Skip to main content

DORA : guide des tests de sécurité pour les entités réglementées

Sébastien Palais
18/12/2023
6 min read

Accélérez votre mise en conformité DORA avec ce guide complet des tests de sécurité pour les entités réglementées par le Digital Operational Resilience Act.

Le Règlement DORA (n°2022/2554), ou Digital Operational Resilience Act, est un texte législatif majeur de l’Union européenne sur la cybersécurité des entités financières, telles que les banques ou les établissements de crédit. Il vise à élever le niveau de résilience numérique du secteur financier dans son ensemble, à travers des obligations individuelles applicables à chaque établissement réglementé.

Parmi ces obligations, il en est une qui mérite une attention particulière : les tests de sécurité numérique. Ils constituent un élément central du règlement, qui leur consacre tout son chapitre IV. Le sujet est riche et complexe, aussi avons-nous décidé d’y consacrer une étude complète, à savoir le présent document.

Vous pouvez poursuivre la lecture de ce guide sous forme d’articles sur notre blog, ou le télécharger ci-dessous au format PDF pour une lecture plus aisée.

DORA : guide des tests de sécurité pour les entités réglementées

Un guide de conformité de 60 pages pour guider les responsables de la sécurité des entités réglementées par DORA à travers les obligations de test de sécurité prévues par le règlement : les tests de résilience et les tests de pénétration fondés sur la menace (TLPT).

TÉLÉCHARGEZ L'E-BOOK !

Explorer les tests de sécurité et leurs enjeux pour les entités financières

Au cours des prochaines pages, nous explorerons :

  1. les différentes obligations introduites par DORA en matière de tests de sécurité, texte officiel à l’appui ;
  2. les défis qui se posent aux RSSI et autres gestionnaires de risques des établissements réglementés, afin d’apporter des pistes de réflexion et, parfois, des solutions.

Avant toute chose, précisons que ces quelques lignes – aussi exhaustives qu’elles se veulent – ne sauraient se substituer aux nécessaires diligences de chacun en matière de conformité, ni à l’expertise d’un acteur du monde juridique. Il appartient donc à chacun de veiller à sa bonne conformité, et ce document ne doit pas être pris pour plus que ce qu’il est : une contribution particulière à la réflexion sur la mise en œuvre du Règlement DORA.

Par ailleurs, soulignons aussi que les tests de sécurité ne sont que l’un des nombreux sujets amenés par DORA. Pour une première approche plus holistique de la réglementation, nous vous recommandons de lire notre guide de conformité complet à DORA ; une checklist en 17 points pour vous aider à préparer au mieux les différents aspects de la législation – cadre de gestion du risque TIC, PCA et PRA, processus de gestion des incidents, plans de communication en situation de crise…


DORA : Guide de conformité complet pour le secteur financier

Un guide de 50 pages pour accompagner les RSSI, les DPO et les services juridiques dans l'application de la réglementation européenne. Aucun blabla, rien que des conseils pratiques et des analyses exploitables.

TÉLÉCHARGEZ L'E-BOOK !

Entrons maintenant dans le vif du sujet : DORA et les tests de sécurité.

Pourquoi DORA introduit-il une obligation de tester les actifs ?

Avant d’examiner les tests de sécurité introduits par DORA, il convient de comprendre pourquoi le règlement impose aux entités financières de tester leurs actifs.

Face aux risques portés par les systèmes d’information, les régulateurs nationaux puis européens ont publié des règles et recommandations. Cette première étape, nécessaire, a alimenté une logique de mise conformité qui aurait pu supplanter une culture du résultat. Il y a quelques années, les fournisseurs de service de bug bounty tout comme les concepteurs de TIBER-EU ont rapidement identifié cette évolution défavorable dont le traitement est désormais intégré à la réglementation globale.

Les organisations ont tout intérêt à tester leurs actifs numériques pour identifier et remédier aux vulnérabilités potentielles. Les tests permettent de simuler des attaques, offrant ainsi une vision réaliste des failles de sécurité et de l’exploitation qui pourrait en être faite. En comprenant leurs faiblesses, les organismes peuvent adapter leurs défenses, et améliorer la protection des données sensibles. Cela permet non seulement de réduire les risques et la probabilité de graves conséquences financières, mais aussi de préserver la confiance que les citoyens accordent aux établissements financiers.

Investir dans des tests de sécurité conditionne une cybersécurité robuste et renforce la résilience numérique des entités financières, ce qui est l’objectif premier de DORA.

Deux axes de tests distincts : les tests de résilience et les tests de pénétration fondés sur la menace

L’obligation de tester les actifs numériques amenée par DORA se décline en deux axes :

  • 1. Un programme de tests de résilience opérationnelle numérique :
    • obligatoire pour toutes les entités assujetties à DORA ;
    • à réaliser au moins une fois par an pour les systèmes et applications qui soutiennent des fonctions critiques ou importantes ;
  • 2. Des “tests de pénétration fondés sur la menace”, ou TLPT pour “Threat-Led Penetration Tests” :
    • obligatoires pour les entités financières les plus importantes, désignées par les autorités compétentes de chaque pays ;
    • à réaliser tous les 3 ans au minimum.

Les tests de résilience sont obligatoires pour toutes les entités dans le scope de DORA, là où les TLPT sont des tests renforcés réservés aux entités financières dont la défaillance aurait des effets systémiques.

En miroir au texte de DORA, ce document s’intéressera :

  • dans un premier temps aux tests de résilience et à leurs enjeux
  • puis dans un second temps aux TLPT et au framework TIBER-EU.

L’importance de la cartographie du SI

Afin de conduire des tests de la manière la plus efficace possible, il est important de cartographier l’ensemble du système d’information. Cet inventaire complet n’est pas dicté seulement par le bon sens, mais aussi par le texte final de DORA puisque c’est un élément obligatoire du cadre de gestion du risque TIC. Cette étape vous permettra d’avoir une vue sur la totalité des actifs de l’organisation, puis de les classer par criticité et niveau de risque. Cette vue holistique doublée d’une priorisation des actifs permettra de cadrer au mieux votre stratégie de tests de sécurité.

Néanmoins, sans ignorer l’intérêt des cartographies exhaustives du SI que préconise DORA, des évidences s’imposent en matière de test de systèmes critiques – qu’il conviendrait de mener à bien sans délai afin de tenir les délais d’application dudit règlement.

Liens vers les chapitres suivants

Passons maintenant au premier grand chapitre de ce guide :

  1. DORA : les tests de résilience opérationnelle numérique

Si vous le souhaitez, vous pouvez également passer directement aux chapitres suivants :

  1. DORA : le défi du passage à l’échelle des tests de sécurité
  2. DORA : les tests de pénétration fondés sur la menace (TLPT)
  3. DORA : réussir les TLPT, une question de ROI pour les RSSI

Plus ?

Interviews

eazy chez Mazars : “Il faut aller plus loin que le pentest classique”

Comment concilier cybersécurité et expertise comptable ? Christophe Ballihaut orchestre la transformation digitale du métier…
Sébastien Palais
Sébastien Palais07/03/2024

Hackers : 4 voies pour rejoindre la Yogosha Strike Force

Les chercheurs en sécurité peuvent à présent intégrer la Yogosha Strike Force (YSF) via quatre…
Yogosha
Yogosha02/02/2024

DORA : les tests de résilience opérationnelle numérique

Découvrez tout ce qu'il faut savoir sur le programme de tests de résilience opérationnelle numérique,…
Sébastien Palais
Sébastien Palais18/12/2023