Le règlement européen DORA – La résilience opérationnelle informatique

Le règlement Dora, qui vise à renforcer la résilience opérationnelle informatique des acteurs des secteurs bancaire et financier, a été publié au Journal officiel de l’Union européenne le 27 décembre 2022. A compter de Janvier 2024, les entités financières auront un an pour se mettre en conformité.

Pour rappel, la résilience opérationnelle informatique, principe directeur du projet DORA, porté par la Commission européenne, peut se traduire par la capacité d’une organisation ou d’une entreprise à pouvoir continuer à fournir des prestations alors qu’elle peut connaître une attaque informatique ou un incident cyber. Concrètement, DORA propose de mettre en place un cadre réglementaire, applicable dans les entreprises, pour prévenir les cyberattaques et les risques informatiques liés aux technologies de l’information et de la communication (TIC).

« Il est urgent d’aider les entreprises à anticiper, préparer et travailler leur cybersécurité de manière active, en agissant auprès d’elles le plus en amont possible. Il faut Savoir pour Agir avant de Subir. »

Les principaux enjeux du règlement européen DORA :

Avant l’arrivée de DORA, il fallait opérer de la « sécurité défensive » pour se protéger à posteriori.  Avec le concept de résilience, il s’agit pour les entreprises du secteur financier, de s’organiser, dès le départ, pour travailler malgré les pannes, et surtout malgré les cyber-attaques. La cyber sécurité doit maintenant être active pour atteindre une résilience opérationnelle.

C’est un vrai changement de paradigme dans le domaine de la sécurité des systèmes d’information.

Dans le viseur de DORA, les sociétés financières… :

Ce nouveau règlement s’applique à 20 types de sociétés financières de plus de 10 salariés et dont le chiffre d’affaires annuel et/ou le total du bilan annuel atteint au moins les 2 millions d’euros, mais concerne aussi leurs prestataires IT, soit « les prestataires tiers de services TIC » pour reprendre la dénomination de DORA. Parmi eux, on peut compter les établissements de crédit et de paiement, les établissements de monnaie électronique, les entreprises d’investissement, les prestataires de services sur crypto-actifs, les plateformes de négociation, les sociétés de gestion, les entreprises d’assurance et de réassurance ainsi que leurs intermédiaires, les institutions de retraite professionnelle, les agences de notation de crédit, les prestataires de services de financement participatif, ou encore les gestionnaires de fonds d’investissement alternatifs…

Au total, des dizaines de milliers de sociétés sont concernées en Europe.

les_types_de_données_collectés

Quels impacts au quotidien ?

Cela implique d’effectuer de nombreux nouveaux tests et de proposer une vision élargie du risque cyber. Avec cette nouvelle norme, il s’agit non seulement de protéger les systèmes mais de protéger également la data. Cette nouvelle vision va transformer le paysage de gestion des risques cyber et il est urgent que l’ensemble des professions qui traitent des données sensibles (assureurs, médecins, avocats, notaires, comptables ou commissaires aux comptes) mettent aussi en place ce type de norme.

Cette révolution se traduit par l’obligation de réaliser à minima tous les ans des tests de résilience opérationnelle numérique dont l’analyse des sources ouvertes reste un des premiers impératifs.

L’humain au cœur du système :

D’après le 8ème baromètre du CESIN de 2023, 74% des entreprises déclarent le phishing comme vecteur d’entrée principal pour les attaques subies. L’humain et l’interconnexion des entités restent donc la clé de la cyber sécurité. L’humain, le fournisseur et le sous-traitant du fournisseur ont été trop souvent exclus des normes de la protection de la donnée et des systèmes d’information. Or, tous les jours, les données d’une entreprise sortent, non pas de façon massive comme dans le cas d’un ransomware, mais de manière plus discrète, par tous petits volumes, ce qui au cumulé fournit beaucoup d’informations sur les actifs des entreprises : les certificats de domaines et sous-domaines, les informations émanant des salariés ou portant sur les salariés, l’organisation même de l’entreprise (organigramme, adresse des activités, plan des bâtiments) et les informations d’identification sensibles des employés (fiche de salaires, note de frais, situation personnelle), cartographie du SI, les dossiers commerciaux, factures, contrats, NDA etc…. Tous sont mis à risque par les employés, les fournisseurs, les clients et leurs tiers auprès de qui l’entreprise transmet tous les jours de l’information, mais également via parfois les sous-sous-sous-traitants de toutes ces entités. C’est là que réside le danger.

Dans cet océan de données publiées sur le web, il est primordial d’intégrer que c’est bien l’humain qui est en première ligne. Chaque salarié doit prendre conscience de l’impact qu’il peut avoir sur l’organisation de son entreprise avec les données qu’il traite au quotidien.

fuite_de_données_baignoire

Le risque des micro-fuites :

Les informations divulguées par micro-volumes depuis des années et régulièrement diffusées sur les réseaux sociaux, dans le deep web et le dark web, restent consultables et viennent nourrir les personnes malintentionnées.

Ainsi, au travers de ces RIC (renseignement d’intérêt cyber), ces cybercriminels préparent, organisent et commettent des actions contre la société et ses différents actifs.  Tout comme dans le cadre d’une campagne de pentest, les hackers éthiques recueillent des informations sur les cibles, les personnes mal attentionnées développent des stratégies et industrialisent des techniques pour rassembler les signaux faibles et les utiliser pour créer des campagnes de phishing, du racket, forcer des points d’entrée (share point, point d’accès sur le web etc…) dans le but de pénétrer les systèmes des entreprises, de les espionner, les tromper, les extorquer ou encore de les diffamer.

« Comme l’indique le rapport de l’ANSSI en mai 2022 : « qu’elles soient consécutives à des attaques par rançongiciel ou dûes à de la négligence, mises en vente par des cybercriminels ou exposées dans le cadre d’opérations informationnelles associées à des revendications idéologiques ou politiques, les divulgations de données constituent une opportunité d’opérer pour les assaillants ». Il est donc urgent d’aider les entreprises à anticiper, préparer et travailler leur cybersécurité active, en agissant auprès d’elles le plus en amont possible. Il faut Savoir pour Agir avant de Subir. » déclare Victor Raffour, Directeur général adjoint d’Aleph.

Aleph, LA solution pour protéger ses actifs et anticiper le règlement européen DORA.

Il est avant tout nécessaire de mettre en place des équipes d’analystes, de sécurité et de les outiller pour cartographier la donnée de l’entreprise qui circule en dehors de l’entreprise et, comme pour tous les risques, de planifier les actions à mener en cas d’attaques cyber pour garantir la résilience des services.

« Les entreprises se prémunissent contre les risques incendie en s’équipant de détecteurs de fumée ; elles ont également l’obligation de former leurs équipes pour qualifier l’alerte lorsque le détecteur se déclenche. De la même façon, les équipes d’analystes pour le risque cyber doivent faire fi des silos internes de l’organisation pour la protéger car en cyber, tous les services peuvent donner les clés d’une porte qui permettra à un pirate de détruire l’édifice de l’intérieur. » poursuit Victor Raffour.

Par son activité d’éditeur de logiciels spécialisé dans l’indexation et la recherche de data dans les clear, deep et dark webs, Aleph est doublement concerné par la règlementation. Aleph permet à la fois aux sociétés financières de superviser et monitorer leurs actifs stratégiques (les leurs ou ceux qui leur sont confiés) disponibles en sources ouvertes dans l’ensemble des espaces cyber clear, deep & dark , et de mettre en place les obligations de cette nouvelle réglementation pour le compte de ces entreprises.

Aleph met ainsi à la disposition de ses clients, 2 logiciels ainsi que les offres de services associés.

Comment Aleph peut vous aider à préparer le règlement DORA ? 

  • Aleph Search Dark : c’est le moteur de recherche et d’analyse de référence des Dark & Deep Webs, le plus puissant du marché. E-mails et mot de passe, pièces d’identités, fiche de paye, déclaration d’impôts, cartes bancaires et iBAN, informations sur les sites physiques, informations des clients sous secret bancaire (business plan, NDA…) et sur les personnes clés de l’entreprise, forums d’échanges d’activistes violents pour dénigrer et porte atteinte à une société ou à un organisme…. : cet outil permet la recherche de traces et de données sur les Dark & Deep Webs, la cartographie des communautés des webs, l’anticipation de nouvelles menaces, l’identification de clusters d’influence et la recherche de certains éléments structurants. Cette solution permet de comprendre rapidement l’environnement d’une entreprise pour mieux la protéger. Elle est également utilisée pour cartographier les liens d’influence qui existent ainsi que les échanges entre les concurrents et les fournisseurs.

 

  • Aleph Search Clear : cette solution permet, à partir de sites d’intérêt déjà identifiés, d’explorer l’environnement relationnel de l’entreprise, de découvrir et qualifier de nouvelles sources spécifiques pour pouvoir indexer leurs données afin d’anticiper les ruptures stratégiques et tactiques. De manière concrète, cette solution permet aux clients d’Aleph de superviser en quasi temps réel leur pattern numérique dans le Clear Web, de cartographier leur écosystème: sites web de production toujours actifs, liens vers des SharePoints, faux sites de phishing, etc…

« En tant que fournisseur auprès des sociétés financières, nous travaillons en continu à l’élaboration de nouveaux algorithmes pour permettre à nos clients d’être alertés en quasi temps réel quant à la disponibilité de leurs informations parfois les plus sensibles dans le deep et dark web. Je rajoute par ailleurs que conformément à la réglementation en vigueur, Aleph édite des moteurs de recherche avec un code de conduite et un cadre éthique formel : seules les données blanches et grises sont indexées par nos moteurs de recherche. Nous n’intégrons pas de données noires (données obtenues par le biais d’authentifications, d’usurpations d’identité ou de hacking). Notre technologie de crawler nous permet de garantir à nos clients qu’aucune interaction humaine ni de hacking n’est mis en place pour l’indexation des datas. » conclut Victor Raffour.