Sécurité de l'information & Digital Operational Resilience Act : défis et tendances

Le Digital Operational Resilience Act (DORA) est actuellement au cœur de la réglementation du secteur financier, notamment pour les entreprises financières de l'Union européenne. Ce règlement vise à renforcer la résilience opérationnelle des entreprises financières et à les protéger contre les cybermenaces et les perturbations informatiques. Ainsi, outre la résilience financière, la sécurité des systèmes d'information est désormais particulièrement au cœur de la réglementation. Dans cet article, nous abordons l'importance de la sécurité de l'information pour EXCON et présentons les principaux défis et tendances dans une interview avec le directeur informatique Markus Heiß.

La sécurité de l'information chez EXCON

La sécurité de l'information est d'une importance capitale pour des entreprises comme EXCON. La protection des données sensibles et l'intégrité des systèmes sont essentielles à la réussite de l'entreprise et à la confiance des employés, des clients et des partenaires. EXCON a donc mis en œuvre un grand nombre de mesures pour garantir la sécurité de l'information :

  1. Mesures techniques : Mise à jour et surveillance régulières de l'infrastructure informatique, mise en place de pare-feux, de systèmes de détection et de prévention des intrusions (IDPS), cryptage des données sensibles et utilisation de programmes anti-malware.
  2. Mesures organisationnelles : Mise en œuvre d'un système de gestion de la sécurité de l'information (ISMS) conforme à la norme ISO 27001, formation régulière du personnel, contrôles d'accès stricts et vérifications et audits de sécurité réguliers.
  3. Protocoles de réponse aux incidents : un protocole clairement défini permet de réagir rapidement et efficacement aux incidents de sécurité, y compris l'identification, le confinement, la résolution et l'analyse ultérieure.

La direction joue un rôle crucial dans la garantie de la sécurité de l'information. Elle fixe les priorités stratégiques, fournit les ressources nécessaires et promeut une culture de la sécurité dans toute l'entreprise. Pour ce faire, EXCON ne se contente pas de suivre les normes telles que ISO 27001 et le RGPD, mais développe également des politiques spécifiques à l'entreprise, adaptées à ses besoins particuliers.

 

Entretien d'expert sur la sécurité de l'information avec Markus Heiß, responsable informatique

En tant qu'expert en sécurité de l'information et directeur informatique d'EXCON, Markus Heiß nous a donné un aperçu plus approfondi de la pratique dans le cadre d'une interview. L'entretien a porté sur les défis auxquels l'entreprise est confrontée et sur les enseignements tirés dans le domaine de la sécurité de l'information.

Quels sont les défis que vous envisagez pour l'avenir dans le domaine de la sécurité de l'information ?

Markus Heiß : L'un des plus grands défis est le paysage des menaces, qui évolue constamment. Les cybercriminels sont de plus en plus sophistiqués et garder une longueur d'avance sur eux est un défi permanent. De plus, la connectivité et la numérisation croissantes représentent des risques supplémentaires à gérer.

Quelle est l'importance pour EXCON du respect des dispositions légales et des normes en matière de sécurité de l'information ?

Markus Heiß : Le respect des réglementations et des normes légales est pour nous une priorité absolue. Cela permet non seulement d'éviter les conséquences juridiques et financières, mais aussi et surtout de renforcer la confiance de nos clients et partenaires.

Quelles sont les mesures les plus importantes en ce qui concerne votre stratégie de sécurité ?

Markus Heiß : Il est important de vérifier et d'adapter en permanence les mesures tant techniques qu'organisationnelles. Par exemple, ces dernières années, nous avons constamment étendu nos systèmes de surveillance et introduit des contrôles d'accès plus stricts. Nous avons également intensifié notre collaboration avec des experts en sécurité externes afin de nous assurer que nous sommes toujours au courant des dernières menaces et des mesures de défense.

Quels sont les changements à long terme qui vous permettront de répondre aux exigences actuelles en matière de sécurité de l'information ?

Markus Heiß : À long terme, nous avons établi une culture d'amélioration continue. Nous organisons régulièrement des ateliers « leçons apprises » afin de tirer des enseignements de chaque situation et de développer en permanence notre stratégie de sécurité. En outre, le rôle d'un responsable de la sécurité de l'information (RSSI) est déterminant dans la structure de notre entreprise afin d'ancrer la sécurité de l'information au plus haut niveau.

Comment évaluez-vous le risque que représentent les menaces internes pour les entreprises et quelles mesures EXCON a-t-elle mises en place pour s'en protéger ?

Markus Heiß : Les menaces internes font référence aux risques de sécurité émanant de personnes au sein d'une organisation. Ces menaces proviennent d'employés actuels ou anciens, de contractants ou de partenaires commerciaux. Elles représentent un risque important pour toute entreprise, car elles sont souvent difficiles à détecter. Nous minimisons ce risque de manière globale en appliquant des contrôles d'accès stricts, en effectuant des vérifications régulières et en formant les employés, et en utilisant des systèmes de surveillance qui détectent les comportements inhabituels.

10 tendances en matière de sécurité de l'information

À l'avenir, la sécurité de l'information restera un défi pour les entreprises en raison des conditions nouvelles ou changeantes. Il faut toujours garder un œil sur les tendances et les reconnaître à temps. Markus Heiß, directeur informatique d'EXCON, a résumé pour nous les principales tendances.

 

  1. Complexité croissante des cybermenaces : Le paysage des menaces devient de plus en plus complexe et sophistiqué. Les cybercriminels s'appuient de plus en plus sur l'intelligence artificielle et l'apprentissage automatique pour automatiser et affiner les attaques. Les entreprises doivent constamment développer et moderniser leurs mesures de sécurité pour faire face à ces nouvelles menaces.
  2. Sécurité du cloud et modèles de travail hybrides : avec l'utilisation accrue des services de cloud et l'évolution vers des modèles de travail hybrides, où les employés travaillent à la fois au bureau et à distance, les entreprises sont confrontées à de nouveaux défis en matière de sécurité. Il devient de plus en plus important de mettre en place des mesures de sécurité robustes qui garantissent un accès sécurisé aux ressources du cloud et la sécurisation des postes de travail distants.
  3. Sécurité zéro confiance : le modèle zéro confiance gagne du terrain. Il est basé sur le principe « ne jamais faire confiance, toujours vérifier » et nécessite des processus d'authentification et d'autorisation stricts pour tous les accès aux ressources de l'entreprise. La mise en œuvre de la confiance zéro nécessite une révision complète des architectures de sécurité existantes et représente un défi considérable.
  4. Exigences étendues en matière de réglementation et de conformité : Les exigences réglementaires en matière de protection des données et de sécurité de l'information vont continuer à augmenter. Les entreprises doivent se préparer à une conformité plus stricte aux lois sur la protection des données comme le RGPD et aux nouvelles réglementations comme le Digital Operational Resilience Act (DORA). Cela nécessite des ajustements et des révisions continus des mesures de conformité.
  5. L'intelligence artificielle et l'automatisation dans la cybersécurité : l'intelligence artificielle et l'automatisation joueront un rôle de plus en plus important dans la cybersécurité. Ils peuvent aider à identifier les menaces et à y répondre plus rapidement. En même temps, les entreprises doivent s'assurer que leurs systèmes d'IA sont sûrs et fiables afin de ne pas créer de risques supplémentaires.
  6. Protection des dispositifs IoT et des systèmes de contrôle industriels : Avec l'interconnexion croissante des appareils de l'Internet des objets (IoT) et des systèmes de contrôle industriels (ICS), le risque de cyber-attaques contre ces systèmes augmente également. Les entreprises doivent développer des mesures de sécurité spécifiques pour protéger ces appareils et systèmes contre les attaques.
  7. Cyber-résilience et reprise après sinistre : la capacité à se remettre rapidement d'une cyber-attaque est de plus en plus importante. Les entreprises doivent tester et mettre à jour régulièrement leurs plans et processus de reprise après sinistre pour s'assurer qu'elles peuvent réagir rapidement et efficacement en cas d'urgence.
  8. Formation et sensibilisation des employés : L'erreur humaine reste l'un des principaux points faibles de la sécurité de l'information. Il est de plus en plus important de mettre en place des programmes de formation et de sensibilisation continus pour les employés afin de les sensibiliser aux menaces de sécurité et de promouvoir les meilleures pratiques.
  9. Protection et souveraineté des données : la protection des données restera une question centrale. Les consommateurs et les gouvernements exigent davantage de contrôle sur les données personnelles. Les entreprises doivent faire preuve de transparence et de responsabilité dans la gestion des données et développer des solutions innovantes en matière de protection des données.
  10. Collaboration et partage d'informations : la collaboration et le partage d'informations entre les entreprises, les secteurs et les gouvernements seront essentiels pour lutter efficacement contre les cybermenaces. Les initiatives et les réseaux communs d'analyse et de défense contre les menaces gagneront en importance.

Préparation et exigences clés du DORA

Le Digital Operational Resilience Act (DORA) est très important au regard des défis croissants et des multiples facettes de la sécurité de l'information précédemment identifiés. Il établit des normes et des exigences uniformes en matière de résilience numérique, applicables dans toute l'UE. Cela contribue à minimiser le risque de cyberattaques et de pannes informatiques et à garantir la stabilité du système financier. Par ailleurs, le DORA protège les intérêts des clients et favorise la confiance dans le secteur financier. En tant qu'éditeur de logiciels et prestataire de services dans le secteur financier, le règlement s'applique également à EXCON. Par conséquent, les normes DORA pour les fournisseurs tiers s'appliquent également à nous depuis le début. Mais par où commencer en tant qu'entreprise pour mettre en œuvre le règlement et quelles sont les principales exigences clés ? Nous répondons à ces questions dans les sections suivantes :
 

Comment les entreprises doivent-elles se préparer à la mise en œuvre de DORA ?

Les entreprises doivent se préparer pleinement à la mise en œuvre de DORA. La première étape de la préparation est une analyse des écarts. Elle a pour but d'identifier les processus et systèmes existants qui ne répondent pas aux exigences de DORA. Elle est suivie d'une formation et d'une sensibilisation du personnel aux nouvelles exigences et aux meilleures pratiques en matière de gestion des risques informatiques. Sur cette base, une optimisation des processus doit être mise en place afin d'assurer l'adaptation et l'optimisation des processus informatiques et de sécurité conformément aux règles DORA. Par la suite, des décisions seront prises quant aux investissements possibles dans des technologies de sécurité et de surveillance avancées. En outre, tous les fournisseurs tiers qui fournissent des services informatiques critiques doivent également être conformes à DORA. Cela doit être vérifié.

Quelles sont les principales exigences clés du DORA ?

  • Gestion des risques informatiques : les entreprises financières doivent disposer de systèmes et de processus robustes pour identifier, évaluer et gérer les risques informatiques.
  • Reporting des incidents : les entreprises doivent signaler et documenter rapidement les cyberincidents et les perturbations informatiques.
  • Audits de sécurité : Des audits et des évaluations de sécurité réguliers sont nécessaires pour identifier les vulnérabilités et y remédier.
  • Gestion des risques des fournisseurs tiers : les entreprises doivent s'assurer que les fournisseurs tiers qui fournissent des services informatiques respectent également les normes DORA.
  • Surveillance de la sécurité : surveillance continue de l'infrastructure informatique afin de détecter les menaces et les anomalies à un stade précoce.
     

Les étapes et les aspects clés du règlement mis en évidence impliquent de nombreux nouveaux processus, obligations et complexité pour les entreprises financières. Dans ce contexte, le respect de la réglementation DORA nécessite une surveillance et une adaptation continues des mesures de sécurité à la date limite d'entrée en vigueur, le 17 janvier 2025. Les exigences multiples et détaillées impliquent une révision complète de l'infrastructure informatique et de sécurité existante, en fonction du statu quo. Dans la gestion des tiers, une coordination, une collaboration et une collecte de données transversales au-delà des frontières de l'entreprise sont nécessaires pour créer la transparence requise.

Afin de renforcer la résilience numérique et d'obtenir un succès à long terme, le développement continu des mesures de sécurité et la prise en compte active des nouveaux défis sont une fois de plus au cœur des préoccupations des entreprises financières et des fournisseurs tiers.
 
 

Conseil pratique : auditez vos fournisseurs tiers avec ex:plore

Vos partenaires et prestataires de services respectent-ils les exigences du DORA ? Où est-il nécessaire d'optimiser et où les contrats doivent-ils éventuellement être affinés ? Le logiciel d'audit ex:plore vous permet de répondre à ces questions dans l'ensemble de l'entreprise.

Gestion et audits des contrats

Une base de données centrale, facilement accessible et consultable, permet de stocker et de gérer tous les contrats avec des tiers. Cela facilite considérablement la gestion centralisée. Pour aider à l'audit des contrats [Lien vers les audits de contrats Usecase], le logiciel d'audit s'assure que toutes les exigences et mesures de sécurité DORA pertinentes sont incluses dans les contrats.

Conformité et rapports

Les sociétés financières utilisent des questionnaires de conformité pour vérifier que les fournisseurs tiers respectent toutes les exigences de conformité DORA pertinentes. En outre, des rapports et des tableaux de bord des résultats sont générés en temps réel afin de visualiser à tout moment l'état des mesures de conformité.

Gestion des incidents

Le suivi des incidents est assuré par la saisie manuelle et le suivi des incidents de sécurité auprès de fournisseurs tiers. Des mesures de suivi automatiques sont alors définies au sein du logiciel d'audit et suivies à tout moment. ex:plore aide également à vérifier et à gérer manuellement les plans d'urgence des fournisseurs tiers afin de s'assurer qu'ils sont prêts à gérer les incidents opérationnels.

Pistes d'audit et documentation

Les pistes d'audit sont garanties par la documentation de toutes les interactions et vérifications avec les fournisseurs tiers afin de créer un historique traçable. Le stockage centralisé de tous les documents pertinents, tels que les rapports d'audit, les analyses de risque et les preuves de conformité, permet une gestion efficace de la documentation.

Vous avez d'autres questions sur l'utilisation d'ex:plore dans le cadre de votre gestion des tiers ? N'hésitez pas à nous contacter.

 

Info-Glühbirnen-Icon

 

Il est bon de savoir :

Que signifie « résilience opérationnelle » ?

La résilience opérationnelle est la capacité d'une entreprise à poursuivre ses processus opérationnels et ses services critiques malgré des circonstances et des perturbations défavorables. Cela inclut la planification, la préparation et la capacité de réponse aux cyber-attaques, aux catastrophes naturelles, aux pannes techniques et autres événements imprévus. L'objectif est de minimiser l'impact de tels incidents et d'assurer la continuité des opérations.

Exemples de résilience opérationnelle dans le secteur financier :

Les cyber-attaques : Les banques mettent en œuvre des mesures de cybersécurité telles que des pare-feux, des systèmes de détection d'intrusion et des plans d'urgence afin de restaurer rapidement les systèmes.

Catastrophes naturelles : Les sociétés d'investissement utilisent des centres de données géographiquement dispersés et la réplication des données pour un fonctionnement ininterrompu.

Défaillances techniques : Des systèmes redondants et des plans de récupération d'urgence garantissent la restauration rapide des services bancaires en ligne.

Pandémies : Les compagnies d'assurance utilisent des infrastructures de travail à distance avec des accès VPN sécurisés et des outils de collaboration.

Défaillance d'un fournisseur tiers : les banques maintiennent des fournisseurs alternatifs ou des solutions sur site pour continuer à fournir des services.

Changements réglementaires : Les sociétés financières s'adaptent rapidement aux nouvelles réglementations grâce à une architecture informatique flexible et une gestion de projet agile.