Les réformes consécutives à la crise financière de 2008 ont contribué à renforcer la résilience du secteur financier, mais n’ont pas pris en compte dans son intégralité la résilience opérationnelle numérique. Le projet de Loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act, DORA) récemment publié par l’Union européenne est conçu pour fournir des règles aux institutions financières de l’UE, en matière de résilience opérationnelle numérique, et l’ISACA propose des orientations sur cette proposition, dans son nouveau livre blanc intitulé Résilience opérationnelle numérique dans le secteur financier de l’UE : une approche basée sur les risques (Digital Operational Resilience in the EU Financial Sector : A Risk-Based Approach).
Une fois finalisée, DORA promulguera des règles pour les opérateurs de systèmes de services financiers tels que les entreprises d’investissement, les établissements de crédit, les plateformes de négociation et les établissements de monnaie électronique, afin d’assurer la stabilité et la résilience de ces systèmes face aux cyberincidents. Résilience opérationnelle numérique dans le secteur financier de l’UE décrit les objectifs et le fondement juridique de DORA, ainsi que ses exigences dans le domaine des technologies de l’information et de la communication (TIC), concernant la gestion des risques, l’information et la cybersécurité, le signalement d’incidents, les tests et la surveillance des fournisseurs de services tiers, et prévoyant notamment de :
- Mettre en place et maintenir des systèmes et des outils TIC résilients qui minimisent l’impact des risques liés aux TIC.
- Disposer d’un cadre de gestion des risques TIC qui comprend des stratégies, des politiques, des procédures, des protocoles TIC et les outils nécessaires pour protéger efficacement tous les composants physiques et infrastructurels pertinents contre les risques, tels que les dommages et l’accès ou l’utilisation non autorisés.
- Tester la politique de continuité des activités TIC et le plan de reprise après un sinistre TIC, au moins une fois par an, et après des modifications substantielles des systèmes TIC.
- Inclure des dispositions pertinentes sur l’accessibilité, la disponibilité, l’intégrité, la sécurité et la protection des données personnelles, ainsi que des garanties d’accès, de récupération et de restitution en cas de défaillance des fournisseurs de services TIC tiers, dans les contrats qui régissent la relation avec les fournisseurs tiers.
« Les exigences énoncées dans DORA pour identifier de manière continue toutes les sources de risque lié aux TIC, et imposer un examen annuel des cadres de gestion des risques liés aux TIC, avec un examen après tout incident majeur, un audit ou un test, marquent un pas dans la bonne direction », déclare Chris Dimitriadis, directeur de la stratégie mondiale, de l’ISACA. « Cependant, pour renforcer davantage la loi, l’ISACA encourage des dispositions garantissant que les plans de gestion des risques liés aux TIC aillent au-delà d’un exercice de conformité, en intégrant la responsabilité de la gouvernance au sein de l’organe de direction, ainsi qu’en exigeant une formation continue et une sensibilisation aux TIC, de la haute direction et du personnel, ajoutées à des tests indépendants effectués par des testeurs certifiés. »
Pendant cette période où le règlement DORA est à l’étude au Parlement européen et au Conseil de l’UE, le groupe de travail de l’ISACA sur l’UE s’engage avec les décideurs politiques et partage ses commentaires. La version finale du règlement est attendue dans environ 18 à 24 mois.
« L’ISACA est reconnue par les décideurs comme une source indépendante d’expertise sur les questions de cybersécurité. La diversité de nos membres en termes d’antécédents et d’expérience, reflétée dans le groupe de travail de l’UE, a été bien accueillie par les décideurs politiques qui ont apprécié nos contributions au débat », souligne Emily Bastedo, directrice de l’ISACA pour les relations gouvernementales mondiales et les affaires publiques.
Pour télécharger une copie gratuite de Résilience opérationnelle numérique dans le secteur financier de l’UE, consultez la page https://store.isaca.org/s/store#/store/browse/detail/a2S4w000004L1sxEAC. D’autres publications qui peuvent être utiles aux entités financières, avant l’entrée en vigueur de DORA comprennent Cadre informatique des risques, 2e Édition ; Guide du praticien en informatique des risques, 2e Édition ; et Guide d’étude sur les principes fondamentaux des risques informatiques, trois documents produits par l’ISACA. Vous trouverez d’autres ressources traitant des risques informatiques, sur www.isaca.org/resources/it-risk.
À propos de l’ISACA
Depuis plus de 50 ans, l’ISACA® (www.isaca.org) fait progresser les meilleurs talents, les compétences d’experts et l’apprentissage en technologie. L’ISACA équipe les professionnels en leur offrant des connaissances, des qualifications, un programme éducatif et l’accès à une communauté, afin de leur permettre de progresser dans leurs carrières et de transformer leurs organisations. L’ISACA permet par ailleurs aux entreprises de former et de constituer des équipes de qualité. L’ISACA est une association professionnelle internationale et une organisation de formation qui s’appuie sur les compétences spécialisées de ses plus de 150 000 membres travaillant dans les domaines de la sécurité des informations, de la gouvernance, de l’assurance, du risque et de la confidentialité, pour stimuler l’innovation à travers la technologie. Elle est présente dans 188 pays incluant plus de 220 sections locales, à travers le monde. En 2020, l’ISACA a lancé One In Tech, une fondation philanthropique qui soutient les parcours de formation et de carrière en informatique, pour les populations sous-financées et sous-représentées.
Twitter : www.twitter.com/ISACANews
LinkedIn : www.linkedin.com/company/isaca
Facebook : www.facebook.com/ISACAGlobal
Instagram : www.instagram.com/isacanews
Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.
Consultez la version source sur businesswire.com : https://www.businesswire.com/news/home/20211015005221/fr/