-07:
The risks posed by a supplier, their products and services, and
other third parties are understood, recorded, prioritized, assessed, responded to, and monitored over the course of the relationshi
GV.SC-09:
Supply chain security practices are integrated into cybersecurity
and enterprise risk management programs, and their performance is monitored throughout the technology product and service life cycl
GV.SC-10:
Cybersecurity supply chain risk management plans include provisions for activities that occur after the conclusion of a partnership or service agreemen
ID.AM-03:
Representations of the organization’s authorized network communication and internal and external network data flows are maintained
ID.AM-04:
Inventories of services provided by suppliers are maintaine
ID.AM-05:
Assets are prioritized based on classification, criticality, resources, and impact on the missio
ID.RA-09:
The authenticity and integrity of hardware and software are assessed prior to acquisition and use
ID.RA-10:
Critical suppliers are assessed prior to acquisitio
PR.AA-01:
Identities and credentials for authorized users, services, and hardware are managed by the organizatio
PR.AA-02:
Identities are proofed and bound to credentials based on the context of interaction
PR.AA-03:
Users, services, and hardware are authenticate
PR.AA-05:
Access permissions, entitlements, and authorizations are defined in a policy, managed, enforced, and reviewed, and incorporate the principles of least privilege and separation of dutie
PR.AA-06:
Physical access to assets is managed, monitored, and enforced commensurate with risk
A.5.19:
Information security in supplier agreement
A.5.20:
Addressing information security within supplier agreement
A.5.21:
Managing information security in the information and communication technology (ICT) supply chai
A.5.22:
Monitoring, review, and change management of supplier service
A.5.23:
Information security for use of cloud services
A.5.24:
Information security incident management planning and preparation
A.5.25:
Assessment and decision on information security events
A.5.26:
Response to information security incidents
A.5.27:
Learning from information security incidents
A.5.28:
Collection of evidence
GV.RM-05:
Lines of communication across the organization are established for cybersecurity risks, including risks from suppliers and other third parties
ID.RA-02:
Cyber threat intelligence is received from information sharing forums and source
ID.RA-03:
Internal and external threats to the organization are identified and recorde
RS.CO-02:
Internal and external stakeholders are notified of incident
RS.CO-03:
Information is shared with designated internal and external stakeholder
RC.CO-03:
Recovery activities and progress in restoring operational capabilities are communicated to designated internal and external stakeholder
RC.CO-04:
Public updates on incident recovery are shared using approved methods and messaging
A.5.5:
Contact with authoritie
A.5.6:
Contact with special interest groups
A.5.7:
Threat intelligence
A.5.14:
Information transfer
A.5.31:
Legal, statutory, regulatory and contractual requirements
Clause 6.1:
Actions to address
risks and opportunities (including all sub-clauses)
Clause 8:
Operation (including all sub-clauses)
Vers une conformité totale à la DORA
Bien que l'ISO 27001 fournisse une base solide, atteindre une conformité totale avec la DORA nécessite des mesures supplémentaires. Les organisations doivent :
- Identifier les exigences spécifiques de la DORA qui ne sont pas entièrement couvertes par l'ISO 27001, telles que les obligations de signalement des incidents, les procédures de gestion des risques des tiers et les tests de reprise opérationnelle.
- Réaliser des analyses de lacunes et des évaluations pour évaluer leur état actuel par rapport aux exigences de la DORA.
- Adapter leur Système de gestion de la sécurité de l'information (SGSI) pour y intégrer des contrôles et des processus spécifiques à la DORA.
- Élaborer et mettre en œuvre la documentation supplémentaire exigée par la DORA, y compris les procédures de signalement des incidents et les plans de reprise.
Comment la conformité au NIST CSF ouvre la voie au succès de la DORA
Le cadre de cybersécurité du NIST (NIST CSF) offre une approche structurée pour gérer et réduire les risques de cybersécurité, améliorant la communication sur la gestion des risques et la cybersécurité entre les parties prenantes internes et externes.
- Gestion des risques liés aux TIC: Le NIST CSF offre une approche complète pour identifier, évaluer et gérer les risques de cybersécurité, en s'alignant sur le pilier de gestion des risques de la DORA.
- Réponse aux incidents et signalement: Les fonctions « Répondre » et « Récupérer » du NIST CSF soutiennent la planification des réponses, les communications et l'analyse, en s'alignant sur les exigences de signalement des incidents de la DORA.
- Test de résilience opérationnelle numérique: Les fonctions « Identifier » et « Protéger » du NIST CSF soutiennent les activités de planification de la résilience, aidant à l'identification des vulnérabilités et à l'amélioration des mesures de cybersécurité.
- Gestion des risques liés aux TIC pour les tiers: Les fonctions « Gouverner », « Identifier » et « Protéger » du NIST CSF soutiennent la gestion des risques de la chaîne d'approvisionnement, en s'alignant sur les exigences de gestion des risques de la chaîne d'approvisionnement de la DORA.
- Partage d’information: Le NIST CSF documente des sous-catégories de partage d'informations pour améliorer les pratiques de cybersécurité, en s'alignant sur le pilier de partage d'informations de la DORA.
Voici comment les contrôles du NIST CSF peuvent être mis en correspondance avec ceux de la DORA. Gestion des tiers.
GV.SC-01: Un programme de gestion des risques de la chaîne d'approvisionnement en cybersécurité, incluant la stratégie, les objectifs, les politiques et les processus, est établi et approuvé par les parties prenantes de l'organisation.
GV.SC-02: Les rôles et responsabilités en matière de cybersécurité pour les fournisseurs, les clients et les partenaires sont établis, communiqués et coordonnés en interne et en externe.
GV.SC-03: La gestion des risques de la chaîne d'approvisionnement en cybersécurité est intégrée à la gestion des risques de cybersécurité de l'entreprise, à l'évaluation des risques et aux processus d'amélioration.
GV.SC-04: Les fournisseurs sont identifiés et prioritaires en fonction de leur criticité.
GV.SC-05: Les exigences pour traiter les risques de cybersécurité dans les chaînes d'approvisionnement sont établies, prioritaires et intégrées dans les contrats et autres accords avec les fournisseurs et les tiers pertinents.
GV.SC-06: La planification et la diligence raisonnable sont effectuées pour atténuer les risques avant d'établir des relations formelles avec des fournisseurs ou d'autres tiers.
GV.SC-07: Les risques posés par un fournisseur, leurs produits et services, et d'autres tiers sont compris, enregistrés, priorisés, évalués, traités et surveillés tout au long de la relation.
GV.SC-09: Les pratiques de sécurité de la chaîne d'approvisionnement sont intégrées aux programmes de gestion des risques en cybersécurité et d'entreprise, avec une performance surveillée tout au long du cycle de vie des produits et services technologiques.
GV.SC-10: Les plans de gestion des risques de la chaîne d'approvisionnement en cybersécurité incluent des dispositions pour les activités après la conclusion d'un partenariat ou d'un accord de service.
ID.AM-03: Les représentations de la communication réseau autorisée de l'organisation et des flux de données internes et externes sont maintenues.
ID.AM-04: Les inventaires des services fournis par les fournisseurs sont maintenus.
ID.AM-05: Les actifs sont priorisés en fonction de leur classification, de leur criticité, de leurs ressources et de leur impact sur la mission.
ID.RA-09: L'authenticité et l'intégrité du matériel et des logiciels sont évaluées avant leur acquisition et leur utilisation.
ID.RA-10: Les fournisseurs critiques sont évalués avant l'acquisition.
PR.AA-01: Les identités et les identifiants des utilisateurs, services et appareils autorisés sont gérés par l'organisation.
PR.AA-02: Les identités sont vérifiées et liées aux identifiants en fonction du contexte des interactions.
PR.AA-03: Les utilisateurs, services et appareils sont authentifiés.
PR.AA-05: Les autorisations d'accès, les droits et les privilèges sont définis dans une politique, gérés, appliqués et révisés, en intégrant les principes du moindre privilège et de la séparation des tâches.
PR.AA-06: L'accès physique aux actifs est géré, surveillé et appliqué proportionnellement aux risques.
Intégration des contrôles CIS dans DORA
Dans le paysage évolutif de la cybersécurité mondiale, la résilience opérationnelle et la conformité réglementaire sont primordiales.
L'importance des défis posés par la cybersécurité nécessite une approche stratégique en corrélant des cadres éprouvés avec les exigences réglementaires.
Les CIS Controls sont un ensemble de meilleures pratiques recommandées conçues pour prévenir les cyberattaques les plus courantes. Développés par des experts en cybersécurité du CIS, ces contrôles offrent aux organisations une approche structurée pour sécuriser leurs systèmes informatiques et leurs données.
Les contrôles de sécurité critiques du Center for Internet Security (CIS Controls v8), avec 18 contrôles, offrent des recommandations concrètes aux organisations de toutes tailles pour prévenir les cyberattaques.
Les CIS Controls intègrent plus d'une douzaine de grands standards internationaux de cybersécurité, tels que SOC 2, HIPAA, MITRE ATT&CK, NIST et PCI DSS.
L'intégration des CIS Controls avec la DORA offre aux organisations une approche complète pour gérer les risques de cybersécurité et la conformité réglementaire. Elle fournit une méthodologie pratique pour atteindre la résilience exigée par la DORA grâce aux pratiques de sécurité éprouvées détaillées dans les CIS Controls.
Voici comment les contrôles CIS peuvent être mis en correspondance avec les DORA Gestion des tiers.
CIS Control 12: Network Infrastructure Management
• Identifier et évaluer les risques associés aux fournisseurs TIC tiers, établir des exigences contractuelles pour que les fournisseurs tiers respectent les normes de sécurité et surveiller la conformité des fournisseurs tiers aux obligations contractuelles.
CIS Control 15: Gestion des fournisseurs de services
• Établir un processus formel pour évaluer et sélectionner les fournisseurs TIC tiers, réaliser des évaluations de diligence raisonnable pour évaluer la posture de sécurité des fournisseurs potentiels et établir des accords contractuels incluant des dispositions relatives aux exigences de sécurité et à la supervision.
CIS Control 17: Gestion de la réponse aux incidents
• Inclure les fournisseurs tiers dans la planification et la coordination des réponses aux incidents, établir des canaux de communication pour signaler et répondre aux incidents de sécurité impliquant des fournisseurs tiers et effectuer des examens réguliers des performances et de la conformité des fournisseurs tiers.
Alors que la fréquence et la sophistication des cyberattaques dans le secteur financier continuent d'augmenter, la conformité à la DORA est plus cruciale que jamais. En s'alignant sur des normes de cybersécurité reconnues internationalement telles que l'ISO 27001, le NIST CSF et les CIS Controls, les institutions financières peuvent non seulement répondre aux exigences strictes de la DORA, mais aussi améliorer leur posture globale en matière de cybersécurité, garantissant ainsi la confiance et la continuité des activités dans un paysage numérique de plus en plus volatile.
En adoptant une approche proactive et structurée de la conformité, les institutions financières peuvent gérer efficacement le paysage complexe des risques de cybersécurité et des exigences réglementaires.
Need help?
Stroople provides compliance mapping against DORA through NIST CSF and ISO 27001 for your organization. Assess your DORA compliance with our experts.
Prendre RDV