26 septembre 2022

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#414 DORA projet 5/12: des mesures techniques de sécurité obligatoires ? © Ledieu-Avocats

DORA projet 5/12: des mesures techniques de sécurité obligatoires ?

Résumé des précédents épisodes de (la passionnante) saga consacrée au projet de Règlement UE "DORA"

Lors des épisodes précédents, nous avons vu pourquoi DORA puis qui est concerné. Après l’identification de la menace et ses définitions légales, nous avons évoqué les analyses de risque et les politiques de sécurité à mettre en œuvre par les entités financières.

Il est temps de rentrer dans le dur de la technique : quelles mesures techniques concrètes (et obligatoires) de sécurité à mettre en œuvre pour les systèmes d’information du secteur financier ?

Ce sera le 5ème travail d’Hercule (et non des moindres, vous allez voir) imposé par le projet de Règlement UE DORA dont la V1 date du 24 septembre 2020 , la V2 du 23 juin 2022… et qui devrait nous arriver en version finale dans les tous prochains mois.

Le 5ème travail d'Hercule DORA résilience opérationnelle secteur financier #05 MESURES techniques obligatoires SECURITE © Ledieu-Avocats


DORA projet 5/12 : "Étouffer le lion de Némée" ? Pour DORA, priorité à la continuité des activités opérationnelles

DORA va imposer aux entités financières d’assurer « un suivi et un contrôle permanents » du fonctionnement de leurs SI et de leurs logiciels.

L’objectif de DORA sera « d’assurer une récupération rapide [de la production] à la suite d’incidents » .

Pour cela, les entreprises du secteur devront mettre en place « des mécanismes permettant de détecter rapidement les activités anormales, y compris les problèmes de performance » .

C’est en cela que DORA s’intéresse au caractère opérationnel de la résilience des systèmes d’information et des réseaux.

DORA projet 5/12 résilience opérationnelle secteur financier #05 MESURES techniques de SECURITE obligatoires © Ledieu-Avocats
DORA projet 5/12 résilience opérationnelle secteur financier #05 MESURES techniques de SECURITE obligatoires © Ledieu-Avocats


DORA projet 5/12: DORA impose l'obligation de mettre en œuvre des outils numériques et des process "robustes"

DORA précise que ces « technologies et processus informatiques de pointe [sic] » à mettre en œuvre devront reposer sur des « normes techniques (par exemple, ISO) » ou de « bonnes pratiques » du secteur « reconnues à l’échelle européenne et internationale » et « pleinement conforme aux instructions spécifiques des autorités de surveillance » .

L’objectif des mesures de sécurité imposé par DORA est rappelé à cette occasion :

On peut tout de même s’interroger sur la qualité de la rédaction du projet DORA dans la mesure où la définition de « sécurité » de la Directive NIS#1 intègre déjà les notions de confidentialité et d’intégrité, en y ajoutant « disponibilité et authenticité » (voir notre épisode DORA 3/12)

Pourquoi ré-inventer la roue ? Pourquoi encore complexifier un mille-feuille juridique déjà pas facile à lire ?

De la même manière, la notion de sécurité des données « au repos, en cours d’utilisation ou en transit«  de DORA n’apporte rien à la définition (encore) de la Directive NIS#1, puisqu’il y est prévu que la (cyber) sécurité concerne les données « stockées, transmises ou faisant l’objet d’un traitement » (voir notre épisode DORA 3/12).

Les professionnel(el)s de la sécurité des systèmes d’information (SSI) retrouveront éparpillées dans DORA nombre des exigences classiques d’une certification de type ISO 27002, ce qui ne rend pas facile ni la lecture, ni la synthèse de ce texte. Attendons de voir si les autorités de surveillance de l’UE choisiront de réinventer la roue…

Passons sur l’obligation constante et généralisée de documenter l’ensemble des process et des mesures techniques mis en œuvre et, bien entendu, de les tester « régulièrement » , DORA prévoyant en outre la tenue obligatoire d’un « registre des activités avant et pendant les perturbations [sic] » et la rédaction de « plans de rétablissement spécifiques et complets après sinistre » .

Ces plans (on pense ici aux traditionnels Plans de Continuité d’Activité – PCA – et aux Plans de Rétablissement d’Activité – PRA) devront faire l’objet d’audits indépendants et être testés « au moins une fois par an » et après toute « modification substantielle » des systèmes d’information.

Ça va chauffer dans les datacenters…


DORA projet 5/12: le détails des mesures techniques obligatoires de sécurité numérique

Voici en synthèse ce que les entités financières (et donc leurs prestataires IT…) devront effectivement mettre en œuvre :

Il est frappant de constater combien DORA mélange systématiquement les problématiques de sécurité matérielle et logicielle avec les considérations relatives à la protection des « actifs » numériques.

Qui trop embrasse, mal étreint ?

DORA projet 5/12 : des traitements et des sauvegardes obligatoirement redondés

Pour rentrer dans un autre volet de détails propres aux PCA et aux PRA, retenez qu’il appartiendra aux entités financières de prévoir et de tester des « plans de basculement » :

Les obligations prévues par DORA concerneront donc également les « sites de traitement secondaire » sensés rétablir la production en temps réel en cas de difficultés affectant le site principal.

Il y est précisé que les sites de secours devront :

Puisque l’objectif de l’UE est de garantir la résilience opérationnelle de la production des SI, les entités financières qui « opèrent un rétablissement » devront effectuer « de multiples contrôles, y compris des rapprochements, afin de garantir le niveau d’intégrité des données le plus haut possible [sic] » , notamment « lors de la reconstitution des données provenant » des prestataires.

DORA projet 5/12 : DORA organise (aussi) en détail les sauvegardes

Petite revue rapide de ce que les entités financières (et donc leurs prestataires IT, pardon de le répéter) devront prévoir :

l’organisation des sauvegardes DORA résilience opérationnelle secteur financier #05 MESURES techniques obligatoires SECURITE © Ledieu-Avocats

Il faut craindre que, dans un excès de zèle, les entreprises du secteur financier n’imposent à leur prestataire de disposer eux-aussi de services online au fonctionnement entièrement redondé.

Les prestataires devront probablement justifier dès le départ de la relation contractuelle, d’un PCA et d’un PRA détaillés. Qui devront chacun être régulièrement testés. Ce dont il faudra – soyez en assuré(e) – justifier au client commanditaire…

Le traitement juridique des logiciels installés on premises sera plus simple : les licences d’utilisation devront prévoir l’usage d’une copie du soft dans le site principal et d’une autre dans le site de production de secours (pour le même prix ?).

Souhaitons d’ores et déjà beaucoup de courage aux opérationnel(le)s et aux juristes du secteur financier (ainsi qu’à leurs conseils) pour concevoir des grilles de compliance permettant de répondre de manière exhaustive à l’ensemble de ces impératifs.

Soyons réalistes : ces obligations ne sont pourtant que le rappel des bonnes pratiques (aka « l’état de l’art » ) qui s’imposent à la sécurisation effective du fonctionnement de tout système d’information un tant soit peu fiable.

A suivre DORA épisode 06/12 : les tests de résilience opérationnelle


Une analyse technique et juridique de DORA ?

Avec Jean-Philippe GAULIER, Directeur général de CYBERZEN, nous avons travaillé à quatre mains pour vous livrer notre analyse et des explications qui devraient éclairer à la fois les opérationnel(le)s et les juristes qui gèrent les problématiques de sécurité des systèmes d’information.

CYBERZEN Jean-Philippe GAULIER DORA résilience opérationnelle secteur financier #05 MESURES techniques obligatoires SECURITE © Ledieu-Avocats.013


DORA illustré en BD avec un Hercule très futuriste

Qui d’autre que le mythique Hercule pouvait vous accompagner dans des explications sur ces 12 travaux de sécurisation des systèmes d’information imposés aux entreprises du secteur financier ?

Les illustrations sont toutes issues de l’incroyable (et surtout magnifique) série « Hercule » en 3 tomes par Jean-David Morvan au scénario, Vivien « Looky » Chauvet et Olivier Thill au dessin et à la couleur.

HERCULE les 12 travaux de DORA résilience opérationnelle secteur financier © Ledieu-Avocats


DORA : plus que 7 travaux herculéens…

technique et droit du numérique DORA résilience opérationnelle secteur financier #05 MESURES techniques obligatoires SECURITE © Ledieu-Avocats


Merci aux éditions Delcourt Soleil !

Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!

« Les 5 Terres » première série complète en 6 tomes par « Lewelyn » (David Chauvel, Andoryss et Patrick Wong) et Jérome Lereculey © éditions Delcourt 2019-2022

« Arctica » 12 tomes par Daniel Pecqueur et Boyan Kovačević © éditions Delcourt 2007-2022

« Au-delà des merveilles » série complète en 3 tomes par Yohann « Wyllow » Puaud © éditions Clair de Lune 2004-2022

« Badlands » série complète en 3 tomes par Eric Corbeyran et Piotr Kowalski © éditions Soleil 2014-2018

« Carmen mc Callum » 18 tomes (tome 1 par Fred Duval + Olivier Vatine + Fred Blanchard + Stéphane « Gess » et tomes 2 et 3 par Fred Duval et Stéphane « Gess ») © éditions Delcourt 1995-2020

« Le Crépuscule des Dieux » série complète en 9 tomes par Nicolas Jarry et Jean-François « Djief » © éditions Soleil 2007-2016

« lE dERNIER tROYEN » série complète en 6 tomes + 1 intégrale par Valérie Mangin et Thierry Démarez © éditions Soleil 2004-2012

« Excalibur-Chroniques » (époustouflante) série complète en 5 tomes + 1 intégrale par Jean-Luc Istin et Alain Brion © éditions Soleil 2012-2019

« Hercule » série complète en 3 tomes par Jean-David Morvan + Vivien « Looky » Chauvet + Olivier Thill © éditions Soleil 2012-2017

« Horologiom » série complète en 7 tomes + intégrale en 2 tomes par Stéphane Lebeault © éditions Delcourt 1994-2021

« Neandertal » série complète en 3 tomes par Emmanuel Roudier © éditions Delcourt 2007-2011

« La nef des Fous » 11 tomes + intégrale en 2 tomes + hors série par Bernard « Turf » © éditions Delcourt 1993-2021

« Odin » série complète en 2 tomes par Nicolas Jarry et Erwan Seure-Le Bihan © éditions Soleil 2010-2012

« L’Oeil de la Nuit » série complète en 3 tomes par Serge Lehman et Stéphane « Gess » © éditions Delcourt 2015-2016

« Olympus Mons » première série complète en 7 tomes par Christophe Bec et Stefano Raffaele © éditions Soleil 2017-2022

« Les portes de Shamballah » série complète en 4 tomes par Mazuer + Romano + Taranzano © éditions Clair de Lune 2007-2016

« Souvenirs de la Grande Armée » série complète en 4 tomes + 1 intégrale par Michel Dufranne et Vladimir « Alexander » © éditions Delcourt 2007-2018

« Sur les terres d’Horus » série complète en 8 tomes par Isabelle Dethan © éditions Delcourt 2001-2015

« Universal War One » série complète en 6 tomes (absolument remarquables) par Denis Bajram © éditions Soleil 1998-2006 

« Yiu Premières missions » série complète en 7 tomes + intégrale en 2 tomes par Thierry « Téhy » + Jeanne « JM Vee » + Vincent « Vax » © éditions Soleil 2003-2010

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

NOS ARTICLES SUR LE MÊME SUJET

Les derniers articles du blog​