ISGroup Conseil en Cybersécurité

Business Continuity Testing et Résilience Opérationnelle selon DORA

Le Digital Operational Resilience Act (DORA) introduit une nouvelle approche de la cybersécurité, déplaçant l’accent de la simple protection du périmètre vers la capacité à poursuivre les opérations même en cas d’incident. Les tests de continuité d’activité (business continuity testing) selon DORA sont ainsi transformés en un processus de validation structuré impliquant la gouvernance, les processus et les fournisseurs tiers. Le Règlement délégué (UE) 2024/1774 décrit les critères selon lesquels les tests doivent garantir la conformité des systèmes de rétablissement aux normes réglementaires.

Continuité et résilience dans DORA

DORA impose aux entités financières d’intégrer une politique de continuité opérationnelle des TIC dans leur cadre de gestion des risques. Les tests de continuité d’activité selon DORA vérifient à la fois la validité des plans de réponse et la possibilité réelle de maintenir la viabilité de l’entreprise jusqu’au rétablissement des opérations critiques.

Comment définir des scénarios d’interruption

Les tests de continuité d’activité doivent se baser sur des scénarios d’interruption sévères mais plausibles, comme établi par la réglementation :

  • Attaques informatiques directes et corruption de données.
  • Indisponibilité de personnel clé ou de sites physiques (bureaux et centres de données).
  • Défaillances substantielles des actifs TIC ou de l’infrastructure de communication.
  • Insolvabilité ou faillite de fournisseurs TIC critiques.
  • Événements externes extrêmes, par exemple catastrophes naturelles, pandémies ou interruptions prolongées du réseau électrique.

Tests de rétablissement, basculement (failover), sauvegarde et communication

  • Sauvegarde et restauration : Les procédures de récupération des données doivent être testées au moins une fois par an.
  • Basculements technologiques : Il est nécessaire de tester le basculement (failover) vers des systèmes redondants ou des sites secondaires, en démontrant la capacité à fonctionner dans ce mode avant le retour à la normale.
  • Communication de crise : Les tests doivent mettre à l’épreuve les plans de communication de crise, en vérifiant la réactivité des flux d’informations vers les parties prenantes et les autorités.
  • Infrastructures critiques : Pour les CCP et les CSD, le test inclut obligatoirement un site secondaire présentant un risque géographique distinct.

RTO/RPO : comment les interpréter correctement

La réglementation distingue clairement les exigences de rétablissement :

  • Recovery Time Objective (RTO) : Pour les fonctions critiques des CCP, CSD et plates-formes de négociation, un RTO maximal de 2 heures est imposé. Pour les autres entités, le RTO est déterminé par l’analyse d’impact sur l’activité (BIA).
  • Recovery Point Objective (RPO) : Il représente la perte de données maximale tolérable ; pour les plates-formes de négociation, il doit être proche de zéro.
  • Enregistrement : Chaque fonction supportant des processus critiques doit avoir ses RTO et RPO enregistrés de manière détaillée dans le registre des informations.

Dépendances vis-à-vis des fournisseurs et services partagés

DORA souligne le rôle de la chaîne d’approvisionnement dans la résilience opérationnelle. Les tests de continuité doivent inclure les services fournis par des tiers TIC, avec l’obligation contractuelle pour les fournisseurs de participer aux tests de sécurité et de résilience. Il est également requis d’évaluer les risques politiques ou juridictionnels si le fournisseur gère des données dans des pays tiers.

FAQ

  • DORA impose-t-il toujours des tests de continuité annuels ?
  • Les plans de continuité opérationnelle des TIC doivent être testés au moins une fois par an ou à la suite de changements significatifs dans l’infrastructure.
  • Existe-t-il un RTO unique pour toutes les entités ?
  • Seules les infrastructures de marché (CCP, CSD, plates-formes de négociation) doivent respecter la limite des 2 heures. Pour les autres entités, le RTO est établi en interne via la BIA, avec une justification proportionnée au risque.
  • Comment démontrer que le plan est réaliste ?
  • Il est nécessaire de documenter les résultats des tests, d’analyser les lacunes et de présenter un rapport à l’organe de direction avec les mesures correctives adoptées.

Validez votre résilience : demandez la conception d’un programme de tests de continuité d’activité conforme à DORA pour vous assurer que vos RTO et RPO sont réalistes et vérifiés.

In

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *