DORA: Conformité avec les nouvelles mesures grâce à la Quantification du Risque Cyber
Le Digital Operation Resilience Act, également connu sous le nom de DORA, est entré en vigueur le 16 janvier 2023 et doit être appliqué par les 27 États membres de l’UE à partir du 17 janvier 2025.
L’objectif de cette réglementation européenne ? Harmoniser les mesures de cybersécurité pour les entreprises des secteurs de la banque, de l’investissement et de l’assurance, ainsi que pour leurs prestataires de services informatiques, et libérer et renforcer les opportunités d’innovation et de compétitivité offertes par la finance numérique.
Pour améliorer leur maturité en matière de cybersécurité et se conformer à ces nouvelles réglementations, les entreprises peuvent notamment s’appuyer sur la quantification des risques cyber (CRQ. Citalid a développé une solution adaptée aux entreprises et aux compagnies d’assurance. Basée sur l’intelligence artificielle et s’appuyant sur une expertise en cyber et gestion des risques, c’est un outil d’aide à la décision qui contribue à la résilience opérationnelle des organisations par une approche contextuelle et financière de la gestion des risques liés aux technologies de l’information et de la communication.
Dans cet article, nous examinons les obligations découlant de la loi DORA et la manière dont la quantification financière du risque cyber peut contribuer à la mise en conformité.
Qui est concerné par DORA ?
Avant d’aborder les spécificités du Digital Operation Resilience Act et les mesures à prendre pour s’y conformer, il est important d’évoquer le contexte dans lequel ce règlement a été adopté. Il fait partie d’un ensemble de mesures prises par l’Union européenne : depuis septembre 2020, elle a adopté une nouvelle stratégie pour la finance numérique, une nouvelle stratégie pour les paiements de détail et des propositions législatives sur les crypto-actifs et la résilience numérique. La cybersécurité est une préoccupation actuelle de l’Union européenne, puisque d’autres directives sur le sujet ont été récemment adoptées, comme la NIS2. La raison de cette attention particulière portée aux secteurs de la banque, de l’assurance et de l’investissement est claire dès les premières lignes du règlement : “Alors que l’utilisation généralisée des systèmes informatiques et la numérisation et la connectivité avancées sont désormais des caractéristiques essentielles de toutes les activités des entreprises financières dans l’UE, la résilience numérique n’est pas encore suffisamment intégrée dans leurs cadres opérationnels“.
De nombreuses entreprises seront concernées par ces nouvelles réglementations. Si votre entreprise appartient à l’une des catégories ci-dessous, vous devrez appliquer les nouvelles mesures et renforcer votre sécurité pour être en conformité à partir de 2025 :
- Établissements de crédit ;
- Établissements de paiement ;
- Établissements de monnaie électronique ;
- Entreprises d’investissement ;
- Fournisseurs de services de crypto-actifs ;
- Dépositaires centraux de titres ;
- les contreparties centrales ;
- Plateformes de négociation ;
- Référentiels centraux ;
- Gestionnaires de fonds d’investissement alternatifs et sociétés de gestion ;
- Fournisseurs de services de communication de données ;
- Entreprises d’assurance et de réassurance, intermédiaires d’assurance à titre accessoire ;
- Institutions de retraite professionnelle (IRP) ;
- Agences de notation de crédit ;
- Administrateurs d’indices de référence essentiels ;
- Prestataires de services de financement participatif.
Toutefois, ce nouveau règlement ne s’applique pas aux micro-entreprises.
De nouvelles mesures pour sécuriser les secteurs de la finance et de l’assurance.
Tout d’abord, des systèmes de gestion des risques liés aux technologies de l’information et de la communication doivent être mis en place pour se conformer à DORA. Celles-ci jouent un rôle clé dans le bon fonctionnement des institutions financières. Cependant, le texte ne précise pas quels systèmes précisément doivent être mis en place. Il précise toutefois qu’en cas d’incident, la responsabilité de l’organe de direction sera engagée. Il s’agit donc d’encourager les entreprises du secteur financier et de l’assurance à améliorer leur maturité en matière de cybersécurité et à impliquer leur direction dans ce processus. Celle-ci doit s’appuyer sur “les moyens d’assurer la résilience des systèmes informatiques” et de protéger “les personnes et les processus grâce à un ensemble de politiques qui créent une prise de conscience du risque informatique et un engagement en faveur d’une hygiène informatique rigoureuse”, comme le précise le règlement DORA.
DORA prévoit également l’harmonisation de la notification des incidents liés aux technologies de l’information et de la communication. L’objectif de cette décision est d’améliorer la transmission d’informations sur ces incidents et d’évaluer leur caractère “transfrontalier”. Votre entreprise devra suivre une procédure stricte pour signaler les incidents aux autorités nationales compétentes. Vous pourrez également signaler volontairement les cybermenaces que vous considérez comme importantes pour votre secteur ou vos clients. Le texte fait également référence à l’échange d’informations sur les cybermenaces entre les acteurs financiers.
Le nouveau règlement obligera également les entreprises à effectuer des tests de résilience numérique. Le texte stipule que les entreprises concernées doivent tester les parties les plus critiques de leurs systèmes d’information au moins une fois par an afin d’identifier leurs vulnérabilités.
Enfin, en vertu du règlement DORA, les entreprises devront tenir un registre des contrats conclus et en cours avec des tiers fournisseurs de services liés aux TIC. L’objectif est d’assurer une gestion plus efficace des risques liés à ces technologies. Le texte encourage également les sociétés financières et d’assurance à faire preuve de diligence raisonnable avant d’entrer en relation et à inclure des clauses standard minimales dans les contrats.
Connaître ses risques avec Citalid pour assurer sa conformité
La mise en conformité avec ce nouveau règlement obligera les entreprises concernées à acquérir de nouveaux réflexes en matière d’évaluation, de contrôle et de communication des risques cyber. Dans ce contexte, la quantification des risques cyber peut être un outil pertinent et efficace pour les entreprises. La mise en place d’une nouvelle stratégie de gestion des risques représente un investissement important, tant sur le plan financier qu’organisationnel. Une solution innovante telle que Citalid peut être la clé pour assurer la conformité de votre organisation.
Qu’est-ce que la quantification du risque cyber, parfois abrégée en CRQ ? Il s’agit d’une technique utilisée pour évaluer la probabilité qu’un incident se produise, les pertes financières et les interruptions d’activité potentielles, ainsi que l’efficacité des mesures de sécurité existantes pour atténuer les risques. L’objectif de cette approche n’est pas de faire peur, mais de mieux connaître la menace afin de pouvoir se protéger efficacement.
Le règlement DORA définit la responsabilité des équipes dirigeantes en cas d’incident cyber. Or, jusqu’à présent, le cyber-risque était surtout l’affaire des équipes techniques de l’entreprise. En effet, la gestion de ce risque nécessite des connaissances spécifiques et un vocabulaire précis, ce qui rend la communication entre les équipes informatiques et la direction de l’entreprise complexe. La quantification du risque cyber résout ce problème en fournissant des indicateurs fiables et faciles à comprendre pour établir le dialogue et prendre les bonnes décisions en matière de cybersécurité. La dernière étude de Gartner sur le sujet montre que ce type d’outil est principalement utilisé comme une aide à la communication interne au sein des entreprises. Le risque cyber étant avant tout un risque business, la plateforme développée par Citalid fournit des indicateurs financiers pour établir un langage commun au sein de l’entreprise et vous aider à mettre en place votre stratégie de gestion du risque cyber.
La solution Citalid associe l’intelligence artificielle à l’expertise en matière de cybersécurité et de gestion des risques. Elle est basée sur la technologie FAIR (Factor Analysis of Information Risk), qui permet d’évaluer le risque en corrélant différents facteurs pour définir la fréquence des attaques et le coût de leur réussite. Parallèlement, notre équipe d’experts en cyber threat intelligence (CTI) surveille près de 700 modes opératoires cybercriminels afin d’analyser et de contextualiser une menace en constante évolution. Toutes ces données sont utilisées pour créer plus de 1 000 scénarios d’attaques afin de fournir une estimation complète des risques encourus. En moyenne, l’utilisation de notre outil conduit à une réduction de 30% de l’exposition financière et à une augmentation de 8% de la maturité défensive, grâce à une feuille de route d’investissement personnalisée. Nous pouvons donc vous fournir une vision fiable de l’impact des investissements de sécurité de votre organisation sur son exposition financière au risque cyber, vous permettant ainsi de construire votre stratégie de gestion des risques.
Les tests requis par le règlement DORA font partie intégrante de la nouvelle stratégie que votre entreprise doit adopter. Citalid peut vous aider dans cette démarche, car notre plateforme est conçue pour fournir une lecture financière des actifs critiques de l’entreprise en cas de cyberattaque. De plus, notre outil peut également vous aider à analyser les risques posés par vos fournisseurs de services informatiques. En effet, nous vous permettons de classer vos prestataires en fonction des risques qu’ils font courir à votre entreprise, et notre plateforme prend en compte vos fournisseurs dans les scénarios d’attaque qui vous sont proposés. Avec ces éléments en place, vous pouvez créer un plan de continuité et de reprise d’activité approprié pour gérer vos risques cyber en toute sérénité.
Plus précisément, dans le cadre établi par DORA, Citalid est un outil conçu pour vous aider à comprendre et à maîtriser votre risque cyber afin de faciliter la mise en conformité de votre entreprise. Dans le cadre de cette mise en conformité, votre entreprise peut être amenée à adopter de nouvelles solutions de cybersécurité. Citalid mesure votre retour sur investissement (ROSI). Pour ce faire, notre plateforme fournit à ses utilisateurs des indicateurs leur permettant de prendre des décisions éclairées : évaluation de l’impact financier des incidents, du budget nécessaire pour assurer la démarche de cybersécurité, du risque supporté par les tiers fournisseurs de services informatiques et de communication. Enfin, la plateforme vous permet de mieux comprendre le risque cyber, afin que vous puissiez signaler plus efficacement les menaces aux autorités et prendre les mesures appropriées pour réduire votre exposition. Notre solution est adaptée aux institutions financières et aux compagnies d’assurance, comme le démontre la confiance que nous accordent Relyens et Allianz.
Pourquoi ne pas essayer Citalid ? Demandez une démonstration ici.
