search_api_autocomplete
Accueil

Tests de résilience opérationnelle numérique

Les tests de Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. servent à évaluer la capacité d'une organisation à maintenir ses opérations et à recouvrer rapidement ses capacités en cas de perturbation majeure, comme une cyberattaque, une panne de système ou une catastrophe naturelle.

Ils permettent de mettre en lumière les vulnérabilités dans les systèmes, les procédures et les protocoles de réponse, afin de les corriger et de renforcer la résilience de l'organisation face aux incidents numériques et Circonstance, tout événement ou toute action potentiels susceptibles de nuire ou de porter autrement atteinte aux réseaux et systèmes d’information, aux utilisateurs de tels systèmes et à d’autres personnes, ou encore de provoquer des interruptions de ces réseaux et systèmes
. Les tests de Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. doivent toujours être menés, en tenant compte du principe de Le principe de proportionnalité contenu dans le règlement DORA permet à une entité financière d’adopter une approche pragmatique adaptée à la taille et à l’ampleur de ses opérations, étant entendu que l’application de ce principe ne saurait avoir pour effet d'exempter l’entité concernée d’appliquer l’ensemble du règlement. .

Certaines exigences concernant ces tests sont approfondies par les autorités européennes de supervision dans des normes réglementaires et des normes techniques d'exécution (Regulatory Technical Standards (RTS) et Implementing Technical Standards (ITS)).
 

Qualification de microentreprise

Un grand nombre des dispositions relatives aux tests de Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. ne s’appliquent pas aux Entités financières qui emploient moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros.  . Il est donc indiqué de vérifier au préalable si une entité peut être qualifiée de microentreprise , auquel cas elle bénéficiera d’un certain nombre d’exemptions.

Vous trouverez davantage d’information sur les tests de Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. dans les questions ci-dessous.

  • 1. Quelles sont les exigences générales applicables à la réalisation de tests de résilience opérationnelle numérique par les entités financières (autres que les microentreprises) ?

    Afin d’évaluer leur état de préparation en vue du traitement d’incidents liés aux TIC, de recenser les faiblesses, les défaillances et les lacunes en matière de Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. et de mettre rapidement en œuvre des mesures correctives, les entités financières établissent, maintiennent et réexaminent, en tenant compte du principe de Le principe de proportionnalité contenu dans le règlement DORA permet à une entité financière d’adopter une approche pragmatique adaptée à la taille et à l’ampleur de ses opérations, étant entendu que l’application de ce principe ne saurait avoir pour effet d'exempter l’entité concernée d’appliquer l’ensemble du règlement. , un programme solide et complet de tests de Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. , qui fait partie intégrante du cadre de gestion du risque lié aux TIC.

    Le programme de tests de Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. comprend une série d’évaluations, de tests, de méthodologies, de pratiques et d’outils à appliquer.

    Lorsqu’elles exécutent le programme de tests de Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. , les entités financières adoptent une approche fondée sur le risque tenant compte du principe de Le principe de proportionnalité contenu dans le règlement DORA permet à une entité financière d’adopter une approche pragmatique adaptée à la taille et à l’ampleur de ses opérations, étant entendu que l’application de ce principe ne saurait avoir pour effet d'exempter l’entité concernée d’appliquer l’ensemble du règlement. , en prenant dûment en considération l’évolution du risque lié aux TIC, tout risque spécifique auquel l’entité financière concernée est ou pourrait être exposée, la La criticité des actifs informationnels désigne l’importance et la sensibilité de l’information au sein d’une organisation, mesurée par l’impact potentiel de sa perte, compromission ou indisponibilité sur les opérations et la sécurité de l’entreprise. des actifs informationnels et des services fournis, ainsi que tout autre facteur que l’entité financière juge approprié.

    Les entités financières veillent à ce que les tests soient effectués par des parties indépendantes internes ou externes. Lorsque les tests sont effectués par un testeur interne, les entités financières leur accordent des ressources suffisantes et veillent à éviter les conflits d’intérêts pendant les phases de conception et d’exécution du test. Les entités financières définissent des procédures et des stratégies destinées à hiérarchiser, classer et résoudre tous les problèmes mis en évidence au cours des tests. Elles élaborent des méthodes de validation interne pour veiller à ce que toutes les faiblesses, défaillances ou lacunes recensées soient entièrement corrigées.

    Les entités financières veillent à soumettre, au moins une fois par an, tous les systèmes et applications de TIC qui soutiennent des Une fonction critique ou importante est une opération ou un service essentiel au fonctionnement continu et sécurisé d’une organisation, dont l’interruption est susceptible de causer des perturbations significatives ou des pertes importantes. à des tests appropriés.

    Le rapport établi à la suite d’un test de résilience doit :

    • répertorier de manière hiérarchique les vulnérabilités ;
    • les classer en fonction de leur niveau de menace ;
    • les décrire de manière exhaustive ;
    • inclure une description détaillée ainsi qu'une piste d'audit, ou audit trail, de toutes les activités menées lors du test et de leurs résultats. Ceci permettra au personnel informatique de tester à nouveau des vulnérabilités spécifiques après la mise en œuvre d'une mesure corrective.

    Pour chaque vulnérabilité constatée, il est nécessaire :

    • d’établir un plan d'action, avec un niveau de priorité attribué ;
    • de désigner une personne pour y remédier ;
    • de déterminer une date d'échéance ;
    • d’ouvrir un ticket informatique afin de faciliter le suivi de la progression et de l'achèvement de chaque tâche. L'objectif est d'éviter la récurrence des mêmes vulnérabilités au cours de tests successifs.

    Après avoir corrigé les éventuelles faiblesses, l'entité financière doit utiliser des méthodes de validation interne pour s'assurer que les correctifs apportés ont effectivement résolu les vulnérabilités. Elle doit reproduire le scénario ayant révélé la vulnérabilité afin de garantir l'efficacité de la correction apportée.

  • 2. Quels tests doivent effectuer les entités financières en matière de risques liés aux services TIC?

    Le programme de tests de Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. prévoit, conformément principe de Le principe de proportionnalité contenu dans le règlement DORA permet à une entité financière d’adopter une approche pragmatique adaptée à la taille et à l’ampleur de ses opérations, étant entendu que l’application de ce principe ne saurait avoir pour effet d'exempter l’entité concernée d’appliquer l’ensemble du règlement. , l’exécution de tests appropriés, tels que des :

    • Évaluations et des analyses de vulnérabilité (vulnerability assessments and scans)
      L'évaluation de vulnérabilité permet aux organisations d'analyser leurs systèmes en quête de faiblesses potentielles en matière de sécurité. Cette démarche englobe un processus d'analyse des vulnérabilités visant à déterminer si l'organisation est exposée à des vulnérabilités connues. Elle attribue un niveau de gravité à ces vulnérabilités et émet des recommandations quant à la nécessité d'atténuer ou de corriger une menace identifiée.
    • Analyses des open-sources
      L’entité doit établir et maintenir un catalogue des librairies et application open-source utilisées. Ce catalogue sera utilisé pour identifier les vulnérabilités connues affectant ses composantes. Cette exercice doit être mené régulièrement et ce, à mesure que des nouvelles vulnérabilités sont découvertes et publiées.
    • Évaluations de la sécurité des réseaux (network security assessments)
      Les tests de sécurité du réseau sont déployés pour garantir le bon fonctionnement de toutes les mesures de sécurité mises en place. Ces tests sont généralement réalisés lors des phases de mise en œuvre et d'exploitation, une fois que le système a été développé, installé et intégré.
    • Gap analyses
      L'analyse des écarts (gap analysis) offre aux entités une perspective sur la meilleure manière d'atteindre leurs objectifs. Cette analyse compare l'état actuel avec un état idéal ou des objectifs, mettant en évidence les lacunes et les opportunités d'amélioration.
    • Examens de la sécurité physique
      La sécurité physique constitue une composante essentielle de la gestion d'une entité financière et implique la mise en place de mesures de sécurité telles que l'installation de serrures, de caméras, ainsi que la définition de processus et procédures de gestion d'accès au bâtiment et de surveillance interne. L'évaluation de la sécurité physique permet de déterminer le niveau de protection du bâtiment et de ses occupants contre diverses menaces telles que le vandalisme, le vol, l'espionnage, ou le terrorisme.
    • Questionnaires et des solutions logicielles de balayage (scanning software solutions)
      L'objectif du balayage du réseau est de découvrir les adresses IP et les ports ouverts sur les hôtes actifs, les systèmes d'exploitation utilisés, ainsi que l'architecture du système cible. Cette technique permet également de repérer les services actifs du réseau et de mettre en évidence les vulnérabilités potentielles.
    • Examens du code source lorsque cela est possible (Source code review
      La revue de code source (source code review) désigne l'examen systématique du code source d'un logiciel. Ce processus vise à repérer les bugs ou les vulnérabilités potentielles, voire à corriger les erreurs de conception afin d'améliorer la qualité, la maintenabilité et la sécurité du logiciel.
    • Tests fondés sur des scénarios
      Les tests fondés sur des scénarios représentent une forme spécialisée d'évaluation proactive de la sécurité. Contrairement aux tests de pénétration traditionnels qui cherchent à découvrir des vulnérabilités, les tests basés sur des scénarios évaluent les performances des contrôles de cybersécurité face à des tactiques et des comportements hostiles spécifiques.
    • Tests de compatibilité
      Le test de compatibilité vise à s'assurer qu'une application logicielle fonctionne correctement avec les autres applications, les différents navigateurs, bases de données, systèmes d'exploitation, appareils mobiles, réseaux, et matériels.
    • Tests de performance (performance testing)
      Le test de performance évalue les performances d'un système informatique, notamment en mesurant les temps de réponse en fonction de la sollicitation. Les informations recueillies concernent les temps de réponse utilisateurs, les temps de réponse réseau et les temps de traitement d'une requête sur le ou les serveurs.
    • Tests end-to-end (end-to-end tests)
      Les tests de bout en bout ou end-to-end sont une technique permettant de déterminer si une application (application mobile, site Internet, etc.) se comporte conformément aux attentes de l'utilisateur, du début à la fin. Le testeur se met dans la peau de l'utilisateur, effectuant les tests comme s'il utilisait réellement l'outil disponible. Cette technique vérifie la fonctionnalité du front-end et confirme la qualité de l'intégration avec d'autres services web et avec le back-end. Ces tests sont généralement réalisés après les tests fonctionnels et après la confirmation de la fiabilité du système, juste avant le lancement du site web ou de l'application mobile.
    • Tests de pénétration
      Le test de pénétration ou d’intrusion constitue une méthode d'évaluation de la sécurité d'un système d'information ou d'un réseau informatique. Cette méthode comprend dans un premier temps une phase de reconnaissance, à savoir généralement l'analyse de l'infrastructure d'un réseau informatique afin de simuler, dans une seconde phase d’exploitation, une attaque par un utilisateur malveillant ou un logiciel malveillant ou malware.

    Les Entités financières qui emploient moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros. effectuent les tests visés ci-dessus en combinant une approche fondée sur les risques avec une planification stratégique des tests des TIC, en tenant dûment compte de la nécessité de maintenir une approche équilibrée. Elles tiennent compte, d’une part, de l’ampleur des ressources et du temps à consacrer aux tests des TIC visés ci-dessus et, d’autre part, de l’urgence, du type de risque, de la La criticité des actifs informationnels désigne l’importance et la sensibilité de l’information au sein d’une organisation, mesurée par l’impact potentiel de sa perte, compromission ou indisponibilité sur les opérations et la sécurité de l’entreprise. des Des actifs d’information ou d’ICT sont toute donnée, toute information ou tout système informatique ayant une valeur pour une organisation et nécessitant une protection adéquate. et des services fournis, ainsi que de tout autre facteur pertinent, y compris la capacité de l’entité financière à accepter des risques calculés.

  • 3. Quelles entités doivent mettre en œuvre des tests de pénétration avancés fondés sur la menace (threat-led penetration tests) ?

    DORA oblige certaines entités à mettre en œuvre des tests de pénétration avancés fondés sur la menace (threat-led penetration tests). Cette obligation ne s’appliquera qu’à des entités financières sélectionnées sur la base d’une appréciation des éléments suivants:

    1. les facteurs d’incidence, en particulier la mesure dans laquelle les services fournis et les activités entreprises par l’entité financière affectent le secteur financier ;
    2. les éventuels problèmes de stabilité financière, y compris le caractère systémique de l’entité financière au niveau de l’Union ou au niveau national, le cas échéant ;
    3. le profil du risque lié aux TIC spécifique, le niveau de maturité des TIC de l’entité financière ou les caractéristiques technologiques concernées.

    Par ailleurs, les petites entreprises d’investissement non-interconnectées, les Une institution de retraite professionnelle qui gère des régimes de retraite qui, ensemble, comptent moins de cent affiliés au total. et les Entités financières qui emploient moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros. ne sont pas concernées par l’obligation de mettre en œuvre des tests de pénétration avancés fondés sur la menace.

    Ce régime n’est pas abordé en détails dans la présente documentation.