La dernière réglementation de l’Union européenne (UE) en matière de cybersécurité, le Digital Operational Resilience Act (DORA), n’a pas seulement un impact sur le secteur des services financiers sur le territoire, mais aussi sur les fournisseurs de services TIC avec lesquels ils travaillent. Microsoft figure en tête de liste. Si vous vous demandez comment votre entreprise ou votre infrastructure informatique pourra bénéficier d’un soutien en utilisant Microsoft pour être conforme DORA, voici un aperçu.
Solutions Microsoft pour la conformité DORA
Microsoft dispose d’un portefeuille diversifié qui s’adresse au secteur financier, notamment Microsoft Cloud pour les services financiers, Microsoft 365, Microsoft Azure, et bien d’autres encore. Des protocoles TIC solides sont donc déjà en place et Microsoft est l’une des premières entreprises à se préparer à la conformité DORA. Dans le cadre de cette réglementation, Microsoft vise à :
- aider les clients à respecter leurs engagements contractuels ;
- gérer les risques liés aux TIC et établir un cadre de gouvernance et de contrôle interne ; et
- renforcer les services de gestion, de classification et de signalement des incidents.
Par exemple, Microsoft Defender for Cloud et Azure Security Center peuvent fournir aux clients une détection et une réponse continues aux menaces. À côte de ça, Microsoft Purview peut mettre en place des tests de résilience et un partage d’informations sur les incidents afin de se conformer aux nouvelles réglementations.
Ces intégrations sont toutes bénéfiques, mais comment s’intègrent-elles dans le cadre strict de la réglementation DORA ? Dans cette optique, examinons comment certaines de ces applications fonctionnent avec les cinq piliers de la réglementation DORA.
Gestion des risques liés aux TIC
L’aspect le plus critique de la conformité DORA est la gestion des risques liés aux TIC, et Microsoft place Advanced Threat Protection (ATP) et Microsoft Sentinel au premier plan de la détection et de la réponse proactives aux menaces.
Les opérateurs informatiques peuvent compter sur ATP pour une protection en temps réel contre les cyberattaques. Il utilise des algorithmes d’analyse et d’apprentissage automatique basé sur l’IA pour analyser les e-mails, les pièces jointes et les liens avant que l’utilisateur ne puisse agir. Il utilise également l’exécution en bac à sable pour isoler les menaces dans un environnement sécurisé. En revanche, Microsoft Sentinel peut identifier les vulnérabilités et fournir des informations et des analyses exploitables en matière de sécurité.
Pour la conformité DORA, Microsoft propose d’intégrer la suite Defender de Microsoft 365 E5 et Microsoft Sentinel dans le cadre de gestion des risques liés aux TIC.
Signalement et gestion des incidents
Microsoft Defender et Compliance Center sont les deux principales solutions proposées par Microsoft pour détecter et signaler rapidement les incidents liés aux TIC. Le premier fait partie intégrante de la détection précoce des menaces de sécurité, tandis que le Centre de conformité présente un tableau de bord centralisé pour la surveillance et l’établissement de rapports.
Ces composants permettent aux entités réglementées de disposer d’un système complet de déclaration et de gestion des incidents qui répond aux nouvelles normes imposées par DORA. Les deux intégrations logicielles améliorent également l’efficacité grâce à des flux de travail automatisés permettant d’évaluer, de documenter et de signaler les incidents rapidement et avec précision.
Les entreprises peuvent également tirer parti de la solution de gestion des informations et des événements de sécurité (SIEM) de Microsoft, Sentinel, et de ses protocoles d’analyse et de détection basés sur l’IA pour renforcer les politiques de sécurité.
Test de résilience
La résilience opérationnelle est l’objectif global que DORA vise à atteindre au sein de l’UE. Pour y parvenir, les clients peuvent utiliser Azure Security Center pour mettre à jour les évaluations de sécurité et les tests de résilience dans leurs rangs.
Azure peut consolider les dernières connaissances en matière de sécurité afin de faciliter et de maintenir des environnements de test actualisés conformes aux dispositions DORA en matière de cyber-résilience. Pour rappel, les institutions financières partageront également la responsabilité de s’assurer que les fournisseurs de services tiers sont à jour dans leur formation.
Les architectures de référence de Microsoft en matière de cybersécurité (MCRA) peuvent vous aider à en savoir plus sur l’intégration des capacités et des technologies de Microsoft en matière de cybersécurité dans votre cadre de gestion des risques.
Gestion des risques liés aux tiers
En matière de gouvernance et de conformité, Microsoft Purview est l’un des meilleurs de sa catégorie.
Il excelle également dans la gestion de services tiers en permettant aux entreprises une visibilité complète de leur structure de données, y compris la surveillance des données détenues et traitées par les fournisseurs. Microsoft Purview propose ainsi des capacités de gestion unifiée des données qui peuvent aider les institutions réglementées à se conformer rapidement aux réglementations.
Le gestionnaire de conformité Microsoft Purview peut également vous aider à évaluer et à gérer la conformité dans votre environnement multicloud. Par exemple, vous pouvez créer des évaluations préétablies pour répondre à vos besoins spécifiques, ainsi qu’aux normes industrielles et régionales communes.
Partage de l’information et gouvernance
Outre sa suite d’outils de productivité et de communication, Microsoft 365 répond déjà à de nombreux protocoles liés aux TIC, notamment avec le Centre de conformité Microsoft 365. De la prévention des pertes de données (DLP) à l’audit automatisé, le Centre de conformité peut fournir aux administrateurs informatiques des outils de gestion robustes pour contrôler les actifs et gérer la conformité. Microsoft propose également aux actionnaires plusieurs moyens de communication sécurisés.
Bonnes pratiques pour utiliser Microsoft pour être conforme DORA
Automatisation de l’évaluation des risques et des contrôles de sécurité
Il existe de nombreuses raisons d’automatiser les processus d’entreprise autres que la réduction des erreurs humaines. L’automatisation informatique peut permettre aux entreprises de redistribuer les actifs plus efficacement, de normaliser le flux de travail et d’améliorer les contrôles de sécurité. Par exemple,
Azure RBAC (Role-Based Access Control) peut être utilisé pour affiner l’accès à vos actifs, ce qui permet d’assurer la conformité au niveau de l’utilisateur et de renforcer l’efficacité de l’entreprise.
Tests de sécurité et exercices de résilience réguliers
Plusieurs articles de la réglementation DORA mettent l’accent sur la formation et la sensibilisation. Plus important encore, le document maintient la responsabilité des entreprise financières dans la formation de leur personnel et de leurs fournisseurs conformément aux règlements de l’UE. La bonne nouvelle, c’est que les investissements dans la formation sont toujours rentables, presque immédiatement et à long terme.
Établir un cadre de conformité avec les outils Microsoft
Un cadre de conformité est essentiel pour mettre en place une solution de gestion des risques complète et efficace. Une approche structurée et une description claire des politiques et des actifs peuvent aider votre entreprise à s’adapter plus rapidement à l’évolution de la réglementation et à combler de manière proactive les lacunes du système.
FAQ sur Microsoft et sur la conformité DORA
1. Les services Microsoft peuvent-ils garantir la conformité DORA ?
À eux seuls, les outils de Microsoft ne peuvent pas garantir une conformité totale. Tout d’abord, le logiciel doit être accompagné d’une implémentation ou d’une intégration adéquate. D’autre part, d’autres logiciels tiers peuvent encore fournir un cadre ou une solution mieux adaptés aux besoins particuliers d’une entreprise.
De plus, la conformité DORA exige un processus de surveillance et d’examen des risques par un tiers. Elle encourage également les entreprises à diversifier leur infrastructure informatique au lieu de consolider les processus essentiels sous une seule bannière. Les institutions financières doivent donc se préparer à faire appel à d’autres fournisseurs afin de respecter les dispositions de la réglementation DORA.
2. Quelles sont les principales différences entre DORA et les autres réglementations en matière de cybersécurité ?
DORA concerne principalement la résilience opérationnelle numérique. Ses dispositions visent à garantir que les institutions financières de l’UE disposent de capacités et de stratégies leur permettant de faire face à des perturbations informatiques importantes et de s’en remettre.
D’autre part, le règlement général sur la protection des données (RGPD) se concentre davantage sur la protection de la vie privée et la sécurité des données, tandis que la norme NIS2 apporte des lignes directrices plus larges à diverses industries essentielles. La norme ISO 27001, pour sa part, introduit principalement des normes pour les systèmes de gestion de la sécurité de l’information (SGSI).
3. Comment les institutions financières de petite et moyenne taille peuvent-elles tirer parti des outils Microsoft de manière rentable ?
Les petites et moyennes entités financières peuvent commencer avec Microsoft 365 ou Microsoft Azure comme intégrations principales pour la conformité réglementaire. De nombreuses entreprises disposent déjà d’une licence pour au moins l’un de ces logiciels, et celles qui n’en ont pas trouveront dans ces suites une grande valeur ajoutée, au-delà des exigences de conformité.
Les PME peuvent donner la priorité aux paquets essentiels ou aux solutions groupées qui comblent les lacunes actuelles en matière de conformité. L’entreprise peut reculer l’adoption de solutions avancées et plus coûteuses jusqu’à ce qu’elle soit prête à passer à l’échelle supérieure.
Élaborer une stratégie efficace pour se conformer à la réglementation DORA
Les outils et services Microsoft peuvent constituer une base solide pour la conformité DORA. Cependant, la diversification de votre infrastructure informatique peut également présenter des avantages cruciaux. Certains processus, tels que le reporting et la documentation automatisés, peuvent être optimisés grâce à des solutions intégrées proposées par d’autres spécialistes. L’important est que tout ce que vous ajoutez complète vos applications Microsoft et renforce votre alignement sur les dispositions DORA.