Build a slender tower from small wooden blocks with a lot of care and strategy when placing them cor

Risque tiers : plus de sécurité ou simplement plus de bureaucratie ?

DORA vs. ISO/IEC 27001 et NIS-2
DQS feature article | First published in German on www.it-finanzmagazin.de

Bruxelles maintient le rythme : DORA, le règlement sur la résilience opérationnelle numérique. Il oblige les entreprises financières à prendre des mesures renforcées pour la sécurité informatique. Mais en quoi cette norme diffère-t-elle de l'ISO/IEC 27001 et de la directive NIS-2 ? Entretien avec Andre Säckel, responsable de programme pour les systèmes de management de la sécurité de l'information chez DQS.

Risque lié aux tiers. Ce terme apparemment difficile à comprendre du vocabulaire de l'UE est de nouveau très actuel. Un fabricant de logiciels de sécurité a récemment provoqué la plus grande panne informatique de l'histoire. Celle-ci a été causée par une erreur de programmation dans une mise à jour automatique. Il est probable que de nombreuses équipes informatiques se soient fiées à une mise à jour sans erreur et ne l'aient pas testée elles-mêmes - ce qui n'est pas une bonne idée, car il existe un risque lié aux tiers.

Le Digital Operational Resilience Act (DORA), qui entrera en vigueur à cette époque, les oblige notamment à prendre en compte les risques liés aux tiers. D'autres dispositions du DORA comprennent l'introduction de la gestion des risques informatiques, une obligation de reporting et l'obligation de réaliser des tests de sécurité réguliers. L'objectif est d'accroître la cybersécurité dans le secteur financier.

À partir de janvier 2025, négliger des éléments de base tels que les tests d'intégration des nouvelles versions dans le secteur financier pourrait entraîner des problèmes avec les autorités.

Andre Säckel Responsable de programme ISMS, DQS GmbH

Mais n'avons-nous pas des mesures similaires dans la NIS-2 ? Et les entreprises ne devraient-elles pas être certifiées ISO/IEC 27001 de toute façon ? Alors, DORA n'est-il qu'un excès bureaucratique ?

La question est compréhensible, car les trois normes visent à renforcer la sécurité des systèmes d'information et de communication (ICT). Séparer les différents sujets est utile.

ISO/IEC 27001, NIS-2 et DORA : similitudes et différences.

Tout d'abord, ISO/IEC 27001 : La norme reconnue pour les systèmes de management de la sécurité de l'information (SMSI) offre une approche systématique de la gestion de la sécurité informatique. Cela inclut la gestion des risques, la conformité, la protection des actifs, l'efficacité des processus et l'amélioration continue. La norme ISO, initialement volontaire, est devenue obligatoire en raison des évolutions du marché. Les entreprises utilisent la certification ISO/IEC 27001 comme un gage de confiance et une preuve de leurs efforts en matière de sécurité de l'information. Il est difficile d'imaginer une activité sans cette certification ; son absence est souvent un critère éliminatoire. "En Europe", poursuit Säckel, "cela est aussi dû au fait que la directive sur la cybersécurité NIS-2 (Network and Information Security Directive 2) exige implicitement la certification conforme à l'ISO/IEC 27001.

Cela s'explique par le fait que la NIS-2 définit les entreprises faisant partie de l'infrastructure critique et pour lesquelles des normes de cybersécurité exceptionnellement strictes s'appliquent. Les entreprises concernées doivent mettre en place des mesures techniques et organisationnelles pour assurer la cybersécurité et sécuriser les réseaux et systèmes selon les normes les plus récentes. Cela inclut la mise en place d'un système de gestion correspondant et, comme point central, une obligation de signalement. Les entreprises doivent informer les autorités de leur pays des incidents significatifs dans un délai court et sont soumises à des délais stricts. En fonction du type d'organisation et de la nature de l'incident, la notification initiale doit être effectuée dans les 24 heures ou même immédiatement. "Les systèmes de gestion, les obligations de signalement, les normes les plus récentes — tout cela se retrouve aussi dans DORA", commente Säckel.

Cependant, la loi sur la sécurité de l'UE est exclusivement dédiée au secteur financier et introduit des régulations supplémentaires qui vont au-delà de la NIS-2. Son objectif principal est de garantir que les institutions financières et leurs prestataires de services de niveau 1 puissent résister et se remettre rapidement des cyberattaques et des interruptions des activités. Pour le prouver, les entreprises sont tenues, par exemple, de revoir régulièrement leur sécurité, notamment par des exercices de crise cybernétique. De plus, DORA prend en compte l'intervention des autorités de surveillance concernant le risque lié aux tiers : les prestataires de services informatiques opérant dans le secteur financier peuvent être inspectés directement par les autorités de surveillance (y compris sur place). Si les résultats sont négatifs, les autorités de surveillance peuvent forcer les entreprises financières à cesser de travailler avec ces prestataires.

En cas de problèmes graves, l'Office fédéral allemand pour la sécurité de l'information (BSI) pourra intervenir.

Le dernier point souligne la nature particulière de DORA : elle ne repose pas uniquement sur l'auto-déclaration ou les audits. Elle est néanmoins structurée davantage comme l'autorité de supervision du commerce allemand, qui peut inspecter les entreprises sur place. En Allemagne, la BaFin et la Bundesbank assumeront ce rôle pour DORA. Le dysfonctionnement informatique mentionné au début de l'article, qui a également eu de graves conséquences en Allemagne, pourrait être un cas ayant conduit le BSI à intervenir auprès des entreprises affectées dans le secteur financier. Cependant, selon Säckel, "il est encore incertain à quoi ressemblerait concrètement un tel audit – les autorités doivent également s'adapter à DORA."

La nouvelle loi sur la sécurité montre que de nombreuses régulations de l'UE suivent une logique interne et ne servent pas à une autosatisfaction bureaucratique : plus l'industrie est critique, plus les règles sont strictes. Mais il y a une bonne nouvelle, selon lui, car "les entreprises financières déjà certifiées ISO sont dans une excellente position de départ."

Elles disposent d'un système de management de la sécurité de l'information (SMSI) comme base solide. DORA étend cette base en incluant des exigences spécifiques pour améliorer la résilience numérique.

À l'instar de l'ISO/IEC 27001, DORA met fortement l'accent sur la gestion des actifs informatiques. Elle exige une documentation et une évaluation détaillées de toutes les ressources informatiques afin de déterminer leur besoin de protection. Cela est complété par une gestion des risques globale qui identifie et évalue les menaces. DORA exige également que les partenaires externes répondent aux exigences. Ainsi, les entreprises financières n'auront d'autre choix que de vérifier leurs prestataires de services et de leur demander des déclarations de conformité.

Se renforcer, car les cybercriminels ne dorment jamais

Dans la pratique, DORA entraîne des exigences claires. Par exemple, les entreprises financières doivent prendre des précautions pour la sauvegarde et la restauration. Ce faisant, elles doivent mettre en place des processus garantissant l'intégrité et la disponibilité des sauvegardes. Il est particulièrement important de déterminer le risque de perte de données, c'est-à-dire les dommages potentiels causés par une défaillance informatique et le temps nécessaire à l'entreprise pour reprendre ses opérations normales. "Ces deux indicateurs aident à développer une stratégie de reprise après sinistre."

C'est le composant le plus important de la gestion de la continuité des affaires (BCM). Dans les entreprises financières, cela englobe bien plus que la simple récupération des opérations informatiques. Il est donc important que tous les plans d'urgence dans le cadre du BCM soient pratiques. Ils doivent être régulièrement revus et testés lors d'exercices d'urgence pour s'assurer qu'ils fonctionnent en situation de crise. Cela inclut également un test de la sauvegarde des données et de la récupération côté informatique. Les deux doivent fonctionner sans accroc, et les données et systèmes récupérés doivent être fonctionnels après la sauvegarde. Cela ne peut être réalisé que par des tests pratiques. Cependant, les entreprises devraient "s'abstenir de mettre en œuvre DORA & Co. en une seule étape. Les exigences de l'UE appellent à un processus d'amélioration continue."

Cela a du sens dans le domaine dynamique de l'informatique et les évolutions parfois tumultueuses de la cybersécurité. Par conséquent, le cycle PDCA (Plan-Do-Check-Act) est un composant central de DORA. Compte tenu de la nature dynamique de la cybercriminalité, il favorise le développement continu des mesures de sécurité. Les obligations légales en vertu de la NIS-2 et de DORA garantissent que le secteur financier, en tant que partie de l'infrastructure critique, fasse tout ce qui est en son pouvoir pour être particulièrement sécurisé.

andre säckel expert for information security at dqs

André Säckel est responsable de programme pour les Systèmes de Management de la Sécurité de l'Information (ISMS) chez DQS depuis 2017. Expert expérimenté en informatique et en gestion, il a étudié l'informatique avec une spécialisation en mathématiques et en administration des affaires à la TU Bergakademie Freiberg, puis a travaillé pendant cinq ans en tant qu'analyste système chez Accenture et en tant que responsable technique chez Ajilon en Australie. Il possède une vaste expérience dans la certification des systèmes de management et est auditeur pour les normes ISO/IEC 27001 et TISAX. 

Cet article a été publié pour la première fois en allemand sur www.it-finanzmagazin.de/dora-vs-iso-iec-27001-und-nis-2-drittanbieterrisiko-215736/

Vous avez des questions ?

Nous sommes là pour vous.
Nous con­tac­ter