imswebs

Répondre aux exigences de DORA en matière de risques liés...

Cybersecurité

Répondre aux exigences de DORA en matière de risques liés aux tiers d’ici 2026

0views
0

La date limite pour déposer une plainte en vertu de la loi DORA (Digital Operational Resilience Act) sera fixée avant que vous ne vous en rendiez compte, l'application commençant en janvier 2025. La gestion des risques liés aux tiers étant au centre de la réglementation de l'UE, il est impératif d'adapter votre programme TPRM à la réglementation DORA pour parvenir à une conformité durable.

Dans cet article, nous décrivons les exigences DORA. liées à la gestion des risques tiers et expliquer comment s’y conformer.

Téléchargez votre cahier d'évaluation DORA gratuit >

Exigences de gestion des risques liés aux tiers de DORA

La Loi sur la résilience opérationnelle numérique (DORA) poursuit deux objectifs principaux :

  1. Rationalisez l’intégration des processus de gestion des risques liés aux TIC dans toutes les réglementations de l’UE, y compris le RGPD.
  2. Atténuer les risques de cybersécurité liés à l’externalisation des opérations vers des fournisseurs de TIC tiers

Les aspects de DORA spécifiquement liés à la gestion des risques liés aux tiers se trouvent dans les articles 28 à 44 sous la Gestion des risques informatiques liés aux tiers section. Par souci de simplicité, les principales exigences TPRM de cet ensemble d'articles sont résumées dans une liste unique ci-dessous.

En savoir plus sur la Loi sur la résilience des opérations numériques >

Les risques liés aux TIC incluent toute vulnérabilité en matière de sécurité de l’information qui pourrait compromettre la sécurité du système d’information si elle était exploitée.

  1. Responsabilité de conformité: Les institutions financières doivent suivre et gérer l'impact des relations de services TIC avec des tiers sur les obligations de conformité réglementaires et juridiques.
  2. Développement de stratégies et de politiques: Le secteur financier doit établir une stratégie pour gérer les risques liés aux relations TIC avec des tiers, en particulier pour les opérations commerciales critiques.
  1. Évaluation des risques et diligence raisonnable: Avant d'engager des prestataires de services TIC tiers, les institutions financières doivent procéder à une diligence raisonnable approfondie pour évaluer l'alignement de chaque fournisseur potentiel sur les normes de sécurité de l'information de l'entité.

    En savoir plus sur la diligence raisonnable des fournisseurs >

  2. Normes de sécurité de l'information: Les institutions financières ne devraient embaucher et engager que des prestataires de services TIC tiers qui répondent aux normes définies en matière de sécurité de l'information.
  3. Dispositions contractuelles: Les institutions financières devraient clairement distinguer les accords contractuels avec des fournisseurs de services TIC tiers qui prennent en charge des fonctions critiques. Ces informations doivent être tenues à jour dans un registre.
  4. Droits d’audit et d’inspection: Les institutions financières devraient prédéterminer la fréquence à laquelle chaque fournisseur de services TIC tiers sera audité et quels domaines spécifiques seront audités. Cette décision doit être prise en utilisant une approche basée sur les risques conformément aux normes d'audit acceptées.. Les institutions financières doivent s’assurer que les auditeurs possèdent les compétences techniques nécessaires pour effectuer efficacement des audits très complexes.
  5. Conditions de résiliation: Les institutions financières doivent veiller à ce que les accords contractuels avec des prestataires de services TIC tiers puissent être résiliés rapidement dans l'une des circonstances suivantes : tout texte
    • Le fournisseur de services TIC tiers a violé les lois, réglementations ou conditions contractuelles applicables.
    • Grâce aux efforts de surveillance, il a été découvert que le fournisseur de services TIC externe n'est pas en mesure de respecter efficacement les accords de niveau de service décrits dans les accords contractuels.
    • Les efforts de gestion des risques du fournisseur de services TIC tiers démontrent des faiblesses qui pourraient avoir un impact négatif sur la disponibilité, l'authenticité, l'intégrité et la confidentialité des données, quelle que soit leur sensibilité.
  6. Stratégies de sortie: Les entités financières doivent établir des stratégies de sortie pour les relations de services TIC avec des tiers qui impliquent des fonctions critiques. Ces stratégies de sortie devraient garantir une rupture efficace de la relation avec une perturbation minimale des activités et sans limiter le respect des exigences réglementaires.
  7. Plans de transition et mesures d’urgence: Afin de minimiser les interruptions d'activité ou la qualité des services que l'Institution financière fournit à ses clients, le plan de transition doit être mis en œuvre pour déplacer les données vers de nouveaux services tiers en cas de résiliation du contrat.
  8. Élaboration de normes réglementaires et techniques: L'Autorité européenne de surveillance (ESA) est chargée d'élaborer, de mettre en œuvre et de réglementer des normes techniques pour détailler davantage les politiques liées à l'utilisation de services TIC tiers, en tenant compte du profil de risque de l'institution financière et de la complexité du service.

Guide en 6 étapes : mise en œuvre d'un programme TPRM conforme à DORA

Pour ajuster votre programme existant de gestion des risques liés aux tiers afin de vous conformer aux exigences DORA, suivez ce cadre de bonnes pratiques en six étapes.

Si vous n'avez pas encore mis en œuvre de programme TPRM, ajoutez ce guide de mise en œuvre TPRM à votre liste de lecture.

1. Familiarisez-vous avec les règles de l'ESA

Les autorités européennes de surveillance (EBA, EIOPA et ESMA) ont publié une série de normes techniques de réglementation (RTS) qui doivent être respectées pour se conformer à DORA. Ces normes couvrent :

  • Normes pour les cadres de gestion des risques liés aux TIC.
  • Normes pour la classification des incidents liés aux TIC.
  • Normes pour spécifier les politiques pour les fournisseurs de services TIC tiers prenant en charge les fonctions critiques.
  • Lignes directrices pour les modèles qui collectent des informations sur les fournisseurs de TIC tiers et les accords contractuels.

Familiarisez-vous avec ces normes de gestion des risques et comparez-les aux normes de votre programme TPRM actuel. Ensuite, rédigez une analyse des écarts de haut niveau et une feuille de route d'alignement entre votre état actuel et idéalisé en matière de gestion des risques liés aux TIC.

Lire les règles de l'ESA >

2. Cartographiez tous vos systèmes et actifs TIC

Pour comprendre le profil de risque de votre architecture TIC interne et tierce, vous devez d'abord cartographier tous vos actifs TIC. Cet effort devrait vous aider à comprendre comment vos actifs TIC sont mis en réseau dans votre environnement numérique actuel, les types de données qui y entrent et en sortent, ainsi que les vulnérabilités de sécurité spécifiques à chaque actif TIC.

Vos efforts de cartographie doivent identifier les systèmes TIC qui traitent les informations critiques et leurs fonctions commerciales critiques.

La cartographie de la surface d'attaque de votre infrastructure TIC peut nécessiter la mise en œuvre d'un programme de gestion de la surface d'attaque (ASM). Pour un aperçu de la façon de cartographier votre surface d'attaque avec ASM, regardez cette vidéo.

Obtenez un essai gratuit d'UpGuard >

3. Effectuez régulièrement des tests de reprise après sinistre

Une exigence essentielle de DORA est de garantir un impact minimal sur les fonctions critiques en cas de perturbation opérationnelle liée aux TIC. Les institutions financières devraient intégrer des tests de perturbation périodiques et réalistes dans leur infrastructure TIC. Ces tests de réponse aux incidents devraient inclure les pannes de TIC causées par des cyberattaques courantes telles que les attaques de ransomwares et les violations de données.

Apprenez à vous défendre contre les ransomwares avec ce guide définitif >

Vos simulations de reprise après incident doivent tenir compte de la notification des incidents majeurs liés aux TIC aux régulateurs dans un délai de 72 heures.

4. Établir une culture de résilience opérationnelle

La conformité DORA ne peut pas être établie avec une approche unique et oubliée. Pour atteindre les attentes de résilience opérationnelle énoncées par DORA, les institutions financières doivent mettre en œuvre un sentiment de résilience plus large qui unit tous les départements sous un seul objectif de résilience. Cela nécessitera une collaboration plus étroite entre les départements et une réorganisation des structures conventionnelles de gestion des risques.

Certaines suggestions incluent :

  • Établir la responsabilité de la résilience opérationnelle au niveau de la haute direction.
  • Communiquer régulièrement les performances de gestion des risques informatiques à la haute direction au moyen de rapports clairs et concis. Cela répondra aux attentes en matière de responsabilisation de la part de la haute direction.
  • Former le personnel sur la manière d'identifier et de répondre aux risques numériques en interne et parmi les fournisseurs de TIC externes (cybermenaces, menaces pour la stabilité de la chaîne d'approvisionnement et menaces pour la sécurité des données personnelles).
  • Donnez aux équipes de gestion des risques des rôles plus actifs pendant les étapes d’intégration et d’approvisionnement pour évaluer les risques potentiels avant de lancer des contrats. Pour une plus grande efficacité, des analyses externes devraient être intégrées aux processus de due diligence.
  • Donnez aux équipes d’approvisionnement un rôle plus actif dans le suivi de la manière dont les performances de chaque fournisseur de services TIC tiers s’alignent sur leurs obligations contractuelles, idéalement tout au long du cycle de vie de la relation avec chaque fournisseur tiers.

5. Établir une source unique de vérité pour la conformité DORA

Pour favoriser davantage un changement culturel à l'échelle de l'entreprise vers une plus grande résilience opérationnelle, créez une référence unique qui décrit les tâches principales que votre personnel devra accomplir pour soutenir la conformité DORA de l'entreprise.

Ce guide doit être facilement accessible à tout le personnel et couvrir les détails suivants :

  • Lignes directrices pour la communication avec les parties prenantes et les autorités nationales compétentes en cas d'incident majeur lié aux TIC.
  • Meilleures pratiques de protection des données conformes aux normes de l'Union européenne et de la Commission européenne.
  • Lignes directrices pour signaler les incidents de cybermenace.
  • Directives de gestion des incidents, y compris des directives de remédiation pour les menaces critiques.
  • Lignes directrices pour les tests de résilience opérationnelle (y compris les tests d’intrusion) et mesures appropriées pour répondre pleinement à toutes les vulnérabilités découvertes lors de ces tests.
  • Lignes directrices pour le partage d’informations entre toutes les équipes de gestion des risques : équipes TPRM, continuité d’activité, achats et gestion des risques.

6. Niveler les fournisseurs externes selon le niveau de criticité

Les fournisseurs externes TIC critiques doivent être regroupés séparément de votre liste de fournisseurs externes et soumis à des niveaux de surveillance plus élevés. Les efforts de surveillance devraient viser à découvrir les vulnérabilités en matière de sécurité qui pourraient perturber les opérations de la chaîne d’approvisionnement et la résilience opérationnelle globale.

En plus de traiter les informations sensibles des clients, un fournisseur tiers critique est également identifié par un profil de risque étroitement aligné sur son appétit pour le risque défini.

Apprenez à calculer votre appétit pour le risque pour TPRM >

Les plateformes de gestion des risques fournisseurs, telles que UpGuard, incluent une fonctionnalité de classification des fournisseurs pour séparer facilement les listes de fournisseurs en fonction de critères de criticité définis.

La séparation des fournisseurs tiers critiques (CTPP) en un seul niveau soutiendra le nouveau pouvoir de surveillance de l'Autorité européenne de surveillance pour évaluer les CTPP et même leur demander de modifier leurs pratiques de sécurité.

Répondre aux exigences de DORA en matière de risques liés aux tiers d’ici 2026
Évaluation des fournisseurs par UpGuard

Comment UpGuard peut vous aider

UpGuard propose une plateforme de gestion des risques liés aux fournisseurs de bout en bout qui peut identifier vos fournisseurs tiers les plus critiques et vous aider à gérer l'ensemble du cycle de vie de vos cyber-risques. La plateforme Vendor Risk d'UpGuard fournit également une cartographie automatique de la conformité et des rapports par rapport à DORA via NIST CSF et ISO 27001 pour vous et vos fournisseurs.

Vous pouvez utiliser ce modèle gratuit d'évaluation des risques DORA pour vous assurer que vos fournisseurs restent alignés sur la norme DORA.

Source link

Like it? Share with your friends!

0

Posted by

log in

Captcha!
Forgot password?

forgot password

Back to
log in