Qu’il s’agisse du concept de résilience (cyber résilience ou résilience opérationnelle numérique) ou du principe de proportionnalité, cet épisode #03 de notre série « déchiffrer DORA » n’a rien de sexy. Pourtant, ces deux concepts sont fondamentaux pour comprendre les objectifs voulus par le législateur européen et imposés aux professionnel(le)s qui ont ou auront la charge d’implémenter le Règlement UE « DORA » n°2022-2554 du 14 décembre 2022.
Pourquoi insister sur la notion de résilience ? Parce que DORA, en version anglaise, ça veut dire « Digital Operational Resilience Act » . La résilience est l’objet même de cette loi européenne qui s’applique aux entreprises du secteur financier.
Nous ferons un petit rappel de vocabulaire avant d’envisager le même exercice en DORA dans le texte comment et surtout sur quels chapitres de DORA ces deux concepts s’appliquent.
Pour celles et ceux qui voudraient réviser les précédents épisodes de « déchiffrer DORA » :
épisode #01 « Actif » et « Actif Informationnel »
épisode #02 : risque et analyse de risques
Ci-dessous en 1 slide ce que vous pourrez retenir si vous lisez cet épisode #03.
[une mise à jour de ce post du 31/10/2023 vous permettra d’avoir un aperçu du régime spécifique de désignation des « prestataires critiques UE » ]
Si vous souhaitez découvrir (i) qui sont les auteurs de cet épisode et (ii) si votre métier est impacté par ces concepts, les slides sont ici !
un peu de vocabulaire pour commencer : la "résilience" ?
On va regarder dans les dictionnaires et dans ISO 27000 (on se demande pourquoi dans « la série ISO 27000 » , hein ?).
Si vous ne deviez retenir qu’une seule slide, nous vous suggérons celle-ci (merci wikipedia.fr) :
PS : par « système » , il faut bien sûr comprendre « système d’information » .
et si vous voulez un peu de détail, vous pouvez parcourir les slides ci-dessous qui devraient - nous l'espérons - vous aider pas mal...
Pour mieux comprendre les notions de "cyber résilience" et de "cyber sécurité" ?
Rien ne vaut les explications fournies par des professionnels !
Et lorsqu’il s’agit d’un podcast NoLImitSecu, il ne faut pas vous retenir !
Cliquez sur l’image pour accéder directement à la page web du podcast NoLimitSecu du 10 juillet 2022
Pour accéder aux extraits qui m'ont paru les plus significatifs de cet épisode de NoLimitSecu, vous pouvez consulter les quelques slides ci-dessous. Ce ne sont que des citations illustrées en BD avec "La Nef des Fous" !
Maintenant, rentrons dans le dur : comment DORA évoque la notion de résilience (opérationnelle numérique, bien sûr)
Voici en 1 slide la définition de « résilience opérationnelle numérique » dans DORA.
et si vous voulez un peu de détail sur la manière dont DORA définit et encadre la notion de "résilience opérationnelle numérique", il vous faut aller piocher dans le slider ci-dessous
le principe de proportionnalité et les différents seuils d'application de DORA pour les entités financières
Nous avons choisi d’évoquer ici « QUI » sera impacté par DORA (en clair, quelles sont les entités financières concernées).
C’est une première manière d’aborder le principe de proportionnalité : qui sont les entités concernées, quelles sont celles qui bénéficient d’un régime dérogatoire (comprendre soit une exonération, soit un régime « allégé » ) ?
Commençons par l’inventaire à la Prévert des entités financières concernées en 1 slide.
On peut ainsi en déduire (sans trop se tromper) que l’UE a souhaité réglementer le plus grand nombre d’entités du secteur. Le principe de proportionnalité est donc franchement accessoire dans le process de désignation.
Les différents seuils d'application de DORA pour les entités financières ? Consultez le détail du dispositif légal dans les slides ci-dessous
BONUS (tardif) sur les prestataires critiques UE : un régime sous haute surveillance
[mise à jour du 31/10/2023 : j’avais oublié mes slides sur les prestataires critiques UE – serai-je jamais pardonné ?]
le détail du régime de désignation et d'imposition (au sens fiscal du terme) des prestataires désignés comme "critique UE"
on termine en évoquant - last but not least - l'application du principe de proportionnalité aux mesures de gestion du risque cyber
Le principe à retenir tient en 1 slide que vous trouverez ci-dessous.
Sur le papier, c’est intelligent et louable.
Pour les professionnel(le)s qui doivent l’appliquer, c’est un véritable problème, faute d’abaques… Mais bon, nous vous proposons une piste de réflexion qui nous semble de bon sens, surtout après lecture attentive de DORA…
après le principe, voici le détail de l'application dans DORA du principe de proportionnalité aux mesures de gestion du risque cyber (et la manière dont les AES peuvent le contrôler de manière tout à fait officiel - sous peine de sanction, donc)
déchiffrer DORA #03 résilience numérique opérationnelle et principe de proportionnalité : la TO DO list
Nous développons (déjà) un service web sécurisé pour professionnel(le)s
Merci à Sébastien Le Foll et aux éditions Delcourt Soleil pour les illustrations en BD ayant servi pour cette présentation !
Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!
« 5 Terres (Les) » première série complète en 6 tomes par « Lewelyn » (David Chauvel, Andoryss et Patrick Wong) et Jérome Lereculey © éditions Delcourt 2019-2022 – une des plus belles séries en BD avec des animaux humanisés (et une intrigue diabolique)
« Hercule » série complète (et proprement remarquable) en 3 tomes par Jean-David Morvan + Vivien « Looky » Chauvet + Olivier Thill © éditions Soleil 2012-2017
« Milady 3000 » one shot extrêmement attachant © [le Grand] Magnus 1985 © éditions Ansaldi Bruxelles – de la pure SF des années 80 avec notamment des androïdes bio-chimiques !
« Nef des Fous (La) » 12 tomes absolument géniaux + intégrale en 2 tomes + hors série par Bernard « Turf » © éditions Delcourt 1993-2023