16 min reading Tue May 07 2024
La certification ISO 27001 est-elle suffisante pour DORA ?
Si vous êtes RSSI, DPO ou expert en cybersécurité, vous ne pouvez pas échapper à NIS2 (Network and Information Security 2) et DORA (Digital Operational Resilience Act), deux textes majeurs de la législation de l'Union européenne en matière de cybersécurité.
Bien que la loi DORA l'emporte sur la loi NIS2, cette dernière vise également les banques et les infrastructures des marchés financiers. La loi DORA prévaut sur la loi NIS2, mais cela ne signifie pas que la loi NIS2 ne s'applique pas aux entreprises qui sont visées par les deux lois. Le DORA prévaut dans les domaines qui se chevauchent, mais lorsqu'il s'agit de domaines du NIS2 qui ne sont pas couverts par le DORA (par exemple l'article 21 I. sur la sécurité des ressources humaines, ou l'article 21 J. sur l'utilisation de l'AMF et du cryptage), le NIS2 s'applique également aux entités financières.
Cet article explique les différences et les chevauchements entre DORA et NIS2 et comment ISO 27001, la principale norme de cybersécurité, permet à une entreprise de se conformer à DORA (et aux parties de NIS2 qui ne se chevauchent pas).
Si vous êtes intéressé par le NIS2, consultez notre article sur le NIS2 et l'ISO 27001.
DORA vs NIS
Directive vs règlement
Le NIS2 est une directive, tandis que la DORA est un règlement. Une directive fournit des orientations aux États membres, qui les transposent dans le droit national de leur pays. Ce processus laisse une marge d'interprétation et, dans une certaine mesure, de flexibilité aux États membres. Un règlement, en revanche, s'applique sans modification dans tous les États membres dès son entrée en vigueur. Il s'agit d'un acte législatif contraignant qui doit être appliqué dans son intégralité.
Dora laisse toutefois aux États membres la possibilité d'affiner le règlement, par exemple dans le domaine des sanctions administratives et pénales.
Dates d'entrée en vigueur
Le règlement DORA sera applicable tel quel dans tous les pays de l'UE dès son entrée en vigueur, prévue pour le 17 janvier 2025 (24 mois après sa publication au Journal officiel de l'UE). Cette date est clairement indiquée à l'article 64 du règlement DORA.
La directive NIS2 a été publiée au Journal officiel de l'UE le 27 décembre 2022 et les États membres disposent de 21 mois à compter de cette date pour la transposer en droit national, c'est-à-dire avant octobre 2024. Il est généralement admis qu'il y aura une période de transition ou de "grâce" de 12 à 24 mois.
Industries financières et industries essentielles/importantes
La loi DORA s'applique à 21 types de prestataires de services financiers visés à l'article 2. Il s'agit de
- Les organisations traditionnelles (banques, établissements de crédit, entreprises d'investissement, compagnies d'assurance)
- Des types plus récents de sociétés financières (organismes de paiement, sociétés de monnaie électronique, plateformes de crowdfunding, sociétés de communication de données (financières), référentiels de titrisation).
- Des intermédiaires (de produits d'assurance)
- Des fournisseurs de TIC aux types d'entreprises susmentionnés
Les "très petites entreprises", c'est-à-dire les entités financières qui emploient moins de dix personnes et dont le chiffre d'affaires annuel et/ou le total du bilan n'excède pas 2 millions d'euros, sont exemptées. Pour les intermédiaires, l'exception est plus large : les entreprises qui emploient moins de 250 personnes ou dont le chiffre d'affaires est inférieur à 50 millions d'euros ou dont le bilan est inférieur à 43 millions d'euros sont exemptées.
Bien que la loi DORA l'emporte sur la loi NIS2 (voir cet article pour savoir à quelles entreprises s'applique la loi NIS2), cette dernière vise également les banques et les sociétés d'infrastructure des marchés financiers, sans trop de détails, afin de cibler des types d'entreprises qui ne sont pas explicitement visés par la loi DORA. Il est important de noter que le fait que la loi DORA prévale ne signifie PAS que la loi NIS2 ne s'applique pas aux entreprises visées par les deux lois. Le DORA prévaut dans les domaines de chevauchement, mais lorsqu'il s'agit de domaines du NIS2 qui ne sont pas couverts par le DORA (par exemple l'article 21 I. sur la sécurité des ressources humaines, ou l'article 21 J. sur l'utilisation de l'AMF et du cryptage), le NIS2 s'applique également aux entreprises qui sont visées par le DORA.
Il convient de noter que le NIS 2, contrairement au NIS 1, s'applique également aux entreprises "importantes", y compris les cabinets d'experts-comptables (qui ne sont pas soumis à la loi DORA).
Les objectifs
Dans plusieurs articles et billets de blog, des experts ont exprimé les différences entre DORA et NIS 2. Ces articles indiquent que les deux ont des objectifs différents. NIS 2 se concentre sur "l'harmonisation de la défense de la cybersécurité dans l'UE", tandis que DORA vise principalement la "résilience contre les attaques de cybersécurité".
Il existe en effet des différences importantes entre les deux :
- Dans le cadre du DORA, les incidents doivent être signalés dans les quatre heures suivant leur classification ou au plus tard dans les 24 heures suivant leur détection. Dans le cadre de la NIS, une alerte rapide doit être envoyée au CSIRT compétent dans les 24 heures suivant la découverte d'un incident important, et une notification de l'incident doit être envoyée au CSIRT compétent dans les 72 heures suivant la découverte d'un incident important. L'obligation d'information prévue par la loi DORA est donc plus stricte.
- En vertu de la loi DORA, les entités financières doivent informer leurs clients des incidents et des menaces importantes en matière de cybersécurité, alors que la loi NIS2 n'exige pas des entreprises qu'elles signalent les incidents à leurs clients.
- La loi DORA est beaucoup plus exigeante en ce qui concerne les tests de sécurité : un programme de tests de résilience au moins une fois par an, et un test de pénétration basé sur les menaces au moins tous les trois ans. Le NIS-2 exige des audits de sécurité tous les deux ans.
Cependant, nous pensons que DORA et NIS2 ont plus de points communs que de différences, ce qui se traduit par des processus, des outils et des procédures très similaires à mettre en place pour assurer la conformité. Après tout, une meilleure défense se traduit par une plus grande résilience.
Exigences DORA et chevauchement NIS2
Voici les 5 piliers du règlement DORA et leurs équivalents NIS2 :
1/ Gestion des risques liés aux technologies de l'information et de la communication (TIC)
Le règlement DORA exige que la direction générale prenne la responsabilité de la gestion des risques liés aux TIC, identifie les fonctions critiques et établisse un cadre de gestion des risques basé sur les normes internationales. Ce cadre de gestion doit être revu chaque année.
→ NIS2 L'article 20 exige que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion du risque de cybersécurité prises et en supervisent la mise en œuvre.
→ L'article 21 (A) de la NIS2 exige des entreprises qu'elles définissent des politiques en matière d'analyse des risques et de sécurité des systèmes d'information.
Ce cadre doit comprendre une stratégie de cyber-résilience, des audits réguliers pour identifier les lacunes et une formation à la cybersécurité. Tous les employés de l'entreprise, y compris les membres de la direction, devraient recevoir une formation à la cybersécurité adaptée à leur poste et à leurs responsabilités.
→ L'article 21 (G) du NIS2 exige des entreprises qu'elles mettent en œuvre des pratiques de base en matière de cyberhygiène et qu'elles dispensent une formation à leurs employés.
2/ Signaler les incidents liés aux technologies de l'information et de la communication
Le règlement DORA impose aux entités financières d'expurger et de transmettre les rapports sur les incidents liés aux technologies de l'information et de la communication. La directive vise à harmoniser la détection et la déclaration des incidents dans toute l'Europe.
→ De même, l'article 23 de la directive NIS2 impose aux entreprises de signaler les incidents aux autorités compétentes.
Comme indiqué plus haut, les délais de notification pour les entreprises soumises à la DORA sont plus stricts.
3/ Tests de résilience opérationnelle numérique
Les institutions financières devraient effectuer au moins une fois par an des tests de résilience et de vulnérabilité de l'infrastructure numérique, menés par des parties indépendantes. Ces tests sont conçus pour évaluer la capacité des entreprises ciblées à gérer les incidents et à identifier les faiblesses des systèmes, en utilisant une approche basée sur le risque. Avant de mettre en œuvre de nouveaux services ou de mettre à niveau les services existants qui soutiennent leurs fonctions critiques, des évaluations de la vulnérabilité sont nécessaires pour garantir la résilience opérationnelle des systèmes informatiques.
→ Article 21 (C) de la NIS. Les organisations doivent planifier la manière dont elles entendent assurer la continuité de leurs activités en cas d'incidents cybernétiques majeurs. Ce plan doit inclure des considérations sur la récupération des systèmes, les procédures d'urgence et la mise en place d'une équipe d'intervention en cas de crise.
→ Article 21 (E) de la NIS2. Exige des entreprises qu'elles mettent en œuvre des évaluations de la sécurité lors de l'acquisition, du développement et de la maintenance des réseaux.
→ NIS2 Article 21 (F). Oblige les entreprises à mettre en œuvre des politiques et des procédures pour évaluer l'efficacité des mesures de sécurité mises en œuvre.
4/ Gestion des risques liés aux tiers
La DORA étend les obligations concernant l'externalisation des services TIC à des fournisseurs tiers, en exigeant des entités financières qu'elles gèrent les risques associés à ces fournisseurs. Elles doivent évaluer les risques contractuels, résilier les contrats avec les fournisseurs présentant des risques de cybersécurité et produire un rapport annuel sur les accords TIC. Le règlement DORA définit des principes clés pour la gestion des risques associés aux fournisseurs de TIC.
→ L'article 21 (D) de la NIS2 exige des entreprises qu'elles mettent en œuvre une gestion des risques liés à la chaîne d'approvisionnement.
Alors que le NIS2 met l'accent sur l'aspect sécuritaire de la gestion des risques liés aux tiers et que le DORA se concentre sur la gestion globale des risques, l'objectif final du NIS2 est le même que celui du DORA : assurer la continuité des activités des entreprises ciblées.
5/ Partage d'informations et de renseignements
La DORA encourage les institutions financières à partager des informations sur les cybermenaces afin de réduire les risques liés aux TIC. Le règlement autorise les entités financières à établir des accords de partage d'informations tout en garantissant la protection des données personnelles.
→ L'article 29 de la NIS2 charge les États membres de veiller à ce que l'échange d'informations sur les menaces et les incidents ait lieu au sein des communautés d'entités essentielles et importantes et, le cas échéant, de leurs fournisseurs ou prestataires de services.
Correspondance entre DORA et ISO 27001
Comme pour NIS2, la norme ISO 27001 et le système de gestion de la sécurité de l'information (SGSI) qui l'accompagne fournissent aux organisations la structure et les éléments de base pour se conformer à DORA. Cependant, la certification ISO 27001 n'est pas un chèque en blanc pour la conformité à DORA - tout dépend de la manière dont vous mettez en œuvre la norme ISO.
Le tableau ci-dessous établit une correspondance entre les exigences des DORA, les exigences NIS2 qui ne se recoupent pas et les contrôles ISO 27001:2022 (et ISO 27002:2022).
| DORA chantier | ISO 27001:2022 Controles | ISO 27002:2022 Controles |
|---|---|---|
| Information and Communication Technology (ICT) risk management - Governance (Article 5) | Annex A 5.31 Annex A 5.34 Annex A 5.35 Annex A 5.36 Annex A 6.3 | 5.1 5.31 5.34 5.35 5.36 6.3 |
| Information and Communication Technology (ICT) risk management - Risk management (Article 6, 16) | 5.2 6.1.2 6.1.3 8.2 8.3 Annex A 5.1 | A 5.2 |
| Information and Communication Technology (ICT) risk management - Identify, Protect, Detect (Article 7-10) | Annex A 5.20 Annex A 5.24 Annex A 5.37 Annex A 6.8 Annex A 8.8 Annex A 8.9 Annex A 8.20 Annex A 8.21 | 5.20 5.24 5.37 6.8 8.8 8.9 8.20 8.21 |
| Information and Communication Technology (ICT) risk management - Business continuity (Article 11, 12) | Annex A 5.29 Annex A 5.30 Annex A 8.13 Annex A 8.14 Annex A 8.15 Annex A 8.16 | 5.29 5.30 8.13 8.14 8.15 8.16 |
| Information and Communication Technology (ICT) risk management - Learning, communication (Article 13, 14) | 7.3 7.4 Annex A 5.15 Annex A 5.16 Annex A 5.18 Annex A 5.24 Annex A 6.3 Annex A 6.5 Annex A 6.8 Annex A 8.2 Annex A 8.3 Annex A 8.5 Annex A 8.7 Annex A 8.9 Annex A 8.13 Annex A 8.15 Annex A 5.19 Annex A 5.22 | 5.15 5.16 5.18 5.24 6.3 6.5 6.8 8.2 8.3 8.5 8.7 8.9 8.13 8.15 5.19 5.22 |
| ICT-related incident management, classification and reporting (Article 17-23) | Annex A 5.14 Annex A 6.8 | 5.14 6.8 |
| Digital operational resilience testing (Article 24 - 27) | 9.1 9.2 9.3 Annex A 5.35 Annex A 5.36 | 5.35 5.36 |
| Managing of ICT third-party risk (Article 28-44) | Annex A 5.19 Annex A 5.20 Annex A 5.21 Annex A 5.22 Annex A 5.23 | 5.19 5.20 5.21 5.22 5.23 |
Nous devons souligner que toutes les exigences de la DORA ne sont pas (entièrement) couvertes par la norme ISO 27001/27002, de sorte que des contrôles devront être ajoutés ou modifiés.
Pour les entreprises soumises à la loi DORA, les exigences NIS2 suivantes s'appliquent :
| NIS2-chantier | ISO 27001:2022 Controles | ISO 27002:2022 Controles |
| Security risk measures (Article 21) I. Human resources security | Annex A 5.9 Annex A 5.10 Annex A 5.11 Annex A 5.15 Annex A 5.16 Annex A 5.17 Annex A 5.18 Annex A 6.1 Annex A 6.2 Annex A 6.4 Annex A 6.5 Annex A 6.6 | 5.9 5.10 5.11 5.15 5.16 5.17 5.18 6.1 6.2 6.4 6.5 6.6 |
| Security risk measures (Article 21) J. Use of multi-factor authentication | Annex A 5.14 Annex A 5.16 Annex A 5.17 | 5.14 5.16 5.17 |
| Use of European cybersecurity certification schemes (Article 24) | Annex A 5.20 | 5.20 |
Recommandations
N'oubliez pas la norme ISO 27002
La norme ISO 27002 est un guide complémentaire détaillé des contrôles de sécurité du cadre ISO 27001. La norme ISO 27002 fournit des conseils sur les meilleures pratiques en matière de sélection et de mise en œuvre des contrôles énumérés dans la norme ISO 27001. Toutefois, les contrôles ISO 27002 (94 contrôles dans la norme 2022) ne sont pas obligatoires pour obtenir la certification 27001. Ils constituent, au mieux, un ensemble de référence de contrôles de sécurité de l'information que les organisations peuvent utiliser. En outre, les entreprises ne peuvent être certifiées que pour la norme ISO 27001, et non pour la norme ISO 27002.
Comme le montre le tableau ci-dessus, de nombreux contrôles ISO 27002 correspondent aux exigences DORA. Ainsi, bien qu'elle ne soit pas exigée pour l'obtention du certificat ISO 27001, la plupart des controles ISO 27002 sont obligatoires pour la conformité avec la loi DORA.
La continuité des opérations est l'objectif de la loi DORA, la norme ISO 22301 est donc indispensable.
En vertu de la loi DORA, les entités financières visées doivent assurer la continuité de leurs opérations en cas d'incident (qui peut être un incident autre qu'une cyberattaque ou un incident chez un fournisseur essentiel). Les organisations doivent donc mettre en œuvre un cadre de résilience complet - qui comprend la continuité des activités, la reprise après sinistre et la gestion de crise - afin de minimiser les perturbations.
Si les organisations ont soigneusement mis en œuvre les contrôles ISO27001 et ISO27002 susmentionnés relatifs à la continuité des activités et à la reprise après sinistre (5.29 et 5.30 en tant qu'éléments essentiels), elles peuvent se conformer au DORA dans ce domaine. Toutefois, les organisations couvertes par le DORA devraient envisager d'ajouter la norme ISO 22301 pour la gestion de la continuité des activités (BCM) de leurs fonctions critiques. La norme ISO 22301 est conçue pour faciliter la mise en œuvre, le maintien et l'amélioration continue des processus de continuité des activités pour les entreprises ou des fonctions commerciales spécifiques. Bien que certains aspects de la norme ISO 27001 incluent la gestion de la continuité des activités, ils ne définissent pas de processus pour la mise en œuvre et le maintien de la gestion de la continuité des activités. C'est là qu'intervient la norme complémentaire ISO 22301. La certification à cette norme contribuera à la conformité à la DORA.
La norme ISO 27036 fournit un cadre pour la gestion des risques de la chaîne d'approvisionnement
Dans le contexte de la DORA, il n'est pas seulement important de prêter attention à la résilience de la cybersécurité tout au long de la chaîne d'approvisionnement. Toute menace pour la continuité des activités qui pourrait potentiellement se propager dans la chaîne d'approvisionnement doit être identifiée et atténuée. Par conséquent, le contenu des évaluations des risques peut être révisé afin de mettre davantage l'accent sur les mesures de continuité des activités mises en œuvre chez le fournisseur. La liste des fournisseurs couverts par la gestion des risques des tiers peut également être révisée car, alors que la norme ISO 27001 se concentre davantage sur la chaîne d'approvisionnement des TIC, l'accent mis par DORA sur la continuité générale des activités peut vous obliger à étendre la liste des fournisseurs évalués à des fournisseurs non liés aux TIC. De toute évidence, la sécurité des intégrations informatiques potentielles (par exemple, les API) avec ces fournisseurs doit également être prise en compte.
La norme ISO 27036 relative à la gestion des risques liés à la chaîne d'approvisionnement est un peu comme la norme ISO 22301 relative à la continuité des activités. La norme ISO 27001 ne définit pas de processus pour la mise en œuvre des risques liés aux tiers. C'est là qu'ISO 27036 peut aider les entreprises qui n'ont pas d'expérience/expertise dans ce domaine, ou qui veulent utiliser la norme pour structurer l'activité. La norme ISO 27036 n'est pas obligatoire en soi pour la conformité au DORA, mais elle apporte une assurance supplémentaire.
La notification et la communication des incidents constituent un domaine d'activité majeur
Les cybercriminels opèrent au-delà des frontières nationales. Par conséquent, le DORA vise à améliorer la coopération et le partage d'informations sur les cyberincidents dans l'ensemble de l'Union européenne. En conséquence, il existe une obligation de signaler immédiatement les incidents importants aux autorités compétentes dans les délais spécifiés dans le "Hub unique de l'UE pour la notification par les entités financières des incidents TIC majeurs" (par opposition à "tel que déterminé par les différents États membres" dans le NIS2). Mais ce n'est pas tout. Les articles 16 à 23 du règlement DORA détaillent les exigences relatives au signalement des incidents et à la notification des clients, des parties prenantes, de la direction de l'entreprise et d'autres entités financières.
Le rapport décrit les délais prescrits pour ces rapports :
- Premier rapport dans les 4 heures suivant la classification, et au maximum dans les 24 heures suivant la découverte.
- Rapport intermédiaire dans les 72 heures.
- Rapport complet dans un délai d'un mois après la notification.
Cette exigence a des implications considérables et n'est que marginalement couverte par les normes ISO 27001/27002. Pour les organisations soumises au GDPR, la mise en œuvre de l'annexe A 5.24 (Planification et préparation de la gestion des incidents de sécurité de l'information) exige la mise en place de procédures de notification pour signaler les violations de données aux autorités dans un délai de 72 heures. Toutefois, le DORA (et le NIS2) vise à signaler tout incident de sécurité qui constitue une menace pour la continuité des activités dans les 24 heures. Pour signaler correctement un incident, les entreprises doivent d'abord disposer d'un système de détection adéquat, y compris d'une analyse initiale et d'une analyse criminalistique, ainsi que d'une réponse à l'incident. En outre, des processus internes de reporting et de prise de décision "de type militaire" doivent être mis en place pour respecter le délai de 24 heures. Ces processus doivent non seulement être définis, mais aussi testés pour s'assurer qu'ils fonctionnent correctement.
Comment Ceeyu peut aider à la mise en conformité avec la loi DORA
La plateforme SaaS de Ceeyu scanne votre réseau et les réseaux des entreprises de la chaîne d'approvisionnement à l'aide de techniques de scans actives et passives automatisée, telles que celles utilisées par les pirates informatiques, à la recherche de vulnérabilités logicielles et de faiblesses du réseau.
Parce que tous les risques de sécurité ne peuvent pas être identifiés de manière automatisée, Ceeyu offre également la possibilité d'effectuer des audits digitaux basés sur des questionnaires. Cela peut se faire en créant des questionnaires adaptés au fournisseur, à partir d'une feuille blanche ou de modèles que Ceeyu met à disposition. Le remplissage du questionnaire par le fournisseur et le suivi du processus par le client se font dans un environnement sécurisé sur la même plateforme SaaS. Cela permet un suivi simple et centralisé, entièrement en ligne et sans l'intervention de tiers. La plateforme fermée garantit la confidentialité de l'enquête, puisque seules les personnes autorisées ont accès à l'application.
En résumé, la plateforme SaaS de Ceeyu automatise et élargit le champ de la gestion des risques liés aux tiers, en mettant l'accent sur la réduction des coûts et la facilité d'utilisation.
Ceeyu contribue ainsi à remplir une grande partie des exigences des articles 28 à 44 du règlement DORA.
Dries leads the marketing and product management activities at Ceeyu. Before joining Ceeyu, he worked in similar roles at Voxbone (now Bandwidth.com) and Orange. Dries also worked in management consulting (at Greenwich, now EY Parthenon). He is a B2B marketer at heart, with a very strong affinity for technology.
