Explorons un peu DORA (facile). Ce règlement européen (DORA pour Digital Operational Resilience Act) vient d’être voté dans sa version définitive fin 2022, et il porte plus sur des sujets de sûreté que de sécurité, mais en informatique ces notions sont fortement liées.
Les objectifs du projet DORA
Dans la mesure où l’intensification de l’usage de l’informatique en entreprise a mécaniquement augmenté les impacts d’un dysfonctionnement (quelle qu’en soit la nature) du SI, le projet de règlementation DORA a vocation à renforcer la résilience opérationnelle informatique des acteurs financiers en mettant en place un nouveau cadre de gouvernance et de contrôle interne concernant :
- la gestion des risques informatiques,
- la déclaration des incidents majeurs liés aux technologies,
- les tests de résilience opérationnelle informatique,
- la gestion du risque de tiers avec notamment la supervision directe des prestataires de services « critiques ».
Plus globalement, La directive impose la mise en œuvre d’une stratégie de résilience opérationnelle informatique sous la pleine responsabilité de la Direction des institutions financières.
Source : Que retenir du projet de règlement DORA ? – Mazars – France
Donc ce règlement s’adresse spécifiquement à une catégorie d’entreprise : les acteurs financiers (banques, assurances), et porte sur la sûreté de fonctionnement du SI. En gros, on cherche à forcer ces acteurs à renforcer leur capacité à prendre des coups et à conserver leur SI en état de fonctionner. Ainsi, la cause du dysfonctionnement peut être une cyberattaque mais aussi un incendie ou un incident lié à un problème de maintenance, comme par exemple une erreur opérationnelle lors d’une mise en production.