ISGroup Conseil en Cybersécurité

DORA : évaluation et scan des vulnérabilités pour les entités financières

Le Digital Operational Resilience Act (DORA) et le Règlement délégué (UE) 2024/1774 ont fait de l’évaluation des vulnérabilités (vulnerability assessment) une exigence réglementaire incontournable pour toutes les entités financières. La mise en œuvre d’un programme d’évaluation et de scan des vulnérabilités conforme à DORA est essentielle pour valider la résilience des systèmes TIC face à des menaces dynamiques et en constante évolution.

Définition DORA de l’évaluation des vulnérabilités

L’évaluation des vulnérabilités, selon DORA, constitue une composante fondamentale d’un cadre de gestion des TIC transparent, cohérent et responsable. Cette activité comprend des procédures visant à identifier, valider et enregistrer les faiblesses des actifs TIC qui pourraient être exploitées par des acteurs malveillants. L’attention ne se limite pas à la détection, mais s’étend à l’analyse de l’impact potentiel sur la résilience opérationnelle de l’entité.

Différence entre évaluation (assessment) et scan

  • Vulnerability Scanning : activité automatisée via des logiciels spécialisés pour couvrir systématiquement la plus large gamme d’actifs TIC.
  • Vulnerability Assessment : processus plus étendu qui intègre le scan, l’évaluation critique des résultats, l’analyse des causes profondes et la définition des meilleures mesures d’atténuation.

Périmètre correct : systèmes, applications, cloud, terminaux et bibliothèques tierces

  • Actifs TIC totaux : tous les actifs doivent être soumis à une vérification selon leur classification et leur profil de risque.
  • Bibliothèques tierces : il est obligatoire de surveiller les versions et les mises à jour de sécurité, y compris pour les composants open source.
  • Applications et logiciels : analyse et tests sur le code source et les logiciels propriétaires fournis par des tiers.
  • Terminaux et infrastructure : contrôle des terminaux portables et des configurations réseau pour réduire l’exposition aux menaces.

Fréquences : quand hebdomadaire, quand basée sur le risque

  • Fréquence hebdomadaire : scans automatisés au moins une fois par semaine pour les actifs TIC qui soutiennent des fonctions critiques ou importantes.
  • Fréquence basée sur le risque : pour les actifs non critiques, la fréquence est déterminée par la classification et le profil de risque.
  • Situations d’urgence : la fréquence doit augmenter en présence de menaces élevées ou de vulnérabilités récemment détectées.

Preuves documentaires : constatations, sévérité, responsable, remédiation, retest

  • Identification et sévérité : chaque vulnérabilité doit être enregistrée avec des valeurs quantitatives ou qualitatives sur l’impact et la probabilité d’occurrence.
  • Priorisation de la remédiation : les plans de remédiation doivent donner la priorité aux correctifs en fonction de la criticité détectée et du profil de risque.
  • Vérification et suivi : contrôle et vérification de la résolution effective des vulnérabilités apparues.
  • Contrôle des tiers : obligation pour les fournisseurs TIC de gérer et de signaler rapidement les vulnérabilités critiques relatives à leurs services.

KPI utiles pour l’audit et la direction

  • Temps moyen de détection et de résolution des vulnérabilités (MTTR).
  • Pourcentage d’actifs critiques scannés dans les délais hebdomadaires.
  • Nombre de vulnérabilités ouvertes au-delà des délais de tolérance définis dans le plan d’atténuation.
  • Statistiques et tendances sur les vulnérabilités gérées par les fournisseurs tiers.

FAQ

  • Le scan de vulnérabilités est-il suffisant ?
  • Non. Le scan n’est qu’une composante automatisée. DORA exige un cadre de gestion global incluant l’analyse des causes profondes, la priorisation des risques et la vérification de la remédiation.
  • Le scan hebdomadaire s’applique-t-il à tous les actifs ?
  • Non. L’obligation hebdomadaire ne concerne que les actifs soutenant des fonctions critiques ou importantes. Pour les autres, une approche basée sur le risque est appliquée.
  • Comment documenter l’activité ?
  • Il est nécessaire d’adopter des procédures écrites pour l’enregistrement des détections, l’attribution des responsables (owners), le suivi des correctifs et la conservation sécurisée des rapports pour les autorités compétentes.

Évitez les sanctions et les interruptions : demandez dès aujourd’hui une analyse d’écart (Gap Analysis) complète sur votre processus de gestion des vulnérabilités pour l’aligner sur les exigences techniques de DORA.

In

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *