Blog 4 – Comment la Directive DORA impacte-t-elle les applications web ?

Comment la Directive DORA impacte-t-elle les applications web ?

La DORA (Digital Operational Resilience Act) est un règlement de l’Union européenne (UE) qui crée un cadre harmonisé et contraignant de gestion des risques liés aux technologies de l’information et de la communication (TIC) pour le secteur financier de l’UE.

Quel est l’objectif de la directive DORA ?

La résilience des entreprises du secteur s’impose dès lors comme l’un des principaux leviers permettant d’assurer, en toutes circonstances, la pérennité des activités. C’est dans ce contexte que la directive européenne DORA a vu le jour. Elle a pour objectif de renforcer la résilience opérationnelle numérique du secteur financier. Le règlement européen qui en découle a été publié au Journal officiel de l’UE mi-décembre 2022, pour une entrée en vigueur le 16 janvier 2023. Il s’appliquera à partir du 17 janvier 2025 aux 27 États membres de l’UE.

“Un défi d’harmonisation des mesures prises par chaque État membre”

Concrètement, la directive DORA met l’accent sur cinq piliers propres à renforcer, la résilience des acteurs de la finance :

• La gestion des risques liés aux technologies de l’information et de la communication (TIC)

La directive DORA rappelle la nécessité de mettre en œuvre un dispositif de gestion des risques liés aux TIC. Dans son texte, DORA insiste sur le fait que « les organes de direction des entités financières devraient être tenus de conserver un rôle actif et déterminant dans la conduite et l’adaptation du cadre de gestion du risque lié aux TIC et de la stratégie globale de résilience opérationnelle numérique ».
En clair, DORA met en avant la responsabilité ultime de l’organe de direction dans la gestion du risque lié aux TIC d’une entité financière et souligne que cette approche devrait constituer un principe fondamental de sa stratégie.

• La notification, aux autorités compétentes, des incidents majeurs liés aux TIC et des cybermenaces importantes

L’harmonisation de la notification des incidents liés aux TIC est une partie centrale de la directive DORA qui détaille les modalités de transmission des informations clés aux AES (Autorités européennes de surveillance) comme l’EBA, l’EIOPA et l’ESMA.
Les notifications comprennent toutes les données nécessaires pour permettre aux autorités compétentes de déterminer l’importance de l’incident majeur lié aux TIC et d’évaluer les éventuelles incidences transfrontières. Les entités financières peuvent également notifier, à titre volontaire, les cybermenaces importantes aux AES concernées quand elles estiment que la menace est pertinente pour le système financier, les utilisateurs de services ou les clients.

• Les tests de résilience opérationnelle numérique

Afin d’évaluer l’état de préparation en vue du traitement d’incidents liés aux TIC, de recenser les faiblesses, les défaillances et les lacunes en matière de résilience opérationnelle numérique et de mettre rapidement en œuvre des mesures correctives, les entités financières sont tenues d’établir et de maintenir un « programme solide et complet de tests de résilience opérationnelle numérique, qui fait partie intégrante de leur cadre de gestion du risque lié aux TIC ».
Concrètement, les acteurs financiers doivent faire réaliser, au moins une fois par an, des tests de résilience par des entreprises indépendantes, afin de tester les parties les plus critiques de leur système d’information.

• Le partage d’informations et de renseignements en rapport avec les cybermenaces et les cyber-vulnérabilités

le règlement européen DORA prévoit des mécanismes d’échange d’informations sur les cybermenaces entre acteurs financiers. « Le partage d’informations contribue à accroître la sensibilisation aux cybermenaces.
Cela renforce à son tour la capacité des entités financières à empêcher les cybermenaces de devenir des incidents réels liés aux TIC et leur permet de contenir plus efficacement l’impact des incidents liés aux TIC et de se rétablir plus rapidement », lit-on dans le texte européen.

• La gestion des risques liés aux technologies de l’information et de la communication (TIC)

La directive DORA rappelle la nécessité de mettre en œuvre un dispositif de gestion des risques liés aux TIC. Dans son texte, DORA insiste sur le fait que « les organes de direction des entités financières devraient être tenus de conserver un rôle actif et déterminant dans la conduite et l’adaptation du cadre de gestion du risque lié aux TIC et de la stratégie globale de résilience opérationnelle numérique ».
En clair, DORA met en avant la responsabilité ultime de l’organe de direction dans la gestion du risque lié aux TIC d’une entité financière et souligne que cette approche devrait constituer un principe fondamental de sa stratégie.

Forte de l’ensemble de ces mesures, la directive DORA vise à libérer et à renforcer le potentiel que la finance numérique peut offrir sur le plan de l’innovation et de la compétitivité, tout en limitant les risques qui en découlent.
Elle est conforme aux priorités de la Commission européenne consistant à adapter l’Europe à l’ère du numérique et à bâtir une économie parée pour l’avenir et au service des citoyens.

Qu’implique la Directive DORA pour les applications web ?

La Directive DORA implique pour les applications web de respecter des exigences de sécurité et de gestion des risques liés aux technologies de l’information et de la communication (TIC) plus strictes et plus harmonisées que celles qui existaient auparavant. Les applications web font partie des services numériques fournis par les entités financières, qui sont soumises au règlement DORA.

Elles doivent donc se conformer aux principes suivants :

• Identifier et gérer les risques

Liés à la sécurité des réseaux et des systèmes d’information, en tenant compte de l’état de l’art et des normes internationales.

• Prendre des mesures techniques et organisationnelles appropriées

Pour prévenir et minimiser l’impact des incidents de sécurité, en assurant la continuité des activités et services critiques ou importants.

• Notifier sans délai

Aux autorités compétentes les incidents ayant un impact significatif sur la continuité des services fournis, en fournissant des informations détaillées sur les causes, les conséquences et les mesures prises.

• Coopérer avec les autorités compétentes

Et les autres entités financières concernées en cas d’incident de sécurité transfrontalier ou impliquant plusieurs secteurs, en partageant les informations pertinentes et en participant aux exercices de test.

Les applications web doivent également respecter les exigences spécifiques relatives aux prestataires de services TIC critiques, tels que les fournisseurs de cloud, les opérateurs de réseaux, les centres de données, etc.
Ces prestataires sont soumis à une surveillance directe des autorités européennes, qui peuvent leur imposer des obligations de sécurité, de conformité, de contrôle et de notification.

Comment v6Protect aide-t-il les entreprises à se conformer à la Directive DORA ?

La Directive DORA impose aux entités financières de respecter des exigences de sécurité et de gestion des risques liés aux technologies de l’information et de la communication (TIC) plus strictes et plus harmonisées. Parmi ces exigences, il y a celle de la détection et de la remédiation des vulnérabilités, définies comme « a weakness, susceptibility or flaw of products or ICT services can be exploited by a cyber threat ».

• Le WAF (Web Application Firewall)

Le WAF de v6Protect protège les applications web contre les attaques, telles que l’injection SQL, le cross-site scripting (XSS), le cross-site request forgery (CSRF) ou le broken authentication. Il permet de filtrer, de surveiller et de bloquer le trafic malveillant avant qu’il n’atteigne les applications web.

• Le scanner de vulnérabilité Web

Le scanner de vulnérabilité Web de v6Protect analyse les applications web à la recherche de failles de sécurité. Il permet de détecter les vulnérabilités, de les prioriser, de les corriger et de les vérifier.

Ainsi, la plateforme v6Protect aide à renforcer la résilience numérique et à se conformer aux exigences de la Directive DORA en permettant de :

• Identifier et gérer les risques

Liés à la sécurité de leurs applications web, en évaluant leur niveau de vulnérabilité et en prenant des mesures préventives ou correctives.

• Prendre des mesures techniques et organisationnelles appropriées

Pour prévenir et minimiser l’impact des incidents de sécurité, en réduisant les surfaces d’attaque et en renforçant la protection des données.

• Notifier sans délai

Aux autorités compétentes les incidents ayant un impact significatif sur la continuité des services fournis, en disposant d’un historique et d’un rapport des vulnérabilités détectées et corrigées.

• Coopérer avec les autorités compétentes

Et les autres entités financières concernées en cas d’incident de sécurité transfrontalier ou impliquant plusieurs secteurs, en partageant les informations pertinentes sur les vulnérabilités et les mesures prises.