Afin d’évaluer leur état de préparation en vue du traitement d’incidents liés aux TIC, de recenser les faiblesses, les défaillances et les lacunes en matière de Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. et de mettre rapidement en œuvre des mesures correctives, les entités financières établissent, maintiennent et réexaminent, en tenant compte du principe de Le principe de proportionnalité contenu dans le règlement DORA permet à une entité financière d’adopter une approche pragmatique adaptée à la taille et à l’ampleur de ses opérations, étant entendu que l’application de ce principe ne saurait avoir pour effet d'exempter l’entité concernée d’appliquer l’ensemble du règlement. , un programme solide et complet de tests de Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. , qui fait partie intégrante du cadre de gestion du risque lié aux TIC.
Le programme de tests de Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. comprend une série d’évaluations, de tests, de méthodologies, de pratiques et d’outils à appliquer.
Lorsqu’elles exécutent le programme de tests de Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. , les entités financières adoptent une approche fondée sur le risque tenant compte du principe de Le principe de proportionnalité contenu dans le règlement DORA permet à une entité financière d’adopter une approche pragmatique adaptée à la taille et à l’ampleur de ses opérations, étant entendu que l’application de ce principe ne saurait avoir pour effet d'exempter l’entité concernée d’appliquer l’ensemble du règlement. , en prenant dûment en considération l’évolution du risque lié aux TIC, tout risque spécifique auquel l’entité financière concernée est ou pourrait être exposée, la La criticité des actifs informationnels désigne l’importance et la sensibilité de l’information au sein d’une organisation, mesurée par l’impact potentiel de sa perte, compromission ou indisponibilité sur les opérations et la sécurité de l’entreprise. des actifs informationnels et des services fournis, ainsi que tout autre facteur que l’entité financière juge approprié.
Les entités financières veillent à ce que les tests soient effectués par des parties indépendantes internes ou externes. Lorsque les tests sont effectués par un testeur interne, les entités financières leur accordent des ressources suffisantes et veillent à éviter les conflits d’intérêts pendant les phases de conception et d’exécution du test. Les entités financières définissent des procédures et des stratégies destinées à hiérarchiser, classer et résoudre tous les problèmes mis en évidence au cours des tests. Elles élaborent des méthodes de validation interne pour veiller à ce que toutes les faiblesses, défaillances ou lacunes recensées soient entièrement corrigées.
Les entités financières veillent à soumettre, au moins une fois par an, tous les systèmes et applications de TIC qui soutiennent des Une fonction critique ou importante est une opération ou un service essentiel au fonctionnement continu et sécurisé d’une organisation, dont l’interruption est susceptible de causer des perturbations significatives ou des pertes importantes. à des tests appropriés.
Le rapport établi à la suite d’un test de résilience doit :
- répertorier de manière hiérarchique les vulnérabilités ;
- les classer en fonction de leur niveau de menace ;
- les décrire de manière exhaustive ;
- inclure une description détaillée ainsi qu'une piste d'audit, ou audit trail, de toutes les activités menées lors du test et de leurs résultats. Ceci permettra au personnel informatique de tester à nouveau des vulnérabilités spécifiques après la mise en œuvre d'une mesure corrective.
Pour chaque vulnérabilité constatée, il est nécessaire :
- d’établir un plan d'action, avec un niveau de priorité attribué ;
- de désigner une personne pour y remédier ;
- de déterminer une date d'échéance ;
- d’ouvrir un ticket informatique afin de faciliter le suivi de la progression et de l'achèvement de chaque tâche. L'objectif est d'éviter la récurrence des mêmes vulnérabilités au cours de tests successifs.
Après avoir corrigé les éventuelles faiblesses, l'entité financière doit utiliser des méthodes de validation interne pour s'assurer que les correctifs apportés ont effectivement résolu les vulnérabilités. Elle doit reproduire le scénario ayant révélé la vulnérabilité afin de garantir l'efficacité de la correction apportée.