Régulièrement, l’équipe d’ITnation convie des Tech Leaders luxembourgeois à s’installer autour d’une table pour partager un repas et prendre part à un échange autour de certains enjeux clés du moment. Mardi 15 octobre, c’est au Place d’Armes, à Luxembourg, que plusieurs convives s’étaient rassemblés afin d’évoquer, en compagnie d’Hitachi Vantara, les défis inhérents à la mise en œuvre de DORA.

A partir du 17 janvier prochain, les acteurs financiers seront tenus de répondre à un ensemble de nouvelles exigences réglementaires, fixées à l’échelle européenne, visant à garantir la résilience opérationnelle numérique de chaque opérateur. Le sujet DORA est donc un sujet chaud, de nombreuses institutions n’ayant plus que quelques semaines pour se mettre en conformité.

Pour introduire le sujet, Nicolas Remarck, CISO de la Banque International de Luxembourg, a accepté de partager sa vision sur les implications relative à cette nouvelle réglementation.

La résilience, au-delà de la sécurité

Jusqu’alors, les organisations financières devaient répondre à de nombreuses exigences, notamment pour garantir la confidentialité et l’intégrité des données. Si beaucoup ont longtemps considéré DORA comme une évolution des réglementations déjà existantes, certains se rendent compte aujourd’hui que l’ambition est tout autre.

DORA, qui introduit la notion de résilience opérationnelle, part d’une approche principalement basée sur les risques, et demande aux acteurs avant tout de renforcer leur capacité à se relever en cas d’incident. L’enjeu n’est pas uniquement de prévenir d’éventuels risques cyber ou d’y répondre, mais de mettre en place des approches et procédures garantissant une maîtrise des risques, qu’ils émanent de cyberattaquants ou de prestataires extérieurs.

DORA, dès lors, n’est pas uniquement un sujet porté par l’équipe cybersécurité. Il doit être appréhendé à l’échelle de l’ensemble de l’organisation. La résilience implique qu’avant d’identifier les actifs numériques critiques, il faut s’intéresser aux  indispensables qui garantissent le bon fonctionnement du service. Au-delà, il faut pouvoir évaluer les risques qui pèsent sur ces éléments, envisager comment les mitiger et, le cas échéant, s’assurer de pouvoir rapidement les restaurer en cas d’incident.

Quand le risque émane des acteurs tiers

Le risque, en effet, ne provient pas uniquement d’attaquants. De nombreux exemples ont révélé que des opérations pouvaient être mises à mal en raison de prestataires de services IT ou fournisseurs de solutions extérieures. Les organisations, dès lors, doivent repenser leur résilience à l’aune des risques identifiés. D’ici le 17 janvier, elles devront réévaluer leurs relations avec des prestataires extérieurs, exigeant notamment des garanties supplémentaires, s’assurant de disposer d’alternatives si jamais un fournisseur de service IT venait à faire défaut.

DORA exige notamment des acteurs ayant fait le choix de s’appuyer sur les services ou des solutions tiers de disposer d’une stratégie de sortie. Il est important, pour garantir une résilience opérationnelle, de ne pas se rendre dépendant d’un acteur extérieur.

S’assurer que l’on est en mesure de se relever

Avec cette nouvelle réglementation, les acteurs doivent pouvoir imaginer le pire et s’y préparer. Répondre à une situation de crise implique de bien s’organiser, de se doter de procédures permettant de rétablir les services essentiels dans les meilleurs délais. Au-delà de la mise en place d’un DRP, les organisations vont devoir démontrer qu’il est bien fonctionnel, cela à travers des simulations régulières.

La démarche va bien au-delà des tests de pénétration réalisée jusqu’alors et qui s’envisagent sur des périmètres bien précis. Les entreprises devront par exemple se soumettre à des exercices TIBER, qui visent à simuler une attaque réelle sur un large périmètre.

Il appartient aux équipes d’identifier une multitude de scénarios pouvant conduire à une crise pour mieux s’y préparer. Dans ce contexte, Hitachi Vantara accompagne les acteurs dans leur préparation à DORA mais aussi dans le suivi des mesures prises au fil du temps. La société met aussi en œuvre des solutions techniques pour, par exemple, mettre une place une architecture de protection de données de type 3-2-1-1-0 (3 copies de vos données, 2 supports différents, 1 copie hors site, 1 copie hors ligne, 0 une sauvegarde testée régulièrement) identifier les données de l’entreprise, les classer et définir leur niveau de criticité, exécuter des simulations et des répétitions de récupération dans une salle blanche si possible et tester et confirmer l’efficacité de vos procédures. Hitachi Vantara, par son expérience sur la donnée peux vous permettre d’engager en toute confiance l’ensemble de ces points clefs dans la réussite de votre plan de cyber résilience et votre mise en conformité.

Vos contacts pour tout complément d’information :

Laurent Delaisse
Director of Technical Sales EMEA, France and BeNeLux
laurent.delaisse@hitachivantara.com

Mikhael Wyns
Country Manager Belgium Netherlands Luxembourg
mikhael.wyns@hitachivantara.com