DORA ou l’approche fondée sur les risques

Le secteur financier se distingue par une forte interconnexion, faisant du risque cyber un risque systémique. Le secteur regroupe en effet des acteurs qui concentrent une part importante des actifs et des flux et qui sont fortement liés entre eux.

Par conséquent, un évènement isolé peut se propager plus largement, comme l’a démontré la cyberattaque du 9 novembre 2023 contre une division américaine de la Banque Industrielle et Commerciale de Chine (ICBC)⁴.

Face à l’omniprésence de cette menace, la stratégie de cybersécurité d’une entité financière ne peut se limiter à une approche exclusivement préventive des risques. Puisque le « risque zéro » n’existe pas, elle doit assurer des capacités de gestion de crise et de reconstruction.

Le législateur s’est emparé de cette problématique et a pris des mesures significatives. Ainsi, parallèlement à la directive NIS 2 (Network and Information Systems), la réglementation DORA (Digital Operational Resilience Act), spécifique au secteur financier, entrera en vigueur en janvier 2025. Elle établit des exigences claires en matière de cyber résilience et impose d’adopter une approche fondée sur les risques.

Adopter une approche de résilience opérationnelle fondée sur les risques

L’approche par les risques repose fondamentalement sur la priorisation. Les menaces et sources de risques doivent être identifiés afin de définir un nombre restreint de macro-scénarios potentiels, dont la criticité doit être caractérisée en évaluant leur probabilité et leur impact sur les activités de l’entité. Les activités de l’entité doivent également être priorisées selon leur criticité afin d’identifier celles qui nécessitent une protection et des contrôles renforcés. Ainsi, en concentrant les efforts sur les scénarios touchant les activités les plus critiques, cette approche permet d’orienter efficacement les ressources vers les aspects les plus essentiels de l’organisation.

DORA préconise un retour à l’essentiel pour assurer la continuité des activités de l’entité. Définir sa stratégie de cyber résilience nécessite de s’interroger sur ce qui est vital pour les activités de l’entité et impérativement nécessaire pour leur continuité opérationnelle (i.e., infrastructures, applications, assets), en se concentrant sur les scénarios les plus critiques. Adopter cette approche pragmatique permet de concentrer les efforts de résilience sur ce qui contribue au cœur de l’activité de l’entité.

Quelques bonnes pratiques pour adopter l’approche par les risques

Le point de départ incontournable est l’identification des activités critiques pour définir le périmètre de la résilience. Cela nécessite de pouvoir s’appuyer sur un référentiel groupe et stabilisé des activités et des processus de l’entreprise. En fonction de l’entreprise, le niveau de granularité de l’analyse peut varier : service métier, macro-activité, activité ou processus. Le choix doit se faire de sorte que l’organe de direction puisse prendre des décisions. L’entreprise peut s’appuyer sur un certain nombre de standards et de méthodologies existants de gestion des risques et de la continuité d’activité (ex. ISO 27005, ISO 22301, EBIOS RM).

À partir des activités critiques, via une approche top-down, l’entreprise déduit le périmètre des applications et infrastructures à rendre résilientes. L’approche par les risques permet de déterminer quels sont véritablement les maillons de la chaîne absolument nécessaires au maintien ou à la reprise d’activité. Cela nécessite de challenger et affiner les résultats des Bilans d’Impact sur l’Activité (BIA) produits par les métiers. La traduction des actifs métiers en actifs IT nécessite une CMDB à jour et suffisamment précise à commencer par les assets IT critiques. Cette cartographie est par ailleurs clé pour répondre au reste des exigences de DORA, pour la classification des incidents comme pour les plans de tests par exemple.

Les dépendances d’activités critiques vis-à-vis de prestataires ou de partenaires externes doivent aussi être prises en compte. L’approche par les risques permet de classer les tiers par niveau de criticité. L’analyse de risque prend ainsi en compte la substituabilité d’un tiers ou encore le risque de surconcentration d’actifs.

Les actifs identifiés à rendre résilients doivent enfin être priorisés de sorte à dessiner le processus de reconstruction. Les délais de reprise d’activité et les seuils de perte de données sont aussi à challenger en prenant en compte les alternatives métiers par exemple. Cette priorisation entre les assets permettra de faire face à un cas de black-out mais aussi à une perturbation partielle.

En introduisant une approche par les risques, DORA invite à se concentrer sur le plus critique et pose un standard de résilience opérationnelle, réutilisable au-delà du secteur financier.

1. Netwrix, 2023 Hybrid Security Trends Report, 2023. url: https://www.netwrix.com/2023_hybrid_security_trends_report.html ↩︎
2. “COVID-19 and cyber risk in the financial sector”, Iñaki Aldasoro, Jon Frost, Leonardo Gambacorta, David Whyte, BIS Bulletin No 37, 14 Janvier 2021. url: https://www.bis.org/publ/bisbull37.pdf ↩︎
3. Banque de France, Évaluation des risques du système financier français, 20 décembre 2022. url : https://publications.banque-france.fr/sites/default/files/medias/documents/2022_s2_ers_final.pdf ↩︎
4. Costas Mourselas, Kate Duguid, Joshua Franklin, Hannah Murphy, “Ransomware attack on ICBC disrupts trades in US Treasury market”, Financial Times, 10 novembre 2023. url : https://www.ft.com/content/8dd2446b-c8da-4854-9edc-bf841069ccb8 ↩︎