EN

6 min reading
Sun Jul 17 2022

Le règlement européen DORA et le risque lié aux tiers

the-eu-dora-regulation-and-third-party-risk

DORA signifie Digital Operational Resilience Act (Loi sur la résilience opérationnelle numérique).

C’est avec ce règlement que l’UE vise à renforcer la sécurité informatique des services et des industries financières. Il s’agit des banques, des compagnies d’assurance, des entreprises d’investissement et d’autres organisations financières similaires européennes. En termes de conformité, il s’agit de faire preuve de résilience dans les opérations en cas de perturbation informatique grave, telle qu’une cyberattaque.

DORA couvre cinq domaines:

  • Gestion des risques liés aux TIC
  • Signalement des incidents TIC
  • Tests de résilience opérationnelle numérique
  • Échange d’information et de renseignement
  • Gestion des risques liés aux tiers dans le domaine des TIC

Cet article de blog se concentre sur la gestion des risques liés aux tiers dans le domaine des TIC, car il s’agit d’un élément essentiel de la réglementation. L’impact commercial de DORA sera significatif. Dans ses prévisions de cybersécurité pour 2022, Gartner prévoit que « d’ici 2025, 60 % des organisations utiliseront le risque de cybersécurité comme déterminant principal dans la conduite de transactions et d’engagements commerciaux avec des tiers ».

36368769-cd4b-49fb-b086-f666dcaec84b.jpeg

Un cadre holistique

L’UE encourage le secteur financier européen à contrôler et à optimiser la manière dont il gère les risques liés aux TIC, également appelés risques liés aux tiers. En ce qui concerne les contrôles de sûreté, on s’attend à ce qu’un cadre de surveillance couvre l’ensemble de la chaîne d’approvisionnement. Des fournisseurs tiers de TIC, des fournisseurs de services TIC connexes, des risques liés aux TIC dans le domaine des technologies de la communication, aux fournisseurs de services en nuage et aux incidents liés aux TIC.

L’établissement d’un cadre qui fonctionne bien peut être un défi organisationnel. De plus, avoir un cadre mature en place n’est pas une tâche facile. Raison pour laquelle, les organisations qui ont un ISMS (Information Security Management System) pourraient avoir plus de facilité à se conformer aux nouvelles règles de DORA.

À un niveau élevé, l’objectif du cadre est de s’assurer que les organisations ont en place les processus, les outils et les personnes nécessaires pour identifier et réduire les risques liés aux tiers sur une base continue. L’objectif n’est pas seulement de prévenir les incidents majeurs liés aux TIC, mais aussi de gérer et de réduire les risques liés aux TIC à un niveau acceptable pour l’organisation. DORA signale dans l’ensemble du paysage financier de l’UE que l’appétit pour le risque lié aux TIC des régulateurs de l’UE diminue et qu’il est plus réactif à la transformation numérique et aux changements technologiques.

Dans la pratique, DORA durcit les règles du jeu en demandant aux entités financières d’ajouter des exigences en matière de gestion des risques liés aux tiers dans les contrats conclus avec des fournisseurs de services tiers.

Ces exigences s’articulent autour de trois domaines principaux.

  • Premièrement, les organisations sont responsables d’avoir une politique et une stratégie définies pour les risques liés aux tiers. L’organisme de réglementation s’attend à ce qu’il y ait une adhésion claire de la part de la direction, qui est communiquée à l’échelle de l’organisation dans un plan d’action.
  • Deuxièmement, les entités financières de l’UE sont tenues d’exercer leur diligence raisonnable avant tout accord contractuel. Il est essentiel de comprendre le niveau de risque introduit par un tiers. Par conséquent, il est important de comprendre la posture de sécurité des risques liés à la tierce partie ou à la sous-traitance.
  • Troisièmement, il faut que les organisations aient une idée claire de la correspondance entre les besoins en matière de services contractuels liés aux TIC et les services financiers et commerciaux appuyés par les fournisseurs. Avoir une vue d’ensemble de l’importance du service financier et opérationnel permet de planifier la continuité des activités. En outre, les exigences en matière de gestion des risques ont de meilleures chances de réussite de la mise en œuvre lorsqu’il existe une estimation de l’impact potentiel.
264bb927-5cfa-4dc6-ad14-6b50436cbe2a.jpeg

Test, test

DORA se concentre principalement sur les fournisseurs de services tiers TIC essentiels. Le conseil aux institutions financières semble être « faites confiance à vos fournisseurs de services tiers, mais vérifiez ». Ce que cela signifie en termes d’assurance, c’est que les organisations peuvent légalement demander aux fournisseurs des preuves de leur posture de sécurité.

Dans la pratique, DORA est un excellent outil à utiliser par les professionnels de la sécurité de l’information pour demander une assurance à des tiers TIC tels que des rapports de tests d’intrusion, des analyses de vulnérabilité, des revues de code source ou des questionnaires sur les risques tiers.

L’idée est de s’assurer que les fournisseurs appliquent les exigences en matière de tests dans l’ensemble de leur organisation.  Plus important encore, ils atténuent les résultats et ont une posture de sécurité solide.

En outre, il est conseillé aux organisations financières d’accroître leur surveillance et leur surveillance des fournisseurs tiers de TIC. Ceci afin de réduire les risques potentiels résultant de dépendances critiques à leur égard.

En fin de compte, la pression réglementaire est que les entités financières deviennent plus responsables et testent la résilience opérationnelle de leurs fonctions critiques qui reposent sur des tiers. Ce qui pourrait être en jeu, dans le pire des cas, c’est la stabilité financière des marchés européens.

edb58f53-8ff1-4e5b-bffd-6fa7147d3854.jpeg

 

Utilisation d’une plateforme de gestion des risques d’un tiers

Comme on peut l’imaginer, la mise en place ou l’exécution d’un cadre de gestion des risques liés aux tiers, conforme à la DORA, peut devenir très complexe dans un environnement informatique de services financiers. Cependant, si nous essayons de simplifier, pour les besoins de cet article de blog, nous prenons ci-dessous un look Qui, Quoi et Comment.

Le Qui est différent dans chaque organisation. Les ministères potentiellement responsables sont la gestion des risques liés aux tiers, l’approvisionnement ou la résilience et la continuité des activités.

La Qu’est-ce qu’une question d’inventaire des vendeurs, des fournisseurs et / ou des prestataires de services tiers, et de les mapper aux fonctions commerciales.

Le Comment est l’endroit où les choses deviennent complexes.

En examinant les exigences de la DORA ci-dessus, nous pourrions considérer deux aspects importants. D’une part, le niveau de maturité de la fonction de gestion des risques liés aux tiers dans l’organisation. D’autre part, le degré d’interconnexion entre le service TIC tiers, l’environnement informatique financier et les fonctions commerciales qu’il sert. Ce dernier aspect est important car des facteurs tels que la dette technique, le shadow IT, les silos commerciaux et informatiques pourraient constituer un défi.

En pratique, l’utilisation d’Excel pour gérer tout ce qui précède n’est pas inconnue. Cependant, nous pouvons tous convenir que dans les grandes entreprises, ce n’est pas durable. Raison pour laquelle l’utilisation d’une plate-forme de gestion des risques tiers est la voie à suivre.

Si nous considérons une banque européenne avec 30 fournisseurs tiers TIC critiques - parmi lesquels, uniquement pour la sécurité de l’information, nous pourrions supposer des fournisseurs de services cloud, des fournisseurs de tests d’intrusion, des fournisseurs d’analyse de données ou des fournisseurs de renseignements sur les menaces. En vertu de la DORA, la banque doit recueillir et gérer des assurances telles que des rapports réguliers de tests de pénétration, des analyses de vulnérabilité, des examens du code source ou des questionnaires sur les risques liés aux tiers. Y parvenir à l’aide d’une plate-forme pourrait faciliter la vie des gestionnaires de risques tiers. La collecte d’informations, leur mise en correspondance avec les risques et l’extraction d’informations sur l’exposition aux risques pourraient toutes être effectuées en un seul endroit.

En conclusion

Nous espérons que cet article explique pourquoi DORA sera une entreprise complexe pour les entités financières européennes, en ce qui concerne la gestion des risques liés aux tiers.  
 

Silvana Precup Ceeyu

Silvana Precup

Author

Cybersecurity professional experienced in cross-functional roles bridging between top management, risk functions, IT and security operations teams. With a knack for TPRM and digital footprint.

Other Blogposts

Ceeyu UI

Améliorer la gestion des risques pour les tiers : La puissance des questionnaires compacts

En matière de gestion des risques pour les tiers, la précision et la pertinence priment sur l'exhaustivité. Cela deviendra encore plus impo...

October 5, 2023

Ceeyu UI

La certification ISO 27001 est-elle suffisante pour assurer la conformité à la norme NIS2 ?

Au fil des ans, la cybersécurité étant devenue un domaine d'intérêt de plus en plus important dans le secteur des technologies de l'informat...

February 20, 2024

Ceeyu UI

La certification ISO 27001 est-elle suffisante pour DORA ?

Cet article explique les différences et les chevauchements entre DORA et NIS2 et comment ISO 27001, la principale norme de cybersécurité, pe...

May 7, 2024