Vous voulez comprendre le Règlement UE DORA du 14 décembre 2022 ?
Pourquoi DORA ?
Le coeur de DORA ?
L’épisode #04 de notre série « déchiffrer DORA » devrait vous permettre de répondre à ces trois questions.
Pour cela, il faut s’intéresser aux règles applicables aux Fonctions Critiques ou Importantes des entités financières.
Voila ce que vous retiendrez de DORA si vous suivez les explications de cette présentation :
le slider de la traditionnelle intro de présentation de Metametris et de Ledieu-Avocats
Fonctions Critiques ou Importantes : une définition officielle pour toute l'UE !
Rappel de la définition légale dans DORA de ce que sont les Fonctions Critiques ou Importantes.
PS : arrêtez de répéter que DORA ne règlemente que les prestataires fournissant des services relatifs aux Fonctions Critiques ou Importantes. Ce n’est tout simplement pas vrai !
SYNTHESE de "déchiffrer DORA" #04 Fonctions Critiques ou Importantes
Pour cet épisode #04, nous avons privilégié la synthèse de chaque partie de DORA traitant des Fonctions Critiques ou Importantes.
Ainsi en sera-t-il de la synthèse en 5 slides dans le slider ci-dessous.
DORA, Fonctions Critiques ou Importantes et principe de proportionnalité : cherchez l'intrus !!!
Si vous avez suivi notre épisode « déchiffrer DORA » #03 « résilience et principe de proportionnalité« , vous savez déjà ce que vous lirez dans les slides ci-dessous.
Pour le résumer en 1 phrase : si vous devez appliquer DORA à 100 % , c’est précisément au profit des Fonctions Critiques ou Importantes de votre entité financière.
Ou à l’égard de votre prestataire sous traitant qui fournit à l’entité financière une solution qui sous-tend… une Fonction Critique ou Importante.
PS : 100 % dans une législation qui impose des règles de cyber sécurité, ça passe quand même par le prisme de l’analyse de risque. Je vous laisse réviser « déchiffrer DORA » #02 « risque et analyse de risques » ?
les obligations de l'entité financière soumise à DORA : identifier, classer et évaluer... ses Fonctions Critiques ou Importantes !
les mesures techniques spécifiques à appliquer aux Fonctions Critiques ou Importantes
A ce stade, j’ai une bonne nouvelle et une mauvaise nouvelle.
La bonne nouvelle, c’est le principe : l’obligation de mettre en place une infra technique redondante.
Le principe est clair dans DORA. Ne cherchez plus et faites !!!
La mauvaise nouvelle ? Il va falloir attendre juillet 2024 (presque 9 mois) pour avoir le détail qui sortira du cerveau fécond des AES…
Mon conseil : faites votre audit d’identification avec les métiers, et mettez en place une infra redondante. Et si vos prestataires ne sont pas en mesure de le faire, de manière effective et testée, changez rapidement de prestataire !!!
Fonctions Critiques ou Importantes : la notification des incidents majeurs de sécurité !
Si vous prenez un peu de hauteur dans la lecture de DORA, vous constaterez que seuls les « évènements de sécurité » qui doivent faire l’objet d’une information obligatoire aux AES sont les évènements / incidents qui touchent… les Fonctions Critiques ou Importantes ! Et oui !
C’est tout résumé dans le slider ci-dessous.
... et les tests de résilience opérationnelle numérique, c'est pour toutes les fonctions des entités financières ? NON ! seulement pour les Fonctions Critiques ou Importantes !!!
Je vous résume le contenues slides ci-dessous :
– les tests (de résilience opérationnelle numérique) sont obligatoires, au moins 1 fois par an (???) seulement pour les Fonctions Critiques ou Importantes.
– les tests sur la prod° fondés sur des scénarios d’attaques ne seront à effectuer que sur autorisation des AES.
Constat : DORA ne rappelle même pas l’état de l’art en matière de test…
D’ailleurs, allez voir la liste des tests réalisables selon DORA, c’est gratiné… (mais qui a écrit ça ?).
Des mesures juridiques spécifiques pour les Fonctions Critiques ou Importantes ?
Ce sont encore les Fonctions Critiques ou Importantes qui vont faire transpirer les juristes.
Chaque entité financière devra identifier ceux de leurs prestataires qui fournissent une solution relative à une Fonction Critique ou Importante.
Une fois que ce sera fait, sous la responsabilité de l’entité financière, il faudra signer toute une série de clauses contractuelles particulièrement détaillées.
Vous ne trouverez ci-dessous qu’un rappel des dispositions de DORA sur les contrats portant sur les Fonctions Critiques ou Importantes.
Nous consacrerons prochainement un épisode spécifique de notre série « déchiffrer DORA » à cette problématique contractuelle (comptez sur nous !).
Clôturons cet épisode #04 de la série "déchiffrer DORA" consacré aux Fonctions Critiques ou Importantes des entités financières par... la désormais traditionnelle TO DO list
Le conseil de l'épisode #04 de la série "déchiffrer DORA" consacré aux Fonctions Critiques ou Importantes des entités financières
puis... le rappel (toujours cruel) du calendrier, en clair de la date à laquelle DORA va permettre aux Autorité de contrôle... de contrôler !
Si vous avez encore un doute sur le message subliminal à propos des contrats à conclure avec les prestataires de Fonctions Critiques ou Importantes, voici le même message en version classique !
Quittons-nous jusqu'à un prochain épisode de cette saga juridico-technique à propos de laquelle le New York Times a récemment titré "il y aura un avant "déchiffrer DORA" et un après"...
Merci à Sébastien Le Foll et aux éditions Delcourt Soleil pour les illustrations en BD ayant servi pour cette présentation !
Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!
« Hercule » série complète (et proprement remarquable) en 3 tomes par Jean-David Morvan + Vivien « Looky » Chauvet + Olivier Thill © éditions Soleil 2012-2017
« Milady 3000 » one shot extrêmement attachant © [le Grand] Magnus 1985 © éditions Ansaldi Bruxelles – de la pure SF des années 80 !