DORA projet 9/12: obligations de gestion de crise cyber et communication
Une vue d'ensemble des précédents épisodes consacrés à DORA ?
Les 12 travaux d’Hercule qui vont être imposés aux « 22.000 entités financières » de l’UE et à tous leurs prestataires IT vous sont présentés dans un ordre logique. Si vous voulez une vue d’ensemble, voici un rappel des épisodes précédents :
– (épisode 01) pourquoi DORA;
– (épisode 02) qui est concerné;
– (épisode 03) identification de la menace et ses définitions légales;
– (épisode 04) analyses de risque et les politiques de sécurité à mettre en œuvre par les entités financières;
– (épisode 05) les mesures techniques obligatoires de sécurité;
– (épisode 06) les tests de résilience;
– (épisode 07) les exigences légales applicables aux prestataires de tests de résilience;
– (épisode 08) les obligations de détection de vulnérabilités et de notification des incidents.
Voilà comment nous en arrivons à l’épreuve 9/12 qui va s’imposer aux entreprises du secteur financier de l’UE de « capturer la biche de Cérynie » .
Cette biche aux bois d’or et aux sabots d’airain, ce sera le dispositif (obligatoire, vous vous en doutez bien) de gestion de toute crise cyber et de la communication qui s’ensuit.
La gestion de crise cyber, ça ne s’improvise pas.
Ça tombe bien, la gestion et la communication de crise cyber sont les deux spécialités de Stéphanie LEDOUX, qui dirige le cabinet Alcyconie. et qui nous a fait un talk super sympa lors de UYBHYS le 5 novembre 2022 à Brest.
DORA projet 9/12: obligations de gestion de crise cyber et communication
DORA impose des obligations de gestion de crise cyber ?
L’existence de ce chapitre de DORA n’est pas non plus une révolution pour les opérationnel(le)s et les juristes qui s’intéressent à la sécurité des systèmes d’information.
Pour les Systèmes d’Information d’Importance Vitale, la gestion de crise faisait déjà partie du train des obligations légales des OIV (mesure de sécurité n°8). La Directive NIS de 2016 en avait fait de même (mesure n°23) pour les OSE (Opérateurs de Service Essentiel).
Si vous souhaitez réviser (???) les obligations de sécurisation des systèmes d’information qui s’appliquent aux OIV et que vous n’êtes pas allergique aux présentations illustrées en BD, vous pouvez cliquer sur « OIV et OSE : les obligations de sécurisation du système d’information« .
France 2022 - les obligations légales spécifiques de gestion technique des crises cyber pour les OIV et OSE
Et si vraiment, vous voulez vous rafraichir la mémoires sur les obligations légales de gestion technique de la crise cyber pour les OIV et les OSE, vous trouverez ci-dessous mes slides de 2021 (faites défiler les slides avec les flèches bleues à droite et à gauche du slider).
DORA projet 9/12: obligations de gestion de crise cyber et communication
des obligations légales de gestion de crise cyber pour les entreprises du secteur financier !!!
DORA suit naturellement ce mouvement déjà initié pour les Opérateurs de Service Essentiel (Directive NIS#1) et détaille un ensemble de process de gestion des crises cyber, d’une part, et de communication, interne (les salarié(e)s et externe (clients, prestataires et autorité de contrôle) d’autre part.
Dans l’organisation de leur « politique de continuité des activités informatiques… et opérationnelles » , DORA précise que les entités financières auront l’obligation de « définir des mesures de communication et de gestion des crises qui garantissent la transmission d’informations actualisées à tous les membres du personnel interne et les parties prenantes externes concernés » , ainsi que « leur communication aux autorités compétentes » .
L’objectif de DORA (éviter qu’une crise d’origine cyber n’impacte un ou plusieurs acteurs financiers au point de déstabiliser les marchés et l’économie de l’UE) s’en trouve ainsi réduit, en matière de gestion de crise, à rendre obligatoire la mise en oeuvre de normes de gestion de crise classiques et de continuité d’activité du type ISO22301.
Par ailleurs, si l’UE nous avait habitué à des documentations détaillées et précises, en ce qui concerne la gestion de crise, DORA se borne – hélas – à des généralités telles que « les bonnes pratiques » .
Rien sur la nécessité de se doter d’outils spécifiques, rien non plus sur la spécificité des crises numériques, tant en termes de canaux que de « wording » .
Sans doute ces points sont-ils laissés à l’appréciation des PCA/ PRA et des plans de communication dont les entreprises du secteur financier devront se doter…
DORA projet 9/12: obligations de gestion de crise cyber et communication
des plans de communication obligatoires !
DORA imposera aux entités financières de mettre en œuvre « des politiques de communication à l’intention du personnel et des parties prenantes externes« .
Ces politiques doivent tenir compte « de la nécessité d’établir une distinction entre le personnel participant à la gestion des risques informatiques, en particulier la réponse et le rétablissement, et le personnel qui doit être informé« .
Oui, même la Direction de la Communication va devoir mettre en place un plan de crise DORA.
DORA précise que « les plans de communication » devront « favoriser une divulgation responsable des incidents ou des vulnérabilités majeures aux clients et aux contreparties [les prestataires] ainsi qu’au public » .
Vous ne serez pas surpris(e) de lire que DORA imposera que les plans de communication en situation de crise soient, eux aussi, « testés » ...
Au titre de ce qu’il ne faut surtout pas faire, on pensera par exemple à la gestion désastreuse de la cyber attaque aux USA subie en 2016 par la société Uber. Son CTO (Chief Technical Officer) avait dans un premier temps caché l’attaque à sa direction puis payé la rançon avec des fonds prévus pour un programme de bug bounty. La presse rapportait en 2020 que ce CTO (licencié entre temps…) risquait aujourd’hui 8 ans de prison.
A l’heure ou nous écrivons ces lignes, le tribunal a reconnu la culpabilité du CTO et doit encore prononcer la peine… A suivre…
DORA projet 9/12: obligations de gestion de crise cyber et communication
l'obligation de disposer d'une fonction structurée de gestion de crise
Voilà la nouveauté de ce chapitre !
DORA prévoit que les entités financières devront disposer « d’une fonction de gestion de crise » tenue de définir « des procédures claires pour gérer les communications internes et externes en situation de crise« .
DORA précise même qu' »au moins une personne au sein de l’entité est chargée de mettre en œuvre la stratégie de communication concernant les incidents et remplit le rôle de porte-parole auprès du public et des médias« .
Si vous souhaitez connaitre les bons réflexes en matière de gestion et de communication de crise cyber, vous trouverez de quoi faire sur ce blog.
A suivre DORA projet 10/12 : de (lourdes) obligations contractuelles
DORA projet 9/12: obligations de gestion de crise cyber et communication
Une analyse technique et juridique de DORA ?
Le sujet est suffisamment technique pour que les commentaires d’un juriste ne soient pas suffisants.
Nous avons donc travaillé à quatre mains avec Stéphanie LEDOUX qui dirige ALCYCONIE, « cabinet indépendant en gestion et communication de crise cyber » , pour vous livrer notre analyse et des explications qui devraient éclairer à la fois les opérationnel(le)s et les juristes qui gèrent les problématiques de sécurité des systèmes d’information.
DORA illustré en BD avec un Hercule très futuriste
Une fois encore, le mythique Hercule vous accompagne dans des explications sur ces 12 travaux de sécurisation des systèmes d’information imposés aux entreprises du secteur financier.
Les illustrations (franchement canons) sont toutes issues de la série « Hercule » en 3 tomes par Jean-David Morvan au scénario, Vivien « Looky » Chauvet et Olivier Thill au dessin et à la couleur. Merci Soleil !!!
Allez… plus que 3 épreuves herculéennes…
Le générique des BD ayant servi d'illustration à cette présentation : merci aux éditions Delcourt Soleil !
Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!
« Les 5 Terres » première série complète en 6 tomes par « Lewelyn » (David Chauvel, Andoryss et Patrick Wong) et Jérome Lereculey © éditions Delcourt 2019-2022
« Arctica » 12 tomes par Daniel Pecqueur et Boyan Kovačević © éditions Delcourt 2007-2022
« Au-delà des merveilles » série complète en 3 tomes par Yohann « Wyllow » Puaud © éditions Clair de Lune 2004-2022
« Badlands » série complète en 3 tomes par Eric Corbeyran et Piotr Kowalski © éditions Soleil 2014-2018
« Carmen mc Callum » 18 tomes (tome 1 par Fred Duval + Olivier Vatine + Fred Blanchard + Stéphane « Gess » et tomes 2 et 3 par Fred Duval et Stéphane « Gess ») © éditions Delcourt 1995-2020
« Le Crépuscule des Dieux » série complète en 9 tomes par Nicolas Jarry et Jean-François « Djief » © éditions Soleil 2007-2016
« lE dERNIER tROYEN » série complète en 6 tomes + 1 intégrale par Valérie Mangin et Thierry Démarez © éditions Soleil 2004-2012
« Excalibur-Chroniques » (époustouflante) série complète en 5 tomes + 1 intégrale par Jean-Luc Istin et Alain Brion © éditions Soleil 2012-2019
« Hercule » série complète en 3 tomes par Jean-David Morvan + Vivien « Looky » Chauvet + Olivier Thill © éditions Soleil 2012-2017
« Horologiom » série complète en 7 tomes + intégrale en 2 tomes par Stéphane Lebeault © éditions Delcourt 1994-2021
« Neandertal » série complète en 3 tomes par Emmanuel Roudier © éditions Delcourt 2007-2011
« La nef des Fous » 11 tomes + intégrale en 2 tomes + hors série par Bernard « Turf » © éditions Delcourt 1993-2021
« Odin » série complète en 2 tomes par Nicolas Jarry et Erwan Seure-Le Bihan © éditions Soleil 2010-2012
« L’Oeil de la Nuit » série complète en 3 tomes par Serge Lehman et Stéphane « Gess » © éditions Delcourt 2015-2016
« Olympus Mons » première série complète en 7 tomes par Christophe Bec et Stefano Raffaele © éditions Soleil 2017-2022
« Les portes de Shamballah » série complète en 4 tomes par Mazuer + Romano + Taranzano © éditions Clair de Lune 2007-2016
« Souvenirs de la Grande Armée » série complète en 4 tomes + 1 intégrale par Michel Dufranne et Vladimir « Alexander » © éditions Delcourt 2007-2018
« Sur les terres d’Horus » série complète en 8 tomes par Isabelle Dethan © éditions Delcourt 2001-2015
« Universal War One » série complète en 6 tomes (absolument remarquables) par Denis Bajram © éditions Soleil 1998-2006
« Yiu Premières missions » série complète en 7 tomes + intégrale en 2 tomes par Thierry « Téhy » + Jeanne « JM Vee » + Vincent « Vax » © éditions Soleil 2003-2010