DORA : réussir la mise en oeuvre

Dans le cadre de la mise en conformité avec le règlement DORA (Digital Operational Resilience Act), Bloomco accompagne la transformation d’entités financières.

Bien que ce règlement soit relativement récent, nos experts identifient déjà certains défis et bonnes pratiques communs aux différents clients accompagnés.

Retrouvez ci-dessous les 5 étapes clés et les 4 principaux défis de l’implémentation :

Les 5 étapes clés du projet

1. Analyser les Écarts (Gap Analysis)
   L'analyse des écarts permet d'identifier les domaines nécessitant des améliorations pour se conformer aux exigences de DORA. Cette étape est cruciale pour définir les chantiers structurants et prioriser les actions à mener.
   
2. Organiser la communication et le Sponsorship
   La réussite du projet repose également sur une communication efficace et un soutien du top management. La mise en conformité DORA requiert une implication de toutes les parties prenantes, y compris les équipes de sécurité, informatique, conformité, juridique, achats et risques, pour garantir une approche cohérente et éviter les silos.
   
3. Mener une approche par les Risques
   Il est possible de définir une approche par les risques, se concentrant sur les zones de risque majeur et les exigences de DORA. Cette approche permet avant tout de prioriser les chantiers en fonction de leur criticité et de leur impact potentiel.
   
4. Identifier les Trois Lignes de Défense
   Une attention particulière est à prêter à l'alignement de la chaîne de contrôle sur le modèle des trois lignes de défense :

• Première ligne : Managers opérationnels et contrôleurs internes déployant les contrôles de premier niveau.
• Deuxième ligne : Équipes de risque et de conformité vérifiant l'efficacité des contrôles.
• Troisième ligne : Audit interne ou inspection générale assurant un contrôle périodique.

5. Définir la stratégie de Résilience Numérique

La définition d'une stratégie de résilience numérique constitue un autre chantier clé. Cette stratégie comprend généralement :

• Identification des Actifs Critiques : Cartographier et référencer les actifs critiques.
• Standards d'Architecture : Définir des standards d'architecture intégrant des exigences de sécurité.
• Mécanismes de Détection et d'Alerte : Mettre en place des solutions pour identifier et analyser les alertes de sécurité.
• Tests de Résilience : Conduire des tests en conditions réelles pour s'assurer de la capacité à restaurer les services critiques.
• Gestion des Fournisseurs : Contractualiser et suivre les prestations des fournisseurs avec des clauses de sécurité claires.

Les 4 principaux défis de l’implémentation

1. Cartographie des Actifs
   La cartographie des actifs matériels et logiciels est un défi majeur. Il convient d’identifier les actifs critiques pour pouvoir les protéger et les restaurer en cas d'incident.
   
2. Cryptographie et Sécurité des Données
   La mise en place de stratégies de cryptographie et de sécurité des données, tant au repos qu'en transit, nécessite une planification minutieuse et une intégration dans les infrastructures existantes.
   
3. Segmentation Réseau
   La segmentation des réseaux pour contenir les cyberattaques constitue un autre défi. Il est essentiel de pouvoir isoler et contenir les attaques pour minimiser leur impact.
   
4. Déclaration des Incidents
   DORA impose des délais stricts pour la déclaration des incidents de sécurité. La mise en place de procédures de classification et de notification des incidents a été un aspect critique du projet.

‍