DEVLHON Consulting décrypte la réglementation DORA : Renforcer la résilience numérique des entreprises financières en Europe
Le Digital Operational Resilience Act (DORA), nouveau cadre législatif de l’Union européenne, vise à améliorer la résilience opérationnelle numérique des entreprises du secteur financier. D’ici début 2025, les entreprises opérant au sein de l’UE, ainsi que leurs prestataires en technologies de l’information et de la communication (TIC), devront se conformer à ces nouvelles exigences. Ce règlement ne se limite pas à une simple mise en conformité, mais impose une refonte de la gestion des risques numériques au sein des organisations.
Les cinq piliers de la conformité DORA
DORA repose sur cinq piliers de résilience, essentiels pour garantir la sécurité et la continuité des services dans un contexte de menaces numériques croissantes :
- Gestion des risques liés aux TIC
- Gestion et signalement des incidents TIC
- Tests de résilience numérique
- Gestion des risques liés aux tiers TIC
- Partage d’informations
Ces piliers exigent des entreprises qu’elles mettent en place des mécanismes solides pour anticiper, prévenir et réagir aux perturbations numériques, notamment via une gestion proactive des risques et une surveillance continue de leurs systèmes critiques, comme Active Directory (AD), souvent au cœur des systèmes informatiques.
L’importance d’Active Directory dans la conformité DORA
Active Directory est essentiel pour la gestion des identités et des accès au sein des entreprises financières. Toute défaillance de cet élément critique pourrait paralyser l’ensemble des services. Ainsi, la sécurité de cet environnement doit répondre aux exigences des cinq piliers de DORA.
Gestion des risques TIC : Les entreprises doivent prouver qu’elles maîtrisent totalement la configuration d’AD et sont capables de récupérer l’accès rapidement en cas de panne. La surveillance continue et les outils comme Semperis Directory Services Protector (DSP) jouent ici un rôle clé, en permettant l’automatisation des évaluations et la détection proactive des menaces.
Gestion des incidents TIC : DORA impose des processus standardisés pour signaler les incidents liés aux TIC à différents stades (initial, intermédiaire, final). Les incidents liés à Active Directory, compte tenu de son importance pour la continuité des activités, doivent être classifiés de manière appropriée, avec des rôles clairs attribués pour la réponse.
Tests de résilience numérique : La réalisation de tests de résilience est obligatoire sous DORA, mais tester Active Directory peut être complexe. Simuler des scénarios d’attaques ou de pannes dans un environnement de test isolé peut aider à identifier les faiblesses tout en minimisant les risques pour le système principal.
Gestion des risques tiers : Les prestataires de services TIC, souvent intégrés via Active Directory, augmentent les risques pour les entreprises. Il est essentiel de gérer ces risques par une surveillance continue et des audits réguliers des accès et des activités des tiers.
Partage d’informations : DORA encourage les entreprises à collaborer avec leurs pairs pour partager des informations sur les menaces et les incidents, contribuant ainsi à renforcer la sécurité globale du secteur financier.
Un défi stratégique pour les dirigeants
Sous DORA, les Conseils d’administration et Directions générales ont un rôle crucial. Ils doivent s’assurer que leur entreprise est préparée à faire face aux menaces numériques et prendre les décisions d’investissement nécessaires pour renforcer la résilience des systèmes critiques. Par exemple, en investissant dans des technologies de surveillance proactive, les entreprises seront mieux armées pour répondre aux exigences du règlement, tout en renforçant leur sécurité globale
Conclusion
Le DORA représente une transformation majeure pour les entreprises financières de l’UE. En plus de se conformer à un cadre réglementaire strict, elles doivent adopter une approche proactive pour renforcer leur résilience numérique. Active Directory, au cœur de l’infrastructure numérique, est un élément clé de cette stratégie. Grâce à une gestion efficace des risques, des tests de résilience rigoureux et une collaboration avec les prestataires externes, les entreprises seront mieux préparées à faire face aux perturbations et menaces numériques dans un environnement toujours plus complexe.