ISGroup Conseil en Cybersécurité

Digital Operational Resilience Act (DORA) et tests avancés

Le Digital Operational Resilience Act (DORA) représente une étape déterminante pour le secteur financier : l’objectif n’est plus seulement de prévenir les cyberattaques, mais de garantir la continuité des services, même en cas d’incidents ou de pannes. La résilience opérationnelle devient donc le paramètre central, à valider via un programme de tests défini à l’Article 25, qui va bien au-delà des vérifications techniques ordinaires et exige des tests de résilience avancés : tests basés sur des scénarios (scenario-based tests), tests de bout en bout (end-to-end tests) et tests de performance.

Pourquoi DORA va au-delà du test de vulnérabilité

Les tests traditionnels, tels que l’évaluation des vulnérabilités ou les tests d’intrusion (pentest), se limitent souvent à analyser des systèmes individuels ou des environnements isolés. DORA, en revanche, impose de valider la capacité de l’entité financière à résister et à répondre à des interruptions informatiques réelles. L’objectif n’est pas seulement de détecter une faille logicielle isolée, mais d’assurer que les fonctions critiques ou importantes (CIF) restent opérationnelles, même en présence de vulnérabilités ou d’incidents chez des fournisseurs tiers.

Tests basés sur des scénarios d’événements graves mais plausibles

Les tests basés sur des scénarios prévus par DORA impliquent la simulation de perturbations fondées sur des scénarios graves mais réalistes. Les entités financières doivent identifier différents scénarios d’exposition de leurs actifs informatiques, notamment :

  • Cyberattaques directes : simulations de techniques adoptées par des acteurs malveillants réels.
  • Basculement technologique (switchover) : tests de basculement de l’infrastructure informatique primaire vers des capacités redondantes, des sauvegardes ou des structures secondaires afin de vérifier la rapidité du rétablissement.
  • Dysfonctionnements critiques : situations où la qualité d’une fonction critique est réduite à un niveau inacceptable ou échoue complètement.

Tests de bout en bout (end-to-end) sur les processus et les dépendances

Les tests de bout en bout selon DORA prévoient la validation de toute la chaîne d’un processus métier, en incluant chaque dépendance pertinente. Les points fondamentaux de ces tests sont :

  • Cartographie du parcours d’attaque : description d’une attaque potentielle depuis son entrée dans les systèmes jusqu’à la compromission de l’objectif final.
  • Implication des fournisseurs tiers : pour les fonctions critiques externalisées, les tests doivent inclure les services des fournisseurs informatiques et des sous-traitants afin de vérifier la résilience de tout l’écosystème.
  • Interdépendances : analyse de la manière dont la défaillance d’un composant technologique peut impacter en cascade les autres fonctions de l’organisation.

Tests de performance et robustesse opérationnelle

Dans le cadre de DORA, les tests de performance ne mesurent pas seulement la vitesse du logiciel, mais certifient la robustesse opérationnelle dans des conditions de stress. Les entités sont appelées à :

  • Soumettre les systèmes informatiques à des conditions de stress extrême pour identifier les points de rupture critiques.
  • Gérer la capacité et les performances : identifier les besoins en capacité pour prévenir les carences qui pourraient interrompre les services.
  • Vérifier que les systèmes de support aux fonctions critiques maintiennent des normes de disponibilité et d’intégrité même lors de pics de charge ou en présence d’incidents.

Comment sélectionner les scénarios

La sélection des scénarios doit suivre une approche fondée sur les risques (risk-based) :

  • Analyse d’impact sur l’activité (BIA) : les tests doivent refléter les résultats de la BIA et la classification des actifs.
  • Pertinence et plausibilité : priorité aux scénarios ayant une forte probabilité de survenance ou un impact systémique/réputationnel majeur, même s’ils sont rares.
  • Cyber-renseignement (Threat Intelligence) : les scénarios sont alimentés par les menaces cyber les plus récentes et les leçons tirées d’incidents historiques.

FAQ

  • Sont-ils alternatifs au pentest ?
  • Non. Ces tests complètent le programme de sécurité : tandis que le pentest détecte les vulnérabilités, le test basé sur des scénarios évalue la capacité de réponse et de rétablissement de l’organisation entière.
  • Faut-il impliquer les fournisseurs ?
  • Oui. Pour les fonctions critiques externalisées, DORA exige que les tests incluent les services des tiers et que les contrats prévoient explicitement la collaboration des fournisseurs aux tests de sécurité.
  • Comment choisir les scénarios prioritaires ?
  • Priorité aux scénarios concernant des fonctions dont l’interruption aurait les impacts les plus importants sur la stabilité financière, la continuité des services aux clients et la réputation de l’entité.

Au-delà de la conformité technique : concevez dès aujourd’hui votre plan de tests de résilience pour valider la robustesse de vos processus de bout en bout selon les critères DORA.

In

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *