Préparation à la loi sur la résilience opérationnelle numérique de l'UE (DORA)
Les décideurs politiques européens sont de plus en plus préoccupés par les cyberattaques contre les infrastructures numériques critiques de la région.
Pour garantir que le secteur financier puisse mieux faire face aux menaces changeantes, l'UE a élaboré le règlement sur la résilience opérationnelle numérique ( DORA ), qui s'appliquera à partir de janvier 2025.
La portée de DORA est importante, englobant plus de 22 000 entités financières et leurs fournisseurs de services TIC opérant au sein de l'UE. Cela affectera également les personnes basées en dehors de l’UE qui interagissent avec ces organisations.
Essentiellement, la conformité à la DORA constitue la base sur laquelle les acteurs des services financiers peuvent construire une stratégie de sécurité plus robuste et plus globale qui reflète les risques auxquels ils doivent faire face.
Alors que la plupart des banques ont depuis longtemps mis en place des mesures de sécurité rigoureuses, DORA est conçu pour renforcer les défenses de l'ensemble de l'écosystème financier en impliquant des acteurs plus spécialisés, notamment les établissements de crédit et de paiement, les fournisseurs de services de crypto-actifs, les dépositaires centraux de titres et les sociétés de notation de crédit. Elle exige que les entités financières minimiser le risque de corruption ou de perte de données, prévenir les accès non autorisés et les failles techniques susceptibles d’entraver l’activité commerciale et garantir la disponibilité de leurs systèmes TIC.
Assurer la conformité
Pour les entités financières, et pour la plupart des autres entreprises aujourd’hui, les applications et les données sont désormais essentielles à leur mission. Il est essentiel de protéger entièrement ces actifs avec une technologie telle qu'un pare-feu d'application Web (WAF) robuste, à la fois pour se conformer à DORA et pour garantir la continuité des opérations lors d'une attaque par déni de service distribué (DDoS) et d'autres attaques.
DORA exige également que les entités financières détectent rapidement les activités anormales, y compris les problèmes de performance du réseau TIC et les incidents associés, ainsi que l'identification des points de défaillance uniques et matériels potentiels. En cas d’incident grave, l’entité financière doit informer les régulateurs, les clients et les partenaires concernés. Ils devront ensuite rendre compte des progrès réalisés dans la résolution de l’incident et produire un rapport final analysant les causes profondes.
Pour répondre à ces exigences, les entités financières ont besoin d’une visibilité complète sur les performances et l’état de sécurité de leurs applications. C'est là que la console cloud distribuée F5 peut jouer un rôle important. Conçu pour fournir une visibilité consolidée de bout en bout de l' ensemble du parc d'applications, il coche la plupart des cases pour la conformité de la résilience numérique de DORA.
La console cloud distribuée F5 aide également à répondre à certaines des demandes les plus nuancées de DORA. Par exemple, les entités financières doivent tester leurs outils, systèmes et processus TIC au moins tous les trois ans à l’aide de tests de pénétration.
Jusqu’à récemment, ce type d’activité était le domaine de pirates informatiques experts, et souvent coûteux, appelés « white hat ». Ce n’est plus le cas et il est désormais possible d’automatiser l’ensemble du processus.
Plus tôt cette année, F5 a lancé sa solution Distributed Cloud Web App Scanning , qui permet aux organisations de surveiller en permanence Internet, les référentiels publics, les serveurs exposés et d'autres sources pour consolider les services d'applications, les données et les vulnérabilités externes. En plus de cela, ils peuvent également effectuer des tests de pénétration automatisés, identifier les vulnérabilités potentielles, obtenir des preuves de problèmes et recevoir des conseils de correction pour améliorer la sécurité et garantir la conformité.
Une plus grande automatisation signifie qu'il est plus rentable d'exécuter des tests de pénétration continus, plutôt que projet par projet, pour garantir la sortie en temps voulu de nouveaux produits et services.
Intégrer la sécurité dans le parc informatique
Toutes les entreprises devraient viser une approche holistique de la sécurité numérique, plutôt que d’essayer de déployer des solutions ponctuelles spécifiques pour se conformer à DORA. L’automatisation accrue, rendue possible par les progrès de l’IA, facilite grandement l’intégration de la sécurité dans la conception, le développement et le déploiement des infrastructures, des composants, des applications et des interfaces de programmation d’applications (API) des TIC.
Les API, qui constituent désormais le système nerveux central de l’économie numérique, sont particulièrement importantes. Les organisations doivent tout mettre en œuvre pour intégrer la détection des vulnérabilités dans les processus de développement d’applications, en s’assurant que les risques sont identifiés et que les politiques sont mises en œuvre avant que les API n’entrent en production.
En réponse directe à ce besoin croissant, F5 Distributed Cloud Services propose la solution de sécurité API la plus complète et compatible avec l'IA du secteur . L’époque où les entreprises étaient obligées d’utiliser des ensembles d’outils et des fonctionnalités disparates pour sécuriser leurs API lors de leur création et pendant leur exécution est révolue. F5 permet la détection des vulnérabilités et l'observabilité dans le processus de développement des applications, garantissant que les risques sont identifiés et que les politiques sont mises en œuvre avant que les API n'entrent en production. À l’heure où la sécurité des API n’a jamais été aussi importante ni aussi complexe, F5 élimine le besoin pour les clients de payer et de gérer des solutions de sécurité API distinctes. La découverte d'API, les tests, la gestion des postures et la protection de l'exécution, le tout sur une seule plateforme, peuvent constituer un avantage considérable pour anticiper les complexités imminentes de DORA.
En fin de compte, DORA ne doit pas être considéré comme un casse-tête. Il s’agit plutôt d’une formidable opportunité d’affiner et de renforcer les mesures de sécurité essentielles dans l’ensemble des organisations. Néanmoins, il s’agit d’un voyage et certains devront probablement changer leur perception de ce que signifie réellement la sécurité et de la manière dont elle est articulée.
Heureusement pour tous ceux qui doivent faire face aux défis à venir, F5 dispose de nombreux outils nécessaires pour se conformer aux exigences de surveillance et de reporting de DORA, sans parler de la réduction substantielle des risques d’attaques de cybersécurité paralysantes.