Si vous êtes une « entité financière » ou le prestataire IT d’une fonction critique ou importante d’une entité financière, en mode cloud ou « on prem » (nous y viendrons très bientôt), vous allez devoir implémenter l’ensemble du dispositif légal du Règlement UE n°2554 « DORA » du 14 décembre 2022.
Vous allez donc devoir lire DORA. Et c’est long, très long. C’est très détaillé aussi puisque DORA est un Règlement, une loi européenne d’application directe dans chaque pays membre de l’UE.
Ll’interprétation de DORA sera harmonisée par les autorités de contrôle de l’UE, à savoir (inspirez) (i) la « European Banking Authority » (EBA), (ii) la « European Insurance and Occupational Pensions Authority » (EIOPA) et (iii) la « European Securities and Market Authority » (ESMA) dont les relais en France sont (1) la Banque de France, (2) l’Autorité des Marché financier (AMF) et (3) l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) (expirez !).
Et DORA est rempli de définitions légales qu’il faut savoir déchiffrer pour comprendre ce qu’il va falloir faire.
Nous allons vous y aider par une série de posts courts, sur quelques points essentiels (vitaux / critiques / important / etc.).
Bienvenue dans l’univers de « Hercule » en 3 tomes (remarquables) par Jean-David Morvan + Vivien « Looky » Chauvet + Olivier Thill aux éditions Soleil.
Commençons par les notions d’ « Actif de TIC » et d’ « Actif Informationnel » .
Si la Directive NISv2 vise directement la sécurité des réseaux et des systèmes d’information (d’où l’acronyme NIS en anglais), DORA vise à sécuriser les « informations » traitées par voie numérique, grâce à des matériels et des logiciels.
DORA impose donc de sécuriser les réseaux et systèmes d’information (les moyens) en vue d’assurer la sécurité des informations qui y sont traitées (la fin). Car ce sont ces informations qui comptent, plus que les moyens physiques (les matériels comme les serveurs) ou logiciels qui ne sont ici que des instruments, des outils.
C’est ça, le premier changement de paradigme majeur qu’impose DORA.
Le principe de DORA : "protéger [à l'état de l'art] les Actifs contre les risques" identifiés et traités
Les "actifs de TIC" ? "TIC" ? Devinez...
les "Actifs de TIC" donc ?
C’est ici que DORA est mal écrit.
Il faudrait distinguer les Actifs [logiciels] et les Actifs [matériels].
Hélas, DORA regroupe les deux catégories dans une seule et même définition. Or, c’est pas tout à fait la même chose, n’importe quel(le) juriste débutant(e) vous l’expliquera sans problème.
Le problème, c’est que les normes de référence (au hasard, le Guide d’hygiène de l’ANSSI en 42 mesures ou les normes de la famille ISO 27000 n’utilisent pas le même vocabulaire, ce qui n’aide pas à rendre cohérent des documents comme le Plan d’Assurance Sécurité*** qui devra être auditable… Prévoir un lourd travail de mise en cohérence. Sur ce point, nous avons des solutions prêtes et accessibles depuis la page « Nos Services » .
L’autre problème, ce seront les auditeurs (notamment ISO 27001) qui n’ont pas l’habitude de ce vocabulaire spécial DORA tout neuf et utilisé nulle part ailleurs. Pourtant, ce seront eux qui devront vérifier si une entité financière (ou son prestataire TIC) a effectivement déployé les 114 mesures de sécurité du « Système de Management de la Sécurité de l’Information » (SMSI pour les intimes de la certification ISO 27001 version 2013).
Il va falloir aussi former les auditeurs, donc (gros soupirs…).
Je nous souhaite à toutes et à tous patience et courage…
*** traduction pour les juristes « contrat » : le « P.A.S. » c’est l’annexe « sécurité des systèmes d’information » du contrat de service, juste après l’annexe RGPD… vous savez, l’annexe que vous avez interdiction de lire et que vous refilez avec délectation au RSSI (qui pourtant à d’autres choses à faire, croyez-le bien !).
les "Actifs Informationnels" ? (car ce n'est pas terminé pour aujourd'hui...)
Ce sont les « informations » , les « data » qui sont traitées numériquement par les Actifs de TIC (les matériels et les logiciels, donc) : le montant du solde de votre compte bancaire, la valeur et la date précise de chaque crédit et de chaque débit, qui a acheté / vendu / détient quelles quantité d’actions / d’obligations… (ah, ça devient plus concret, hein ?).
Voila, en synthèse extrêmes, ce que sont les « Actifs Informationnels » dont les « entités financières » doivent assurer la sécurité.
Chers auditeurs, chères auditrices ISO 27001, relisez bien votre Annexe A et remplacez partout « information » par « Actif Informationnel » : vous verrez, le résultat passe très bien.
Et l’Annexe contractuelle « Plan d’Assurance Sécurité » sera aussi auditable par des juristes qui en rendront les mentions juridiquement « binding » (des fois que le prestataire ne soit pas encore certifié mais dans son process de…).
un "actif" dans le vocabulaire des pro de la cyber sécurité ?
la "Sécurité" des données ? = la Sécurité des "Actifs Informationnels" !
"Cyber Sécurité" ? Tous les textes français et européens reprennent les mêmes termes depuis 2004 !
OK... et maintenant, on doit faire quoi avec tout ça ? En 1 slide ?
Si on comprend très bien l’obligation, force est de reconnaitre que c’est écrit avec les pieds (ça sent le/la juriste qui a voulu faire « ceinture et bretelles » , des fois qu’il/elle ait oublié un truc…).
le détail du "QUOI FAIRE" : (i) identifier puis (ii) classer puis (iii) évaluer
épisode #01 : la TO DO list...
les encouragements (avant un prochain épisode...)
... de l'aide, OK mais... proposer de l'aide comment ?
Merci à Sébastien Le Foll et aux éditions Delcourt Soleil pour les illustrations en BD ayant servi pour cette présentation !
Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!
« Hercule » série complète (et proprement remarquable) en 3 tomes par Jean-David Morvan + Vivien « Looky » Chauvet + Olivier Thill © éditions Soleil 2012-2017
