Archives par mot-clé : dora

Justice, loi

Conformité DORA et NIS2 : le choc opérationnel des SGP

Dans les SGP, la conformité cyber n’est plus un dossier annexe. DORA et NIS2 imposent une mécanique vérifiable : risques cartographiés, fournisseurs tenus, incidents tracés, tests menés, preuves prêtes.

Pour les sociétés de gestion de portefeuille (SGP), DORA et NIS2 transforment la cybersécurité en obligation démontrable, au-delà des politiques écrites. Ce qui change concrètement tient à cinq piliers : cartographier les risques et les actifs critiques, encadrer les prestataires et la chaîne de sous-traitance, structurer la gestion des incidents avec des preuves exploitables, organiser des tests réguliers et réalistes, et conserver des éléments probants en continu. L’enjeu n’est pas seulement de “faire”, mais de pouvoir prouver, à tout moment, qui décide, qui exécute, ce qui est mesuré, et ce qui est corrigé.

Ce qui change : d’une cyber “raisonnable” à une cyber prouvable

Dans une SGP, le quotidien est fait d’arbitrages, d’outils spécialisés et de dépendances invisibles. Jusqu’ici, la cybersécurité pouvait rester une discipline de bon sens, solide sur le papier, inégale dans l’exécution. DORA et NIS2 déplacent le centre de gravité : le sujet n’est plus la conformité déclarative, mais la conformité observable. Ce basculement se lit dans un mot qui revient partout, même quand il n’est pas prononcé : la preuve.

La première marche, c’est la cartographie des risques. Pas une liste générique, mais une vision qui relie processus, données, applications, accès et scénarios de défaillance. Une SGP doit pouvoir expliquer, sans hésiter, ce qui est critique, pourquoi, et ce que cela implique en termes de mesures. La tension naît ici : cartographier, c’est aussi admettre ses angles morts. Et une fois l’inventaire posé, chaque exception devient une dette. Dans un univers où un incident se joue souvent sur un compte trop large ou un flux mal compris, l’exercice n’est pas administratif, il est tactique.

Deuxième déplacement, la gestion des fournisseurs. Les SGP fonctionnent avec des briques externes, hébergement, logiciels, données, support, infogérance, parfois en cascade. DORA et NIS2 rendent cette chaîne impossible à ignorer. Il ne suffit plus de “faire confiance” à un prestataire : il faut encadrer, suivre, et réagir. Concrètement, cela pousse à clarifier qui fait quoi, qui accède à quoi, comment les accès sont retirés, et comment la sécurité est contrôlée dans la durée. La relation change de nature : un contrat devient un mécanisme de contrôle. La vigilance se joue aussi dans la capacité à challenger des réponses standardisées et à refuser les zones floues. C’est dans ces interstices que se cachent les incidents les plus coûteux, et les plus difficiles à attribuer.

Troisième point, la gestion des incidents. Là encore, la nouveauté n’est pas l’existence d’un plan, mais son opérabilité et sa traçabilité. Un incident n’est plus seulement une panne à réparer, c’est une séquence à documenter. Qui a détecté, à quelle heure, avec quel signal. Quelles décisions ont été prises, par qui, sur la base de quels éléments. Quels impacts ont été mesurés, quelles mesures de confinement ont été appliquées, et comment le retour à la normale a été contrôlé. Dans une logique cyber-renseignement, cette chronologie est capitale : elle permet d’identifier un mode opératoire, de comprendre une propagation, et de réduire le risque de récidive. Sans traces, on reconstruit une histoire. Avec des traces, on produit des faits.

Pour mettre ces exigences en musique, certaines SGP s’appuient sur une entreprise de sécurité informatique, afin de structurer méthode, tests et documentation, sans confondre vitesse et précipitation.

Comment s’y préparer : tests, evidences, et gouvernance sans fiction

La préparation se joue dans la répétition et le réalisme. Les tests ne sont pas un exercice de communication, ils doivent créer des frottements. Tester un incident, ce n’est pas lire un scénario, c’est éprouver des délais, des rôles, des décisions, et la qualité des informations disponibles. L’objectif est double : trouver ce qui casse, et générer des preuves. Une SGP doit être capable de montrer ce qui a été testé, ce qui a été observé, et ce qui a été corrigé. Le correctif compte autant que le test, car il montre une boucle de maîtrise, pas un théâtre de conformité.

Cette logique oblige à revoir la production de preuves. Les éléments probants ne se fabriquent pas à la veille d’un contrôle. Ils s’accumulent, comme des journaux de bord : comptes rendus, validations, tickets, journaux techniques, plans de remédiation, décisions de gouvernance. La difficulté est de rester simple : trop de documents tue la lisibilité, pas assez tue la crédibilité. La bonne cible est une preuve utile, reliée à un risque identifié et à une mesure effective.

Reste la gouvernance. DORA et NIS2 imposent une clarté sans échappatoire : qui porte le risque, qui arbitre, qui accepte une exception, qui finance une correction. Une organisation peut survivre avec des zones grises, mais elle ne peut pas démontrer sa maîtrise avec des responsabilités floues. La préparation passe donc par des rôles explicites, des circuits de décision courts, et une capacité à prioriser. Car le piège, dans les SGP, est connu : traiter l’urgence technique sans traiter la cause structurelle, puis découvrir que la même faille se déplace chez un fournisseur, un outil ou un processus voisin.

Dans ce cadre, la conformité devient un avantage de renseignement interne : mieux voir son système, ses dépendances et ses signaux faibles, c’est réduire l’espace où un adversaire peut se dissimuler.

Cybersécurité, Entreprise

Digital Operational Resilience Act : Hola, soy Dora

Le règlement DORA vise à renforcer la résilience numérique des institutions financières européennes face aux cybermenaces croissantes. Ce cadre impose des règles strictes pour une cybersécurité robuste et harmonisée.

Entrant en vigueur le 17 janvier 2025, le règlement sur la résilience opérationnelle numérique (DORA) représente une évolution majeure dans la protection des infrastructures financières en Europe. Conçu pour répondre à la montée des cyberattaques et des dysfonctionnements numériques, il impose des exigences claires aux institutions financières ainsi qu’à leurs prestataires de services numériques. DORA s’adresse aux banques, compagnies d’assurance, entreprises d’investissement, FinTechs et gestionnaires d’actifs opérant au sein de l’Union européenne ou avec des clients dans cette région.

Le cadre, comme l’explique le Livre Blanc de Barracuda, comprend des directives sur la gestion des risques, le test de résilience, la surveillance des fournisseurs tiers, et le partage d’informations. À travers ces mesures, DORA favorise une meilleure coordination entre les acteurs, réduisant ainsi l’impact des incidents numériques. Cet article explore en détail les objectifs, les implications et les actions nécessaires pour se conformer à ce règlement.

Les objectifs et principes fondamentaux du règlement DORA

Le Digital Operational Resilience Act (DORA) repose sur un objectif principal : renforcer la résilience opérationnelle numérique des institutions financières pour protéger l’ensemble du système économique et sociétal. Il reconnaît que la dépendance croissante aux technologies numériques expose le secteur financier à des risques accrus, nécessitant une réglementation harmonisée au sein de l’Union européenne.

Objectifs clés :

Renforcer la cybersécurité des institutions financières : Chaque entité doit disposer de systèmes robustes pour prévenir, détecter, et répondre efficacement aux incidents.
Harmoniser les pratiques au sein de l’UE : Les règles uniformes facilitent la coopération et la transparence entre les États membres.
Protéger les consommateurs et les investisseurs : En réduisant les risques de perturbations et de violations de données, DORA améliore la confiance dans le secteur financier.

Cinq axes stratégiques :

Gestion des risques informatiques : Cela inclut l’identification des vulnérabilités, l’évaluation des impacts potentiels et la mise en œuvre de mesures préventives.
Tests de résilience : Les tests réguliers, tels que les simulations d’attaques, garantissent que les systèmes sont prêts à gérer des situations critiques.
Notification d’incidents : Toute perturbation majeure doit être signalée rapidement pour limiter les conséquences.
Surveillance des tiers : Les fournisseurs critiques doivent respecter les mêmes normes de sécurité.
Partage d’informations : Une coopération accrue permet de renforcer la sécurité collective.

DORA s’applique non seulement aux entreprises européennes, mais également aux entités non européennes opérant avec des clients dans l’UE. Par exemple, une entreprise technologique américaine fournissant des services cloud à une banque européenne devra également respecter ces normes. En reconnaissant que la sécurité numérique est une responsabilité partagée, DORA favorise une approche collaborative pour faire face aux cybermenaces.

Implications pour les entreprises et obligations spécifiques

Une large portée pour une réglementation exhaustive DORA cible une variété d’acteurs : banques, assurances, FinTechs, plateformes de trading, mais aussi les fournisseurs tiers de services technologiques critiques tels que les sociétés cloud. L’objectif est de réduire les vulnérabilités dans l’ensemble de la chaîne de valeur financière.

Principales obligations :

Documentation et gouvernance : Les entreprises doivent fournir des preuves tangibles de leur conformité, incluant des audits réguliers et des rapports détaillés.
Contrats renforcés avec les fournisseurs tiers : Chaque contrat doit inclure des clauses précisant les niveaux de service et les mesures de sécurité.
Formation des équipes : Le personnel doit être formé pour répondre rapidement et efficacement aux incidents.
Sanctions en cas de non-conformité Les régulateurs européens auront le pouvoir d’imposer des sanctions sévères, notamment des amendes substantielles ou des interdictions temporaires d’opérer sur le marché. Par exemple, une banque ne respectant pas les normes pourrait être tenue responsable d’une cyberattaque affectant des millions de clients.

Un cadre mondial Bien que DORA soit une initiative européenne, elle a des répercussions mondiales. De nombreuses entreprises non européennes choisissent de s’aligner sur ce règlement pour garantir leur accès au marché européen et pour bénéficier des meilleures pratiques en matière de cybersécurité.

Focus sur la chaîne d’approvisionnement Les attaques contre les tiers représentent une menace majeure. En réponse, DORA exige une surveillance accrue des fournisseurs, y compris des évaluations continues de leur sécurité et de leur conformité.

Étapes pour se conformer au règlement et exemples de meilleures pratiques

1. Identifier les entités concernées La première étape consiste à déterminer si votre entreprise est directement ou indirectement concernée par DORA. Les entreprises opérant avec des clients ou partenaires européens doivent se préparer dès maintenant.

2. Réaliser une analyse des lacunes Une évaluation complète des systèmes actuels de cybersécurité permet d’identifier les domaines nécessitant des améliorations. Cela inclut la documentation, les protocoles d’urgence et la collaboration avec les tiers.

3. Mettre en œuvre des outils technologiques avancés L’intelligence artificielle (IA) et l’apprentissage automatique jouent un rôle clé dans la détection proactive des menaces. Des solutions comme XDR (Extended Detection and Response) offrent une visibilité complète sur les infrastructures numériques.

4. Renforcer la collaboration avec les fournisseurs tiers Chaque contrat doit inclure des obligations claires sur la sécurité, conformément à l’article 30 de DORA. Par exemple, une société cloud européenne a récemment mis en place un programme de sécurité commun avec ses principaux clients, réduisant ainsi de 50 % les incidents liés à des tiers.

5. Former et tester régulièrement Les simulations d’incidents permettent de préparer les équipes et d’identifier les faiblesses. Une FinTech allemande a réalisé des tests trimestriels, réduisant ainsi le temps moyen de réponse aux incidents de 40 %.

Exemples de réussite confiée par Barracuda : une grande banque française a adopté un système de surveillance en temps réel, réduisant les intrusions détectées par des tiers de 30 % en un an. Un fournisseur de paiement numérique a mis en place un plan de continuité opérationnelle, garantissant un fonctionnement ininterrompu malgré une attaque majeure.

Pour en savoir plus sur les risques et les opportunités liés à l’intelligence artificielle, abonnez-vous gratuitement à notre newsletter.

Cybersécurité, Entreprise

NIS 2 : ÊTES-VOUS « CYBER READY » ?

Votée par les députés européens le 10 novembre 2022 et inscrite au Journal Officiel, NIS 2 (ou “Network Information Security”) a pour objectif d’harmoniser et de renforcer la cybersécurité du marché européen. Etes-vous « cyber ready » ?

NIS 2, cela vous dit quelque chose. Êtes-vous au courant qu’il existait un NIS 1 ? En 2016, le parlement européen a adopté NIS 1 dans un souci de renforcement de la cybersécurité des organisations majeures en Europe, dans des secteurs perçus comme sensibles. Mais avec l’instabilité du contexte géopolitique et l’augmentation des cyberattaques, l’Europe a publié à la fin de l’année 2022 l’extension NIS 2 afin d’élargir le périmètre des secteurs critiques et augmenter les niveaux de sécurité.

Cette directive, qui sera transposée à l’échelle nationale d’ici le 17 octobre 2024, apportera plusieurs exigences pouvant bouleverser les entreprises européennes.

Avec plus de 18 secteurs d’activité concernés, cette directive oblige des milliers d’entités à mieux protéger la sécurité de leurs réseaux par le biais de différentes stratégies cyber comme l’analyse de données, le traitement des incidents, la continuité des activités, la sécurité de la chaîne d’approvisionnement, la veille [comme celle proposée par le Service Veille ZATAZ] ou l’utilisation de système de communication d’urgence sécurisés au sein de l’organisation. Cette directive prévoit aussi des sanctions plus sévères, avec des amendes comprises entre 1,4 % et 2 % du chiffre d’affaires pour les entreprises n’appliquant pas les mesures de sécurité adéquates.

Il est également important de noter que la Directive NIS 2 efface la dénomination OSE (Opérateurs de services essentiels) au profit de deux catégories d’entités : les entités essentielles (EE) qui regrouperaient principalement les grandes entreprises dans les secteurs classés comme hautement critiques et les entités importantes (EI) qui concerneraient principalement les organisations de taille moyenne dans les secteurs classés comme hautement critiques et les organisations des secteurs critiques.

DORA l’exploratrice

En complément de NIS 2, le parlement européen a adopté en juin 2023 la réglementation DORA (Digital Operational Resilience Act) visant particulièrement le secteur bancaire car il est considéré comme hautement critique. Parmi les acteurs concernés, on retrouve les établissements de crédit, des sociétés de gestion ou des compagnies d’assurance. Ces organisations devront redoubler de vigilance sur les risques liés aux technologies d’information et communication et élaborer des processus de gestion des incidents.

« Dans le cadre de NIS 2, confirme Renaud Ghia, Président de Tixeo, les organisations attestant d’un incident de cybersécurité disposent d’un délai de 24 heures pour le signaler à l’ANSSI. Bien que la mesure puisse encore être modifiée, les entreprises devront s’organiser pour réagir rapidement. »

S’il leur est conseillé fortement conseillé de faire appel à des prestataires pour évaluer leur niveau de sécurité et recevoir des préconisations, les entreprises doivent également préparer et former dirigeants, managers et collaborateurs aux risques cyber. Cette directive attend justement des entreprises qu’elles ne dépendent plus simplement de leur service informatique mais que la direction soit en capacité d’approuver des mesures de sécurité.