ISGroup Conseil en Cybersécurité

Test de Résilience Opérationnelle Numérique (DORA) pour les Entités Financières

Le Règlement (UE) 2022/2554, connu sous le nom de DORA (Digital Operational Resilience Act), impose aux entités financières européennes un système harmonisé pour la résilience opérationnelle numérique. La réglementation ne demande pas uniquement des tests de type Red Teaming comme les TLPT, mais une série articulée d’activités de test et de surveillance impliquant tous les systèmes et outils TIC.

Digital operational resilience testing in DORA

Le test de résilience opérationnelle numérique est le quatrième pilier de DORA et garantit que les entités financières sont capables de résister, de répondre et de rétablir leurs opérations face aux menaces et aux interruptions des TIC. Le cadre fournit des critères uniformes pour la sécurité des réseaux et des systèmes d’information, avec une application à plus de 20 types différents d’acteurs financiers au sein de l’UE. L’objectif déclaré est la prévention et l’atténuation des cybermenaces par une validation constante des défenses.

Tests de base et TLPT : différences et domaines d’application

DORA distingue les vérifications de routine des tests avancés :

  • Tests de base (Articles 24 et 25) : Obligatoires pour la quasi-totalité des entités financières. Ils concernent des vérifications approfondies des outils et systèmes TIC. Ils représentent l’exigence minimale pour évaluer la solidité des défenses.
  • TLPT (Threat-Led Penetration Testing – Article 26) : Tests avancés, basés sur l’intelligence et conçus pour simuler les tactiques utilisées par des acteurs malveillants réels. Ils sont obligatoires uniquement pour les entités considérées comme systémiquement importantes ou présentant des profils de risque spécifiques, et doivent être effectués sur des systèmes de production réels et opérationnels.

Les vérifications requises par l’article 25

L’article 25 de DORA énumère les types de tests qui doivent composer le programme de vérification des entités financières :

  • Source code review : Révisions du code source avec des tests à la fois statiques et dynamiques.
  • Security testing pour les systèmes exposés : Tests de sécurité dédiés aux applications et aux systèmes accessibles depuis Internet.
  • Vulnerability assessment : Structure transparente pour l’identification, la gestion et la résolution des vulnérabilités.
  • Tests des progiciels : Vérifications de sécurité précédant la mise en œuvre de nouveaux progiciels.
  • Analyse d’impact et de compatibilité : Tests garantissant que les nouveaux systèmes TIC n’introduisent pas de vulnérabilités dans les processus existants.

Responsabilités, approche et exigences des testeurs

Les entités financières doivent adopter une vision basée sur le risque, en calibrant les ressources utilisées en fonction de la criticité des actifs TIC et des processus métier. Les tests doivent être menés par des fonctions autres que celles responsables du développement ou de l’exploitation des systèmes. Les testeurs, qu’ils soient internes ou externes, doivent démontrer leur aptitude, leur réputation et leurs compétences techniques certifiées. Pour les TLPT, il est obligatoire de faire appel à des fournisseurs de threat intelligence indépendants de la banque ou du groupe financier.

Fréquence requise sur les systèmes critiques

  • Vulnerability scanning : Pour les actifs TIC supportant des fonctions critiques ou importantes, l’analyse des vulnérabilités doit être effectuée au moins une fois par semaine.
  • Business Continuity Plans : Les plans de continuité opérationnelle TIC doivent être testés au moins une fois par an ou en cas de changements significatifs.
  • Révision générale : Au moins une fois par an, l’adéquation du programme de test doit être vérifiée par rapport aux mises à jour de la stratégie d’entreprise.
  • TLPT : Les tests avancés doivent normalement être effectués tous les trois ans, sauf indication contraire de l’autorité compétente.

Lien entre tests, remédiation et gouvernance

Le programme de test impose aux entités financières d’intégrer la vérification de la résilience dans leur système de gouvernance. Les résultats des tests doivent être documentés et analysés pour détecter et corriger les lacunes, via des plans de remédiation spécifiant les actions, les responsabilités et les délais de mise en œuvre. L’organe de direction conserve la responsabilité ultime de la supervision et de l’approbation des tests et des plans d’atténuation des risques identifiés.

FAQ sur DORA et les tests de sécurité

  • DORA rend-il le test d’intrusion toujours obligatoire ?
  • DORA exige pour toutes les entités financières des tests de sécurité incluant des vérifications similaires aux tests d’intrusion, notamment dans la gestion des vulnérabilités et la sécurité des systèmes exposés. Le test d’intrusion avancé (TLPT), en revanche, est réservé aux entités les plus importantes.
  • DORA rend-il le TLPT toujours obligatoire ?
  • Le TLPT est obligatoire exclusivement pour les entités financières matures du point de vue des TIC et ayant un impact systémique, tandis que les autorités peuvent exclure celles pour lesquelles il n’est pas justifié par le profil de risque.
  • À quelle fréquence les systèmes critiques doivent-ils être testés ?
  • Les systèmes qui supportent des fonctions critiques doivent être soumis à une analyse de vulnérabilité au moins une fois par semaine, tandis que les tests généraux de résilience et de continuité d’activité doivent être effectués au moins annuellement.

Assurez votre conformité : demandez une évaluation initiale de votre programme de test DORA pour définir correctement le périmètre de vérification de vos systèmes critiques.

In

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *