Le règlement DORA impose aux entités financières une vérification rigoureuse et constante de l’infrastructure réseau, exigeant des évaluations approfondies pour garantir que l’architecture résiste, détecte et contienne les cybermenaces. Le programme de tests de résilience opérationnelle numérique, conformément à l’Article 25, doit inclure des évaluations de la sécurité réseau (network security assessments) structurées pour assurer la continuité et la sécurité des fonctions critiques ou importantes.

Qu’est-ce qu’un network security assessment dans le cadre de DORA ?

Un network security assessment dans le cadre de DORA est un processus technique et analytique qui valide l’efficacité des politiques, des procédures et des outils de sécurité réseau. L’objectif n’est pas seulement d’identifier les vulnérabilités logicielles, mais de vérifier la robustesse de la configuration et de la conception du réseau afin de prévenir les accès non autorisés, de garantir la confidentialité et l’intégrité des données en transit, et de protéger la continuité des fonctions critiques.

Segmentation, accès distants, filtrage, IAM, PAM et journalisation

• Ségrégation et Segmentation : Le réseau doit être segmenté en fonction de la criticité des fonctions prises en charge et du profil de risque des actifs TIC, limitant ainsi le mouvement latéral des attaquants.
• Filtrage et règles de pare-feu : Les rôles et responsabilités pour l’approbation et la révision des règles de pare-feu doivent être identifiés. Pour les systèmes supportant des fonctions critiques, la révision de la pertinence des règles est obligatoire au moins tous les six mois.
• Gestion des accès (IAM et PAM) : La mise en œuvre de contrôles d’accès réseau est obligatoire pour empêcher la connexion de dispositifs non autorisés. Pour l’administration des actifs critiques, un réseau séparé et dédié est requis.
• Journalisation et surveillance : Il est nécessaire d’enregistrer les événements relatifs au trafic et aux performances réseau, avec un niveau de détail proportionnel à la criticité de l’actif. Les journaux (logs) doivent être protégés contre toute altération ou suppression.
• Chiffrement en transit : Toutes les connexions réseau, qu’elles soient d’entreprise, publiques ou sans fil, doivent être chiffrées conformément à la classification des données traitées.

Durcissement (Hardening) et revue d’exposition pour les actifs exposés

• Durcissement du réseau (Network Hardening) : Des bases de configuration sécurisée doivent être implémentées pour tous les composants réseau, en suivant les instructions des fournisseurs et les meilleures pratiques du secteur.
• Gestion de l’exposition : L’accès direct depuis Internet aux dispositifs utilisés pour l’administration des systèmes d’information est interdit.
• Terminaison des sessions : Les procédures doivent prévoir la fermeture automatique des sessions distantes après une période d’inactivité prédéfinie.
• Isolement temporaire : Le réseau doit être conçu pour permettre l’isolement temporaire de sous-réseaux ou de composants en cas d’incident.

Relation avec les tests de vulnérabilité et les tests d’intrusion

Le network security assessment se situe entre le test de vulnérabilité (vulnerability assessment) et le test d’intrusion (pentest). Le test de vulnérabilité se limite à une analyse automatisée des failles connues, tandis que le test d’intrusion effectue une simulation active d’attaques. Le network assessment se concentre sur l’analyse de la configuration et de l’architecture pour identifier les erreurs logiques et les points de défaillance que les scans pourraient ne pas détecter. Il sert à cartographier les flux de données et à définir le périmètre correct pour les activités de test de vulnérabilité et de test d’intrusion.

Preuves et remédiation

• La documentation produite doit inclure la cartographie et la représentation visuelle des réseaux et des flux de données.
• Les résultats des revues annuelles de l’architecture réseau doivent être consignés.
• Un plan de remédiation doit être prévu, reliant les lacunes détectées à leur cause profonde via une analyse des causes racines (root cause analysis), en priorisant les actions en fonction du risque pour les fonctions critiques.

FAQ

• Est-ce la même chose qu’un pentest ?
• Non. Le test d’intrusion tente de violer les défenses ; le network security assessment vérifie que les défenses (segmentation, pare-feu, durcissement) sont configurées conformément aux politiques et aux meilleures pratiques.
• Le cloud doit-il être inclus ?
• Oui. DORA s’applique à tous les actifs TIC, y compris les infrastructures cloud et les services tiers.
• Comment démontrer la proportionnalité du contrôle ?
• Conformément à l’Article 4, la complexité de l’évaluation dépend de la taille et du profil de risque de l’entité, mais il est impossible de déroger aux exigences minimales de ségrégation et de révision semestrielle pour les systèmes critiques.

Protégez votre infrastructure : demandez un Network Security Assessment orienté DORA pour valider votre segmentation et votre durcissement avant l’inspection des autorités.