Comment se mettre en conformité avec le DORA ?

Lockbit: from Genesis to the Last Judgment

Comment se mettre en conformité avec le DORA ?

Un guide pour les professionnels de la cybersécurité

Dans le secteur financier, les cyberattaques ont augmenté de manière spectaculaire. Entre le deuxième trimestre 2022 et le deuxième trimestre 2023, les cyberattaques contre les entreprises de services financiers en Europe ont plus que doublé, augmentant de 119 %. Cette tendance alarmante souligne l'urgence de se conformer au règlement sur la résilience opérationnelle numérique (DORA). DORA vise à garantir une haute résilience opérationnelle numérique pour toutes les entités financières réglementées. Publiée au Journal officiel de l'UE en novembre 2022, DORA impose aux entités financières de signaler rapidement et de manière exhaustive les incidents majeurs liés aux TIC aux autorités de surveillance et aux acteurs du marché, permettant ainsi une réponse rapide et appropriée au sein du système financier de l'UE. DORA entre en vigueur le 17 janvier 2025 dans tous les États membres de l'UE, complétant les lois existantes telles que la directive sur la sécurité des réseaux et de l'information (NISD), NIS2 et le règlement général sur la protection des données (RGPD).

DORA introduit un changement de paradigme avec son accent sur la « résilience ». Les entreprises du secteur financier doivent s'organiser dès le départ pour gérer efficacement les pannes et les cyberattaques.

DORA s'applique à presque tous les types d'entités financières au sein de l'Union européenne. Bien que les banques et les compagnies d'assurance soient les plus évidentes, de nombreuses autres organisations sont également couvertes par l'Article 2 de DORA. De plus, DORA exige que les entités financières gèrent les risques associés aux fournisseurs tiers, ce qui implique que ces fournisseurs doivent également se conformer aux réglementations DORA.

Les avantages à intégrer les référentiels de cybersécurité avec DORA

Les standards de sécurité offrent des meilleures pratiques reconnues mondialement. Aligner la DORA avec ces standards assure une gestion cohérente de la cybersécurité et de la conformité. Parmi les standards clés à considérer, on trouve :

  • NIST Cybersecurity Framework (NIST CSF)
  • CIS Controls
  • ISO 27001 et 27002

Les organisations peuvent simplifier leurs processus de gestion en exploitant l'infrastructure et les ressources existantes. Cette gestion peut être facilitée par des outils conviviaux, permettant des opérations rationalisées.

Les directives claires fournies par ces standards facilitent la priorisation des efforts et l'allocation des ressources en fonction de l'importance et de l'impact de chaque contrôle.

Les standards peuvent être choisis et adaptés en fonction de la taille, de l'activité et des défis de l'organisation. En s'alignant sur la DORA, les mesures de cybersécurité restent flexibles face aux évolutions réglementaires et technologiques.

Les standards de cybersécurité intègrent intrinsèquement le concept d'amélioration continue. En alignant ces standards avec la DORA, les organisations peuvent maintenir leurs mesures de cybersécurité à jour face aux nouvelles menaces.

Se conformer à la DORA en mettant en œuvre l'ISO 27001

ISO 27001, ainsi que son Système de gestion de la sécurité de l'information (SGSI) compagnon, offre aux organisations un cadre structuré pour se conformer à la DORA. Cependant, la certification seule ne garantit pas la conformité ; tout dépend de la manière dont la norme ISO est mise en œuvre. Toutes les exigences de la DORA ne sont pas entièrement couvertes par ISO 27001/27002, il sera donc nécessaire d'ajouter ou de modifier des contrôles supplémentaires.

Les domaines clés où ISO 27001 soutient la conformité à la DORA :

  • Gestion des risques liés aux TIC: La norme ISO 27001 exige une évaluation des risques liés à la sécurité de l'information et la mise en œuvre de contrôles appropriés, en accord avec les processus systématiques de gestion des risques du DORA.
  • Réponse aux incidents et signalement: La norme ISO 27001 définit des contrôles pour la gestion des incidents de sécurité, qui correspondent aux exigences du DORA en matière de rapports d'incidents.
  • Test de résilience opérationnelle numérique: La norme ISO 27001 prévoit des contrôles pour la planification de la continuité des activités, ce qui correspond aux exigences du DORA en matière de tests de résilience.
  • Gestion des risques liés aux TIC pour les tiers: La norme ISO 27001 établit des contrôles pour la gestion de la sécurité de l'information avec les tiers, ce qui répond aux exigences du DORA en matière de gestion des risques liés aux tiers.
  • Partage d’information: ISO 27001 inclut des contrôles pour le partage d'informations et le renseignement sur les menaces, soutenant les mécanismes de partage d'informations externes de la DORA.

Cartographie des contrôles pertinents des cadres ISO 27001 aux 5 principaux piliers de la DORA.

Vers une conformité totale à la DORA

Bien que l'ISO 27001 fournisse une base solide, atteindre une conformité totale avec la DORA nécessite des mesures supplémentaires. Les organisations doivent :

  • Identifier les exigences spécifiques de la DORA qui ne sont pas entièrement couvertes par l'ISO 27001, telles que les obligations de signalement des incidents, les procédures de gestion des risques des tiers et les tests de reprise opérationnelle.
  • Réaliser des analyses de lacunes et des évaluations pour évaluer leur état actuel par rapport aux exigences de la DORA.
  • Adapter leur Système de gestion de la sécurité de l'information (SGSI) pour y intégrer des contrôles et des processus spécifiques à la DORA.
  • Élaborer et mettre en œuvre la documentation supplémentaire exigée par la DORA, y compris les procédures de signalement des incidents et les plans de reprise.

Comment la conformité au NIST CSF ouvre la voie au succès de la DORA

Le cadre de cybersécurité du NIST (NIST CSF) offre une approche structurée pour gérer et réduire les risques de cybersécurité, améliorant la communication sur la gestion des risques et la cybersécurité entre les parties prenantes internes et externes.

  • Gestion des risques liés aux TIC: Le NIST CSF offre une approche complète pour identifier, évaluer et gérer les risques de cybersécurité, en s'alignant sur le pilier de gestion des risques de la DORA.
  • Réponse aux incidents et signalement: Les fonctions « Répondre » et « Récupérer » du NIST CSF soutiennent la planification des réponses, les communications et l'analyse, en s'alignant sur les exigences de signalement des incidents de la DORA.
  • Test de résilience opérationnelle numérique: Les fonctions « Identifier » et « Protéger » du NIST CSF soutiennent les activités de planification de la résilience, aidant à l'identification des vulnérabilités et à l'amélioration des mesures de cybersécurité.
  • Gestion des risques liés aux TIC pour les tiers: Les fonctions « Gouverner », « Identifier » et « Protéger » du NIST CSF soutiennent la gestion des risques de la chaîne d'approvisionnement, en s'alignant sur les exigences de gestion des risques de la chaîne d'approvisionnement de la DORA.
  • Partage d’information: Le NIST CSF documente des sous-catégories de partage d'informations pour améliorer les pratiques de cybersécurité, en s'alignant sur le pilier de partage d'informations de la DORA.

Voici comment les contrôles du NIST CSF peuvent être mis en correspondance avec ceux de la DORA. Gestion des tiers.

GV.SC-01: Un programme de gestion des risques de la chaîne d'approvisionnement en cybersécurité, incluant la stratégie, les objectifs, les politiques et les processus, est établi et approuvé par les parties prenantes de l'organisation.

GV.SC-02: Les rôles et responsabilités en matière de cybersécurité pour les fournisseurs, les clients et les partenaires sont établis, communiqués et coordonnés en interne et en externe.

GV.SC-03: La gestion des risques de la chaîne d'approvisionnement en cybersécurité est intégrée à la gestion des risques de cybersécurité de l'entreprise, à l'évaluation des risques et aux processus d'amélioration.

GV.SC-04: Les fournisseurs sont identifiés et prioritaires en fonction de leur criticité.

GV.SC-05: Les exigences pour traiter les risques de cybersécurité dans les chaînes d'approvisionnement sont établies, prioritaires et intégrées dans les contrats et autres accords avec les fournisseurs et les tiers pertinents.

GV.SC-06: La planification et la diligence raisonnable sont effectuées pour atténuer les risques avant d'établir des relations formelles avec des fournisseurs ou d'autres tiers.

GV.SC-07: Les risques posés par un fournisseur, leurs produits et services, et d'autres tiers sont compris, enregistrés, priorisés, évalués, traités et surveillés tout au long de la relation.

GV.SC-09: Les pratiques de sécurité de la chaîne d'approvisionnement sont intégrées aux programmes de gestion des risques en cybersécurité et d'entreprise, avec une performance surveillée tout au long du cycle de vie des produits et services technologiques.

GV.SC-10: Les plans de gestion des risques de la chaîne d'approvisionnement en cybersécurité incluent des dispositions pour les activités après la conclusion d'un partenariat ou d'un accord de service.

ID.AM-03: Les représentations de la communication réseau autorisée de l'organisation et des flux de données internes et externes sont maintenues.

ID.AM-04: Les inventaires des services fournis par les fournisseurs sont maintenus.

ID.AM-05: Les actifs sont priorisés en fonction de leur classification, de leur criticité, de leurs ressources et de leur impact sur la mission.

ID.RA-09: L'authenticité et l'intégrité du matériel et des logiciels sont évaluées avant leur acquisition et leur utilisation.

ID.RA-10: Les fournisseurs critiques sont évalués avant l'acquisition.

PR.AA-01: Les identités et les identifiants des utilisateurs, services et appareils autorisés sont gérés par l'organisation.

PR.AA-02: Les identités sont vérifiées et liées aux identifiants en fonction du contexte des interactions.

PR.AA-03: Les utilisateurs, services et appareils sont authentifiés.

PR.AA-05: Les autorisations d'accès, les droits et les privilèges sont définis dans une politique, gérés, appliqués et révisés, en intégrant les principes du moindre privilège et de la séparation des tâches.

PR.AA-06: L'accès physique aux actifs est géré, surveillé et appliqué proportionnellement aux risques.

Intégration des contrôles CIS dans DORA

Dans le paysage évolutif de la cybersécurité mondiale, la résilience opérationnelle et la conformité réglementaire sont primordiales.

L'importance des défis posés par la cybersécurité nécessite une approche stratégique en corrélant des cadres éprouvés avec les exigences réglementaires.

Les CIS Controls sont un ensemble de meilleures pratiques recommandées conçues pour prévenir les cyberattaques les plus courantes. Développés par des experts en cybersécurité du CIS, ces contrôles offrent aux organisations une approche structurée pour sécuriser leurs systèmes informatiques et leurs données.

Les contrôles de sécurité critiques du Center for Internet Security (CIS Controls v8), avec 18 contrôles, offrent des recommandations concrètes aux organisations de toutes tailles pour prévenir les cyberattaques.

Les CIS Controls intègrent plus d'une douzaine de grands standards internationaux de cybersécurité, tels que SOC 2, HIPAA, MITRE ATT&CK, NIST et PCI DSS.

L'intégration des CIS Controls avec la DORA offre aux organisations une approche complète pour gérer les risques de cybersécurité et la conformité réglementaire. Elle fournit une méthodologie pratique pour atteindre la résilience exigée par la DORA grâce aux pratiques de sécurité éprouvées détaillées dans les CIS Controls.

Voici comment les contrôles CIS peuvent être mis en correspondance avec les DORA Gestion des tiers.

CIS Control 12: Network Infrastructure Management

• Identifier et évaluer les risques associés aux fournisseurs TIC tiers, établir des exigences contractuelles pour que les fournisseurs tiers respectent les normes de sécurité et surveiller la conformité des fournisseurs tiers aux obligations contractuelles.

CIS Control 15: Gestion des fournisseurs de services

• Établir un processus formel pour évaluer et sélectionner les fournisseurs TIC tiers, réaliser des évaluations de diligence raisonnable pour évaluer la posture de sécurité des fournisseurs potentiels et établir des accords contractuels incluant des dispositions relatives aux exigences de sécurité et à la supervision.

CIS Control 17: Gestion de la réponse aux incidents

• Inclure les fournisseurs tiers dans la planification et la coordination des réponses aux incidents, établir des canaux de communication pour signaler et répondre aux incidents de sécurité impliquant des fournisseurs tiers et effectuer des examens réguliers des performances et de la conformité des fournisseurs tiers.

Alors que la fréquence et la sophistication des cyberattaques dans le secteur financier continuent d'augmenter, la conformité à la DORA est plus cruciale que jamais. En s'alignant sur des normes de cybersécurité reconnues internationalement telles que l'ISO 27001, le NIST CSF et les CIS Controls, les institutions financières peuvent non seulement répondre aux exigences strictes de la DORA, mais aussi améliorer leur posture globale en matière de cybersécurité, garantissant ainsi la confiance et la continuité des activités dans un paysage numérique de plus en plus volatile.

En adoptant une approche proactive et structurée de la conformité, les institutions financières peuvent gérer efficacement le paysage complexe des risques de cybersécurité et des exigences réglementaires.

Jean-François SCHOONHEERE
CEO & founder Stroople
Désiré YAPI
Senior Cybersecurity Consultant

Need help?

Stroople provides compliance mapping against DORA through NIST CSF and ISO 27001 for your organization. Assess your DORA compliance with our experts.

Prendre RDV