Illumio a été nommée leader dans The Forrester Wave™ : Microsegmentation Solutions, troisième trimestre 2024.

OBTENIR LE RAPPORT
Blogue
/
Cyber-résilience

Préparation à DORA : points de vue de deux experts en conformité en matière de cybersécurité

Raghu Nandakumara
,
Directeur principal du marketing des solutions industrielles
September 17, 2024
23 min. de lecture
Black and white headshots of Mark Hendry and Tristan Morgan

La loi sur la résilience opérationnelle numérique (DORA) de l'Union européenne devrait remodeler le secteur des services financiers en janvier 2025. Il établit une nouvelle norme en matière de cybersécurité et de résilience opérationnelle.

Bien que le passage à la DORA comporte ses défis, il offre également aux organisations un moyen de renforcer leurs opérations et de se préparer à faire face à la complexité des menaces d'aujourd'hui.

Sur Le segment : un podcast sur le leadership Zero Trust, je me suis entretenu avec deux responsables de la conformité en matière de sécurité, Tristan Morgan, directeur général de la cybersécurité chez BT, et Mark Hendry, partenaire de services numériques chez Evelyn Partners, qui ont partagé leurs points de vue sur la gestion de la conformité DORA.

À propos de Tristan Morgan et Mark Hendry

Tristan mène cybersécurité chez BT qui fournit des services de sécurité, de cloud et de réseau aux multinationales du monde entier. Son expérience en matière de cybersécurité pour le gouvernement britannique et d'autres pays lui a permis d'acquérir une solide expérience en matière de sécurisation d'écosystèmes numériques complexes et de garantie de la conformité.

Chez Evelyn Partners, Mark guide les clients dans des situations complexes conformité en matière de cybersécurité défis. Il possède une vaste expérience dans les espaces réglementaires numériques, notamment GDPR, et en mettant l'accent sur les programmes de modification de la réglementation. Il fournit à ses clients des informations précieuses sur la gestion de la transformation numérique et l'adaptation aux nouvelles réglementations telles que DORA.

DORA : une approche holistique de la cyberrésilience bancaire

DORA représente un grand changement dans la façon dont secteur bancaire et financier gère la résilience, à la fois en termes d'opérations et de cybersécurité. Au lieu de règles distinctes pour chaque pays, DORA traite cyber-résilience dans le cadre d'un effort coordonné dans l'ensemble de l'UE.

« DORA fait passer la conversation sur la résilience à un niveau supérieur », explique Tristan. « Il reconnaît l'impact qui peut se produire non seulement au niveau d'un pays individuel, mais aussi à un niveau géographique plus large. »

Mark a indiqué qu'il considérait qu'il s'agissait de « la plus grande intervention de résilience dans les services financiers depuis le krach de 2008 ». Après 2008, tout tournait autour de la résilience financière et de la conservation des liquidités dans le système, explique Mark. Aujourd'hui, l'économie mondiale est de plus en plus interconnectée et la société dépend largement de l'infrastructure numérique du secteur bancaire.

À mesure que les institutions financières de l'UE sont de plus en plus connectées, les risques liés aux cybermenaces et aux perturbations qu'elles peuvent provoquer augmentent rapidement. DORA y remédie en encourageant une stratégie unifiée, aidant les organisations à protéger leurs opérations critiques où qu'elles se trouvent.

« Si vous avez des interprétations différentes de la cybersécurité et de la résilience, c'est qu'il n'y a pas d'harmonisation, vous n'allez pas dans la même direction », explique Tristan. « La sécurité est avant tout un sport d'équipe, et vous devez partager des informations entre les organisations pour mieux travailler ensemble. »

Avec DORA, les organisations financières de l'UE suivront un ensemble de règles. Cela permet de renforcer la défense globale du secteur contre les violations et les attaques de rançongiciels. Cela permet également aux entreprises de rester en conformité plus facilement à mesure que le secteur évolue et se développe.

Black and white banking data on a computer screen

La cyberrésilience est une question de survie, pas seulement de sécurité

La résilience est au cœur des préoccupations de DORA. Il ne s'agit pas seulement de mettre fin aux violations, mais également de veiller à ce que les entreprises puissent continuer à fonctionner en cas de violation.

Récent cyberattaques dans le secteur financier ont montré à quel point elles peuvent être perturbatrices et comment elles peuvent affecter l'ensemble du secteur et même le monde entier.

« La résilience est primordiale », a déclaré Tristan. « Lorsqu'une violation se produit, il ne s'agit pas de savoir si l'entreprise va s'arrêter. Il s'agit de maintenir les opérations malgré la brèche. »

Compte tenu de l'augmentation des cybermenaces, il est important que les entreprises, en particulier dans le secteur bancaire, continuent de fonctionner correctement. Une faille dans le secteur bancaire peut affecter la vie et l'emploi des personnes. La cyberrésilience est une question de survie, pas seulement de sécurité.

Utiliser une stratégie Zero Trust pour atteindre la conformité à la DORA

DORA ne mentionne pas explicitement confiance zéro. Mais les principes sous-jacents du Zero Trust sont étroitement liés aux objectifs de la DORA.

Pour reprendre le point de vue de Mark, « si vous avez effectué une recherche sur DORA et que vous avez recherché des termes tels que « segmentation » ou « séparation instantanée d'éléments du réseau pour contenir des menaces », la confiance zéro est absolument nécessaire. »

Black and white banking professional looking at data on a laptop

Tristan a expliqué les quatre domaines cruciaux dans lesquels une stratégie de confiance zéro peut vous aider à répondre aux exigences de la DORA :

  • Identifier actifs critiques et menaces: Bénéficiez d'une visibilité sur l'ensemble de votre réseau afin de comprendre ce qui est le plus vulnérable et ce qui doit être traité en premier.
  • Préparez-vous de manière proactive aux attaques: créez des contrôles de sécurité qui contenir les attaques avant de pouvoir accéder à des ressources et à des données critiques.
  • Le moindre privilège: Un principe fondamental de confiance zéro et de moindre privilège garantit que les utilisateurs, les applications et les services ne disposent que du minimum d'accès dont ils ont besoin pour exercer leurs rôles. Cela ralentit les attaquants lorsqu'ils tentent de se déplacer sur le réseau.
  • Rapidement répondre et récupérer à partir d'incidents : Lorsqu'une violation se produit, il est essentiel de pouvoir détecter, contenir et réagir le plus rapidement possible. Des solutions Zero-Trust telles que Illumio intégrer les plateformes de détection pour automatiser ce processus.

Les règles de DORA s'alignent sur les meilleures pratiques de confiance zéro, démontrant ainsi son approche avant-gardiste. En incluant ces principes dans ses règles de conformité, DORA aide les banques à se protéger contre les menaces et à rester opérationnelles même en cas d'attaque.

En retard en matière de conformité à DORA ? Voici ce qu'il faut faire

Réaliser Conformité DORA obligera les organisations financières à aborder le processus de manière réfléchie et stratégique. Tristan et Mark ont tous deux souligné qu'une planification proactive est essentielle.

Le mois de janvier sera là avant que vous ne vous en rendiez compte. Si vous craignez que votre organisation soit déjà en retard, Mark vous recommande de réfléchir :

  • Qu'est-ce qui va faire le plus mal en cas d'attaque
  • Ce que vous devez prioriser dès maintenant
  • Qu'est-ce qui peut être intégré à la planification de l'année prochaine

Les organisations devraient d'abord se concentrer sur les domaines à fort impact. Carte élaborez un plan de conformité à long terme qui vous offre une protection durable, et pas seulement des solutions à court terme.

Écoutez, abonnez-vous et révisez Le segment : un podcast sur le leadership Zero Trust

Vous voulez en savoir plus ? Écoutez l'épisode complet sur notre site, Podcasts Apple, Spotify, ou partout où vous pouvez accéder à vos podcasts. Vous pouvez également lire la transcription complète de l'épisode.

Sujets connexes

Conformité

Articles connexes

3 points à retenir du décret exécutif 14028 sur la confiance zéro
Cyber-résilience

3 points à retenir du décret exécutif 14028 sur la confiance zéro

Après le décret 14028 sur la cybersécurité, nous examinons les progrès réalisés dans les efforts visant à commander Zero Trust dans les agences fédérales.

En savoir plus
Nos articles Zero Trust préférés de février 2024
Cyber-résilience

Nos articles Zero Trust préférés de février 2024

Découvrez quelques-uns des points de données, des questions-réponses et des articles sur la progression de vos initiatives Zero Trust que nous avons trouvées les plus pertinentes ce mois-ci.

En savoir plus
3 façons de préserver la résilience de vos opérations de fabrication face aux cyberattaques
Cyber-résilience

3 façons de préserver la résilience de vos opérations de fabrication face aux cyberattaques

Découvrez la récente cyberattaque contre une entreprise manufacturière mondiale et la façon dont elle souligne la nécessité d'une cyberrésilience dans le secteur manufacturier.

En savoir plus
Comment se conformer à la norme DORA avec Illumio
Cyber-résilience

Comment se conformer à la norme DORA avec Illumio

Découvrez les trois outils disponibles sur la plateforme Illumio Zero Trust Segmentation (ZTS) qui vous aideront à renforcer la conformité à la DORA.

En savoir plus
Garantir la conformité à la DORA : ce que vous devez savoir
Cyber-résilience

Garantir la conformité à la DORA : ce que vous devez savoir

Obtenez les informations dont vous avez besoin pour commencer à vous préparer à vous conformer aux prochains mandats DORA de l'UE pour les services bancaires et financiers.

En savoir plus
Les directives de sécurité NIS2 et DORA de l'UE : ce que vous devez savoir
Cyber-résilience

Les directives de sécurité NIS2 et DORA de l'UE : ce que vous devez savoir

Découvrez les 3 manières dont Illumio Zero Trust Segmentation peut vous aider à atteindre la conformité NIS2 et DORA.

En savoir plus

Assume Breach.
Minimisez l'impact.
Augmentez la résilience.

Ready to learn more about Zero Trust Segmentation?

En savoir plus