Table of Contents
La résilience opérationnelle numérique est un enjeu clé pour le secteur financier, d’autant plus avec l’arrivée d’une législation européenne majeure en la matière : DORA.
La résilience opérationnelle désigne la capacité d’une organisation à résister, s’adapter et se rétablir face aux incidents cyber. Elle vise à garantir la continuité des opérations essentielles malgré une attaque, une panne, une violation ou tout autre type d’incident.
Une entité financière est résiliente lorsqu’elle est capable de développer, garantir et réévaluer son intégrité opérationnelle d’un point de vue technologique, en assurant l’intégralité des capacités liées à l’informatique nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers. (DORA, Article 3)
Les 4 composantes de la résilience opérationnelle numérique
La résilience opérationnelle numérique repose sur une approche holistique de la cybersécurité qui intègre la technologie, les processus, les politiques, le juridique, les ressources humaines et la culture organisationnelle. Elle vise à réduire les risques, à minimiser les impacts des incidents et à assurer la continuité des activités, tout en favorisant une amélioration continue de la sécurité de l’infrastructure financière.
La résilience opérationnelle numérique s’articule autour de ces axes principaux :
- Anticipation et prévention ;
- Détection ;
- Réponse ;
- Récupération et adaptation.
1. L’anticipation et la prévention
La mise en place de mesures de sécurité appropriées pour réduire le risque numérique. Cela peut inclure un plan de continuité d’activité (PCA) et une politique de gouvernance, l’utilisation de pare-feux, de logiciels antivirus, de systèmes de détection d’intrusion, de contrôles d’accès, de formations… En somme, tous les outils et processus permettant d’anticiper et de prévenir les risques cyber.
2. La détection
La surveillance de l’apparition d’incidents pour réduire leurs conséquences. Cela implique la surveillance continue du réseau, l’utilisation de systèmes de détection d’intrusion, de journaux d’événements et d’outils d’analyse de ces journaux pour repérer les comportements suspects ou les signes d’activité malveillante. En somme, toutes les mesures permettant de détecter un incident et de le mitiger avant qu’il n’entraîne de conséquences négatives.
3. La réponse
En cas d’incident, mise en place d’une réponse immédiate, efficace et organisée pour contenir les risques. Cela passe par l’application du plan de continuité d’activité, la mobilisation des équipes de sécurité, l’analyse des causes profondes de l’incident, la collaboration avec les autorités compétentes et la communication interne/externe. En somme, tous les processus permettant de contenir un incident pour en limiter les conséquences.
4. La récupération et l’adaptation
Après un incident, le rétablissement des opérations de fonctionnement de l’organisation. Cela implique la restauration des systèmes à partir de sauvegardes, la mise en place de correctifs de sécurité, la révision des politiques et des procédures, et l’évaluation des dommages et des enseignements à tirer. En somme, tout ce qui permet de revenir à la normale et d’éviter qu’un autre incident cyber ne survienne.
Le Digital Operational Resilience Act (DORA)
La résilience opérationnelle numérique du secteur financier est l’objectif du Règlement DORA (Digital Operational Resilience Act), un texte majeur de l’Union européenne.
Par l’entremise de DORA, la défense se met au service d’une cause supérieure : la résilience. Les entités financières ne doivent plus uniquement se défendre contre les incidents et cyberattaques ; elles doivent y résister.
Il est essentiel pour le secteur financier de se conformer à ces nouvelles exigences, puisque DORA entrera en vigueur dans tous les pays de l’UE le 17 janvier 2025. Elle vient compléter la Directive NIS2, un autre texte phare de l’UE en matière de cybersécurité pour les entités importantes.
Résilience opérationnelle numérique : quels enjeux pour le secteur financier ?
La résilience opérationnelle numérique revêt une importance capitale pour le secteur financier en raison des enjeux spécifiques auxquels il est confronté.
Préservation des actifs financiers
Le secteur financier gère des actifs de grande valeur, tels que des fonds, des données sensibles sur les clients, des informations de compte et des transactions financières. La résilience face aux cybermenaces est essentielle pour protéger ces actifs contre les attaques, les violations de données et les fraudes, afin de maintenir la confiance des clients et d’éviter les pertes financières.
Garantie de la continuité des opérations
Les institutions financières jouent un rôle vital dans l’économie en fournissant des services financiers indispensables. Cependant, les cyberattaques peuvent entraîner des interruptions de service, des défaillances systémiques et des perturbations significatives. La résilience vise à minimiser l’impact de ces incidents, à préserver la continuité des opérations et à réduire les pertes financières, préservant ainsi la stabilité du secteur financier.
Conformité réglementaire
Les institutions financières sont soumises à un corpus de réglementations en matière de cybersécurité. Elles doivent s’y conformer afin de protéger les informations des clients, prévenir le blanchiment d’argent, lutter contre le financement du terrorisme, etc. Il est essentiel de se conformer à ces impératifs réglementaires en mettant en place des mesures appropriées.
Gestion des risques
Les risques liés à la cybersécurité sont en perpétuelle évolution, avec l’émergence régulière de nouvelles menaces, vulnérabilités et techniques d’attaque. La résilience enjoint les institutions financières à gérer activement ces risques en identifiant les vulnérabilités, en surveillant les activités suspectes, en renforçant leurs défenses et en élaborant des plans de réponse aux incidents.
Préservation de la réputation
Les incidents de cybersécurité peuvent entraîner une détérioration de la réputation des institutions financières, avec des conséquences à long terme sur leur activité. La résilience permet de préserver la réputation en minimisant les pertes de données, en garantissant une réaction rapide et efficace aux incidents, ainsi qu’en mettant en place des mesures préventives visant à réduire les risques.
Des tests de résilience opérationnelle pour détecter et hiérarchiser les vulnérabilités
Plusieurs mesures doivent être prises pour être en conformité avec le Règlement DORA et répondre aux enjeux de la résilience opérationnelle numérique.
Lire aussi : DORA : Guide de conformité complet pour le secteur financier
Parmi elles : les tests de résilience. DORA dispose que les entités financières doivent soumettre “au moins une fois par an, tous les systèmes et applications de TIC qui soutiennent des fonctions critiques ou importantes à des tests appropriés.” (Article 24.6). Ces tests sont regroupés dans un programme de tests de résilience opérationnelle numérique qui adopte une approche basée sur le risque. Il englobe une série d’évaluations, de tests, de méthodologies et d’outils.
En tant que spécialiste de la Sécurité Offensive, Yogosha propose différentes approches pour atténuer les risques numériques, comme le Pentest as a Service et le Bug Bounty.
- Pentest as a Service : un audit de sécurité lancé en moins d’une semaine et pour un prix fixe. Défrichez la plupart des vulnérabilités dans un produit et évaluez son niveau de sécurité à un instant T, ou planifiez plusieurs pentests tout au long de votre cycle de développement dans le cadre d’une approche DevSecOps.
- Bug bounty : une chasse aux vulnérabilités en profondeur avec les chercheurs en sécurité de la Yogosha Strike Force. Identifiez les failles les plus critiques avec une logique de paiement aux résultats. Pas de vulnérabilités = pas de dépenses, vous ne récompensez que les résultats exploitables.
Bien évidemment, toutes les opérations que nous proposons aux acteurs du secteur financier sont réalisées en stricte conformité avec les nouvelles exigences de DORA.
Vous souhaitez en savoir plus ? Contactez-nous !