Le programme de tests de Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. prévoit, conformément principe de Le principe de proportionnalité contenu dans le règlement DORA permet à une entité financière d’adopter une approche pragmatique adaptée à la taille et à l’ampleur de ses opérations, étant entendu que l’application de ce principe ne saurait avoir pour effet d'exempter l’entité concernée d’appliquer l’ensemble du règlement. , l’exécution de tests appropriés, tels que des :
- Évaluations et des analyses de vulnérabilité (vulnerability assessments and scans)
L'évaluation de vulnérabilité permet aux organisations d'analyser leurs systèmes en quête de faiblesses potentielles en matière de sécurité. Cette démarche englobe un processus d'analyse des vulnérabilités visant à déterminer si l'organisation est exposée à des vulnérabilités connues. Elle attribue un niveau de gravité à ces vulnérabilités et émet des recommandations quant à la nécessité d'atténuer ou de corriger une menace identifiée. - Analyses des open-sources
L’entité doit établir et maintenir un catalogue des librairies et application open-source utilisées. Ce catalogue sera utilisé pour identifier les vulnérabilités connues affectant ses composantes. Cette exercice doit être mené régulièrement et ce, à mesure que des nouvelles vulnérabilités sont découvertes et publiées. - Évaluations de la sécurité des réseaux (network security assessments)
Les tests de sécurité du réseau sont déployés pour garantir le bon fonctionnement de toutes les mesures de sécurité mises en place. Ces tests sont généralement réalisés lors des phases de mise en œuvre et d'exploitation, une fois que le système a été développé, installé et intégré. - Gap analyses
L'analyse des écarts (gap analysis) offre aux entités une perspective sur la meilleure manière d'atteindre leurs objectifs. Cette analyse compare l'état actuel avec un état idéal ou des objectifs, mettant en évidence les lacunes et les opportunités d'amélioration. - Examens de la sécurité physique
La sécurité physique constitue une composante essentielle de la gestion d'une entité financière et implique la mise en place de mesures de sécurité telles que l'installation de serrures, de caméras, ainsi que la définition de processus et procédures de gestion d'accès au bâtiment et de surveillance interne. L'évaluation de la sécurité physique permet de déterminer le niveau de protection du bâtiment et de ses occupants contre diverses menaces telles que le vandalisme, le vol, l'espionnage, ou le terrorisme. - Questionnaires et des solutions logicielles de balayage (scanning software solutions)
L'objectif du balayage du réseau est de découvrir les adresses IP et les ports ouverts sur les hôtes actifs, les systèmes d'exploitation utilisés, ainsi que l'architecture du système cible. Cette technique permet également de repérer les services actifs du réseau et de mettre en évidence les vulnérabilités potentielles. - Examens du code source lorsque cela est possible (Source code review)
La revue de code source (source code review) désigne l'examen systématique du code source d'un logiciel. Ce processus vise à repérer les bugs ou les vulnérabilités potentielles, voire à corriger les erreurs de conception afin d'améliorer la qualité, la maintenabilité et la sécurité du logiciel. - Tests fondés sur des scénarios
Les tests fondés sur des scénarios représentent une forme spécialisée d'évaluation proactive de la sécurité. Contrairement aux tests de pénétration traditionnels qui cherchent à découvrir des vulnérabilités, les tests basés sur des scénarios évaluent les performances des contrôles de cybersécurité face à des tactiques et des comportements hostiles spécifiques. - Tests de compatibilité
Le test de compatibilité vise à s'assurer qu'une application logicielle fonctionne correctement avec les autres applications, les différents navigateurs, bases de données, systèmes d'exploitation, appareils mobiles, réseaux, et matériels. - Tests de performance (performance testing)
Le test de performance évalue les performances d'un système informatique, notamment en mesurant les temps de réponse en fonction de la sollicitation. Les informations recueillies concernent les temps de réponse utilisateurs, les temps de réponse réseau et les temps de traitement d'une requête sur le ou les serveurs. - Tests end-to-end (end-to-end tests)
Les tests de bout en bout ou end-to-end sont une technique permettant de déterminer si une application (application mobile, site Internet, etc.) se comporte conformément aux attentes de l'utilisateur, du début à la fin. Le testeur se met dans la peau de l'utilisateur, effectuant les tests comme s'il utilisait réellement l'outil disponible. Cette technique vérifie la fonctionnalité du front-end et confirme la qualité de l'intégration avec d'autres services web et avec le back-end. Ces tests sont généralement réalisés après les tests fonctionnels et après la confirmation de la fiabilité du système, juste avant le lancement du site web ou de l'application mobile. - Tests de pénétration
Le test de pénétration ou d’intrusion constitue une méthode d'évaluation de la sécurité d'un système d'information ou d'un réseau informatique. Cette méthode comprend dans un premier temps une phase de reconnaissance, à savoir généralement l'analyse de l'infrastructure d'un réseau informatique afin de simuler, dans une seconde phase d’exploitation, une attaque par un utilisateur malveillant ou un logiciel malveillant ou malware.
Les Entités financières qui emploient moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros. effectuent les tests visés ci-dessus en combinant une approche fondée sur les risques avec une planification stratégique des tests des TIC, en tenant dûment compte de la nécessité de maintenir une approche équilibrée. Elles tiennent compte, d’une part, de l’ampleur des ressources et du temps à consacrer aux tests des TIC visés ci-dessus et, d’autre part, de l’urgence, du type de risque, de la La criticité des actifs informationnels désigne l’importance et la sensibilité de l’information au sein d’une organisation, mesurée par l’impact potentiel de sa perte, compromission ou indisponibilité sur les opérations et la sécurité de l’entreprise. des Des actifs d’information ou d’ICT sont toute donnée, toute information ou tout système informatique ayant une valeur pour une organisation et nécessitant une protection adéquate. et des services fournis, ainsi que de tout autre facteur pertinent, y compris la capacité de l’entité financière à accepter des risques calculés.