La gestion des actifs selon DORA représente le prérequis stratégique pour la sécurité des infrastructures critiques. L’efficacité des tests de sécurité imposés par le Digital Operational Resilience Act dépend de la précision dans la définition du périmètre des actifs. L’identification et la classification des actifs sont indispensables pour garantir que les critical live production systems (systèmes de production critiques en direct) soient protégés et testés de manière adéquate.

Inventaire des actifs et tests : un lien réglementaire

L’article 8 du DORA stipule que l’identification et la classification des actifs constituent les étapes fondamentales et initiales de la résilience opérationnelle. Les programmes prévus par les articles 24 et 25 ainsi que la gestion des vulnérabilités doivent reposer sur une classification précise des actifs, car l’analyse des vulnérabilités doit être proportionnelle au profil de risque de l’actif lui-même. L’absence de classification ou l’exclusion d’actifs critiques peut conduire à des tests insuffisants ou erronés.

Identification des fonctions critiques ou importantes (CIF)

• Identification totale : L’entité financière doit cartographier toutes les fonctions opérationnelles et commerciales.
• Évaluation de la criticité : Les critères, à respecter selon l’Art. 3(22) du DORA, incluent l’impact sur la stabilité financière, l’importance pour les opérations quotidiennes et la difficulté de remplacement en cas de défaillance.

Cartographie des actifs, propriétaires, dépendances et exposition

Le Règlement délégué (UE) 2024/1774 impose la tenue de registres détaillés pour chaque actif TIC. Chaque actif doit mentionner :

• Identifiant unique et localisation physique/logique
• Propriétaire (owner) : identité du responsable
• Support aux CIF : relation avec les fonctions critiques
• Interdépendances avec d’autres actifs ou fonctions commerciales
• Exposition aux réseaux externes ou à Internet
• Date de fin de support (End-of-Life) fournie par les tiers

Erreurs de classification ayant un impact sur les tests

Une erreur fréquente dans l’inventaire des actifs TIC selon DORA concerne le manque de cartographie des dépendances technologiques vis-à-vis des tiers. Si un fournisseur TIC sous-traite des services pertinents pour des fonctions critiques, l’ensemble de la chaîne de valeur technologique doit être enregistré dans le registre des informations. Un risque supplémentaire découle de l’utilisation d’environnements de test différents de l’environnement de production ; le DORA établit que pour les tests avancés (TLPT), les systèmes en direct doivent être utilisés, rendant essentielle une information actualisée et précise sur les actifs concernés.

Sortie minimale requise pour les VA/PT

Avant d’effectuer des évaluations de vulnérabilité (VA) ou des tests d’intrusion (PT), il est nécessaire de disposer de :

• Registre des informations (RoI) mis à jour sur les accords contractuels et les services TIC
• Documentation des CIF : liste approuvée des fonctions critiques et des actifs associés
• Cartographie des flux de données : détails des connexions réseau et des flux pour définir la surface d’attaque

FAQ sur la gestion des actifs DORA

• Un CMDB suffit-il ?
• Un CMDB standard n’est généralement pas suffisant, car DORA exige également le lien avec les CIF, les exigences de continuité d’activité (RTO/RPO) et la gestion des interdépendances avec les fournisseurs tiers.
• Comment classer les actifs cloud ?
• Les actifs cloud doivent être classés selon la taxonomie DORA (IaaS, PaaS, SaaS) et intégrés dans l’inventaire général, en définissant clairement les responsabilités entre l’entité et le fournisseur.
• Procédure de liaison entre actifs et fonctions critiques ?
• Une « évaluation de la criticité » (criticality assessment) doit être effectuée pour évaluer l’impact de la perte de confidentialité, d’intégrité ou de disponibilité de l’actif sur la fonction commerciale supportée.

Planifiez correctement votre périmètre : participez à notre atelier de classification des actifs et de définition du périmètre des tests pour aligner votre inventaire sur les exigences techniques du DORA.