Passer au contenu

DORA, un modèle de maturité pour les tests de cybersécurité

Antoine Bonneville et Erwan Michel
10 juin 2024

En matière de politiques de sécurité informatique, les tests constituent l’un des piliers fondamentaux, autant pour valider l’efficacité des dispositifs mis en place pour protéger les systèmes que pour révéler des brèches restant à colmater.  

Cependant, qu’il s’agisse de tests d’intrusion, d’analyse de code, de configuration ou encore d’infrastructure, ces tests sont le plus souvent conçus, et parfois réalisés, en interne par les équipes de la DSI et du RSSI. Il peut donc arriver que les enjeux soient couverts de façon incomplète, morcelée, voire partiale, donnant ainsi lieu à diverses zones d’ombre et angles morts.

Consciente des menaces qui peuvent en résulter, la Commission Européenne a souhaité encadrer et systématiser la pratique des tests dits de « résilience opérationnelle numérique » avec la réglementation DORA (Digital Operational Resilience Act). 

Le test comme aboutissement d’une approche par les risques

DORA constitue un changement important de paradigme : d’une pratique purement technologique à la discrétion de l’organisation et de son RSSI, le test de cybersécurité devient l’aboutissement obligatoire et formalisé d’une approche par les risques.  

Ainsi, ces tests devront désormais être définis au regard de scénarios d’attaque, lesquels devront eux-mêmes découler d’une analyse des risques. La philosophie de DORA est donc de lier systématiquement et explicitement les tests à une analyse de risques en amont.  

La clé de voûte de son application résidera par conséquent dans la mise en place d’une collaboration entre les équipes cyber et les équipes risques afin de bâtir un cadre validé et promu par le plus haut niveau de l’organisation, explicitant et expliquant :  

  • les objectifs de sécurité ; 
  • les scénarios envisagés ; 
  • le programme de tests correspondant.   

Si leur statut d’Organisations d’Importance Vitale (OIV) imposait déjà aux plus grandes banques et compagnies d’assurance un certain nombre d’obligations, avec DORA, c’est tout le secteur financier, au sens large, qui va devoir mettre en place une politique systématique, standard et rigoureuse en matière de tests de cybersécurité, ce qui, même pour les établissements les plus avancés, nécessitera au minimum quelques ajustements. 

Des dispositions pratiques pour encadrer la mise en œuvre 

DORA encadre la mise en œuvre des tests par des dispositions pratiques et rigoureuses : 

  • Les tests devront être directement réalisés sur les environnements de production, et ce au moins une fois par an pour les fonctions dites critiques ou importantes.  
  • Les entités les plus sensibles devront procéder à des tests avancés d’intrusion tous les trois ans au moins, l’autorité compétente pouvant, selon les circonstances, demander à augmenter ou réduire cette fréquence. 
  • Afin d’éviter les conflits d’intérêt, les tests devront toujours être réalisés par des testeurs externes pour les établissements de crédit sensibles, et au minimum tous les trois tests pour les autres établissements. Pour réaliser leur inspection ou leur audit dans les règles de l’art, ces testeurs devront avoir le niveau requis et présenter un certain nombre de garanties de compétences et d’indépendance, en particulier via une certification (ISO 19011). Idéalement, on s’efforcera aussi de varier les approches et les méthodes. 
  • Étant donné l’importance croissante de la supply chain comme vecteur de menace, DORA précise aussi les conditions de mise en œuvre des tests chez les fournisseurs IT. Ceux-ci ne pourront s’y opposer et les contrats passés avec les prestataires de fonctions critiques ou importantes devront faire apparaître des contraintes telles que l’obligation de coopérer pleinement aux pentests et un accès illimité au donneur d’ordre ou à l’autorité pour leurs audits.  
  • En revanche, pour alléger les coûts et le fardeau pour les donneurs d’ordre comme pour leurs fournisseurs, le texte autorise la réalisation de tests groupés de ces derniers. Dans cette perspective, les organismes de Place (Office de Coordination Bancaire et Financière, Fédération Bancaire Française, Fédération Française des Sociétés d’Assurance…) pourraient jouer un rôle pour favoriser et organiser cette mutualisation. 
  • Enfin, les organisations devront documenter la démarche et produire un rapport structuré, lequel débouchera sur d’éventuelles mesures correctives. Ces éléments devront être communiqués aux autorités, qui pourront surveiller la mise en œuvre et les résultats de ce plan d’action.

À retenir

Analyse des risques en amont, indépendance des testeurs, transparence, amélioration continue : en définitive, DORA apparaît moins comme une nouvelle contrainte réglementaire que comme la marche à suivre pour hisser les tests de cybersécurité au niveau de maturité qu’exige le grand virage numérique actuel du secteur financier.  

De bonnes pratiques dont les organisations des autres secteurs d’activité auraient sans doute grand intérêt à s’inspirer elles aussi, puisque la directive NIS 2 (Network and Information Systems) qui les concerne et entrera en application en octobre prochain impose des exigences plus limitées en matière de tests…  

Auteurs

Antoine Bonneville

Consulant senior cybersécurité

Erwan Michel

Consultant en Sécurité de l'Information
    Pour aller plus loin

      Objectif CYBER

      Le podcast qui décrypte toutes les facettes de la cybersécurité

      Cybersécurité

      Faites de la cybersécurité votre moteur de transformation.