DORA: quand les bonnes pratiques<br/>deviennent loi

La rentabilité croissante des attaques ransomware favorise l'expansion d'une nouvelle pratique, le Ransomware-as-a-Service (RaaS). Des criminels professionnels, capables d'identifier des cibles et d'exécuter une intrusion, l'extorsion des victimes et la collecte des rançons proposent leurs outils et leurs services à ceux qui peuvent se les offrir.

Matt Nutt - Senior Vice President, International Sales chez Veritas Technologies

La menace croissante que cela représente pour les économies nationales a conduit l'UE à adopter la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA), qui définit des exigences spécifiques pour les prestataires de services financiers en matière de gestion des risques cyber. La loi DORA légifère spécifiquement sur des domaines clés, notamment l'exactitude et le niveau de détails à consigner dans les rapports d’incidents liés aux infrastructures informatiques ou encore un niveau minimal de gestion des risques liés aux tiers. Pour les acteurs de ce secteur, les décisions et les mesures prises dans l'heure qui suit une attaque vont devenir décisives pour respecter les modalités prévues par le texte.

Pour répondre aux exigences de la nouvelle réglementation, les équipes informatiques doivent se préparer minutieusement à anticiper une attaque en mettant en œuvre des pratiques efficaces de résilience opérationnelle pour sécuriser leurs données. La formation continue des équipes informatiques et commerciales, ainsi que les outils d'identification et de visibilité des données sont essentiels.

Dans le cadre du processus de mise en conformité, un audit spécialisé doit être réalisé avec succès afin d'identifier tous les types, emplacements et classifications de données et d'infrastructures de stockage. Ces règles ont été élaborées afin de prévenir et d'atténuer les cybermenaces et de garantir que les entités financières puissent résister, réagir et offrir un niveau satisfaisant de protection et de résilience, y compris pour l’écosystème dans lequel elles opèrent.

Le respect de ces processus nécessite l'utilisation d'outils qui relient des ensembles de données isolés et les politiques de sécurité multienvironnement. Les équipes informatiques doivent pouvoir surveiller facilement les données détenues par l'entreprise et les systèmes de stockage associés, afin de signaler rapidement et précisément toute intrusion ou perte.

Pour rester conformes, ces politiques doivent être constamment mises à jour afin de garantir la pérennité de leur pertinence face à un environnement criminel en constante évolution.

Les données critiques sont la cible privilégiée des criminels. Une surveillance constante des accès inhabituels ou des schémas d'utilisation de ces ensembles de données, en particulier, devrait constituer l'élément principal d'un processus de rapport efficace capable satisfaire aux exigences de la législation.

Si elles ne sont pas détectées à temps, les attaques par corruption de données au niveau des cellules de stockage – par exemple un code implanté secrètement au cœur de la base de données d'une victime qui attend de modifier ou de corrompre secrètement des données spécifiques à une date postérieure - peuvent infecter les enregistrements.

Le véritable danger est que les victimes ne puissent pas identifier les données corrompues avant que des répercussions soient visibles corrompant ainsi un plus grand ensemble. La seule solution consiste à conserver des copies sécurisées et vérifiées des données qui peuvent être rapidement restaurées.

Avec le support de technologies d’IA, les outils modernes sont capables de surveiller en permanence les changements de comportement afin de détecter les compromissions, même infinitésimales. Si l'IA détecte une activité suspecte, elle peut lancer des processus de restauration automatisés pour prendre des mesures immédiates afin d'isoler les enregistrements contenant du code malveillant, minimisant ainsi l'impact d'une attaque.

Pour que les sauvegardes restent résilientes et fiables en cas d'attaque, les systèmes doivent être en mesure de communiquer continuellement entre eux en toute sécurité.

Dans le cas où les fichiers de sauvegarde ont été cryptés par une attaque de ransomware, les systèmes de stockage « immuables » permettent de restaurer les données en toute confiance. Toutefois, les institutions financières doivent être vigilantes quant à l'emplacement physique des copies de sauvegarde et tester régulièrement le processus de restauration.

Lorsqu'une attaque est signalée, chaque minute compte pour limiter son impact sur l'entreprise. L'équipe sécurité doit intervenir immédiatement et veiller à ce que les utilisateurs finaux et les systèmes touchés soient isolés autant que possible du réseau.

Les outils de gestion des données peuvent être utilisés pour identifier rapidement quelles données sont consultées par quels utilisateurs. En analysant ces informations, il est alors possible de déterminer quelles données ont été infectées ou quelles données sont manquantes. Tant que les sauvegardes de l'entreprise sont correctement protégées, les informations peuvent être restaurées avec peu ou pas d’interruption et sans qu'il soit nécessaire de payer une rançon.

Pour limiter les risques d'amendes ou de non-conformité, il doit être possible de capturer les détails techniques de l’attaque subie afin de les partager avec les autorités compétentes. C'est une autre raison pour laquelle un outil holistique de gestion des données et de création de rapports est un élément essentiel d’une stratégie globale de résilience organisationnelle.

Pour garantir la cybersécurité et une véritable résilience opérationnelle face aux ransomwares, les institutions financières doivent préparer leur défense. La loi DORA en fait une exigence réglementaire, dont le non-respect pourrait entraîner de lourdes sanctions pouvant aller jusqu'à 2 % du chiffre d'affaires annuel mondial.

Ce n'est que par une culture de la transparence et un contrôle total de leurs données que les prestataires de services financiers peuvent être sûrs de rester en conformité. De même, ce n'est qu'en disposant d'un plan d'action interne bien préparé et continuellement répété en cas d'attaque par ransomware - qui évolue en fonction des nouvelles menaces et qui est pleinement communiqué à tous les fournisseurs de services tiers concernés - qu'une organisation peut être sûre de disposer d'une stratégie efficace de reprise après sinistre.

Bien que cela représente un coût pour l'organisation en termes de temps, de technologie et d'investissement en personnel, la conformité à la loi DORA et à d'autres réglementations similaires permet aux organisations desservant le secteur financier de réduire les risques pour leurs clients et d'accroître leur rentabilité. En prouvant la sécurité et la fiabilité de leurs propres systèmes TIC, elles réduisent également les coûts potentiels liés à la gestion des crises pour elles-mêmes et pour leurs clients.

Sur le même thème

Partenaires