La gestion des correctifs (Patch Management) selon DORA représente un élément essentiel de la résilience opérationnelle numérique dans le secteur financier, avec des exigences de conformité qui dépassent l’approche informatique traditionnelle pour intégrer des processus documentés, une priorisation basée sur les risques et une vérification finale de la résolution des vulnérabilités.

Gestion des correctifs DORA et cycle de vie des vulnérabilités

Dans le cadre du Digital Operational Resilience Act (DORA), l’identification des failles de sécurité par le biais d’évaluations de vulnérabilités ou de tests d’intrusion ne constitue que le point de départ. La résilience effective se mesure à la capacité de l’entité financière à résoudre rapidement les faiblesses mises en évidence. Les procédures de gestion des correctifs DORA doivent être formalisées et viser à clore complètement le cycle de vie de la vulnérabilité, y compris la validation de la clôture du risque.

Valeur de la remédiation après les tests

L’efficacité de la gestion des risques TIC dépend de la capacité à agir sur les menaces rencontrées. Conformément aux exigences du Règlement délégué (UE) 2024/1774, il ne suffit pas de réaliser des tests : il faut surveiller et évaluer attentivement les résultats pour mettre à jour les mesures de sécurité. Si les tests ne débouchent pas sur une remédiation DORA systématique, le processus de sécurité est considéré comme défaillant du point de vue de la gouvernance.

Priorisation basée sur les risques et les actifs

La gestion des correctifs selon DORA exige une distribution des correctifs basée sur :

• Criticité de la vulnérabilité : gravité technique mesurée, par exemple, via le score CVSS.
• Profil de risque de l’actif : classification de l’actif TIC concerné (Article 8 de DORA) et rôle dans le cadre des fonctions critiques ou importantes (CIF).

Il est nécessaire de se concentrer sur les actifs ayant le plus fort impact sur l’exploitation de l’entreprise, en assurant des mises à jour rapides et des mesures d’atténuation sur les systèmes critiques sans délai.

Gestion des correctifs d’urgence et gestion des changements

Le cycle de remédiation dans le contexte DORA inclut des procédures dédiées aux urgences, conformément aux normes techniques :

• Identification et évaluation des correctifs disponibles via des outils automatisés, si possible.
• Procédures d’urgence pour le déploiement des correctifs et la mise à jour des actifs TIC.
• Tests des correctifs dans des environnements reproduisant la production avant le déploiement, afin de prévenir les risques sur la continuité opérationnelle.

Le déploiement de correctifs d’urgence doit faire partie intégrante de la gestion des changements (change management) : chaque modification est documentée, évaluée et approuvée, même après avoir été mise en œuvre.

Validation de la clôture

La résolution d’une vulnérabilité n’est pas terminée sans vérification de l’efficacité de la remédiation. DORA impose un suivi post-remédiation et une vérification de la résolution ; si aucun correctif n’est disponible, il faut recourir à des mesures d’atténuation alternatives (contrôles compensatoires). En présence de tests avancés TLPT, le plan doit inclure la description des lacunes (shortcomings) et une analyse détaillée des causes profondes (root cause analysis).

KPI pour le suivi

La gouvernance DORA repose sur des indicateurs mesurables :

• MTTR (Mean Time To Remediate) : temps moyen entre la détection et la clôture de la vulnérabilité.
• Overdue patches : total des correctifs non appliqués dans les délais définis.
• Reopen rate : fréquence des vulnérabilités qui échouent au retest même après correction.
• Pourcentage de vulnérabilités critiques résolues : rapport entre les vulnérabilités critiques éliminées sur les systèmes CIF.

FAQ Gestion des correctifs DORA

• DORA impose-t-il des délais maximaux de mise à jour ?
• La réglementation ne fixe pas de nombre de jours universel, mais oblige à définir en interne des délais impératifs pour l’installation et à prévoir des procédures d’escalade si les délais ne sont pas respectés.
• Comment gérer les exceptions et les contrôles compensatoires ?
• Si un correctif ne peut être installé, en raison d’une incompatibilité ou d’une absence de publication, DORA exige des mesures d’atténuation alternatives et leur documentation dans le cadre de gestion des risques.
• Un retest doit-il toujours être effectué ?
• Oui, le suivi et la vérification de la résolution sont obligatoires pour s’assurer de l’élimination de la vulnérabilité et prévenir la réintroduction de nouveaux risques.

Bouclez la boucle de la sécurité : demandez une révision de votre processus de gestion des correctifs et de remédiation pour assurer une pleine conformité aux exigences techniques de DORA.