DORA et la nouvelle norme en matière de conformité des données financières

Le secteur financier a toujours évolué sous des exigences réglementaires strictes, mais le Digital Operational Resilience Act (DORA) ouvre un nouveau chapitre. DORA exige que les organisations prouvent qu’elles peuvent résister aux perturbations des technologies de l’information et de la communication (TIC) et se rétablir rapidement. Le texte accroît la pression sur la manière dont les entreprises financières protègent leurs données et valident leurs systèmes, en relevant le niveau d’exigence sur la façon dont les données de sauvegarde sont stockées. 

Pourquoi DORA est plus pertinent que jamais 

Le dernier rapport Threat Landscape de l’ENISA (l’agence de cybersécurité de l’UE) confirme que les rançongiciels continuent de s’intensifier dans l’UE, portés par les modèles de ransomware-as-a-service et l’exploitation rapide des vulnérabilités. Cela en fait la catégorie d’incident cyber la plus dommageable sur le plan économique — et l’impact ne se limite pas à des pannes isolées ou à des entreprises aux défenses de sécurité faibles. Un seul système compromis peut affecter négativement les clients, les marchés et les fournisseurs qui y sont connectés. L’objectif de DORA est de faire de la résilience une exigence sectorielle. 

Pour de nombreuses organisations, cela signifie réévaluer des hypothèses de longue date sur leur capacité à se remettre d’une attaque. Cela implique aussi de reconnaître que la conformité des données financières ne se limite plus à prévenir les violations, et qu’elle inclut la démonstration que les données de sauvegarde restent intactes et restaurables après une compromission. 

DORA - transformer la manière dont les organisations opèrent 

DORA élève le risque TIC au rang de responsabilité de gouvernance. Les conseils d’administration et les équipes dirigeantes doivent comprendre comment leurs systèmes se comportent lors d’une perturbation et ce qu’il faut pour rétablir les opérations. La réglementation oblige également les organisations à examiner de près les systèmes dont elles dépendent au quotidien. Les environnements Sauvegarde, les relations avec les fournisseurs et les processus de reprise deviennent désormais centraux pour satisfaire aux réglementations sectorielles liées à la conformité des données financières. 

Le véritable défi : prouver la résilience, pas la déclarer 

De nombreuses organisations disposent de politiques solides sur le papier, mais insuffisantes lorsqu’elles sont mises à l’épreuve. DORA met en évidence cet écart. Il exige des preuves que les systèmes peuvent être restaurés sans difficulté, que les données sont protégées contre toute altération et que les processus de reprise fonctionnent pendant une attaque. 

C’est là que l’architecture de sauvegarde joue un rôle de premier plan. Si les données de reprise sont compromises ou si la restauration est retardée, la résilience - et, par conséquent, la conformité des données financières - en pâtissent inévitablement. 

Là où la plupart des organisations ne sont toujours pas prêtes 

Même des équipes bien dotées négligent souvent les domaines qui comptent le plus lors d’un incident : 

• Segmentation incomplète : les réseaux doivent être segmentés pour contenir les compromissions, y compris une séparation logique des logiciels de sauvegarde et du stockage capable de résister à un attaquant ayant obtenu des identifiants d’administrateur 
• Processus de reprise non testés : des procédures qui n’ont pas été validées de bout en bout, depuis les tests d’intrusion externes jusqu’à la reprise complète  
• Visibilité limitée : incertitude sur la manière dont les données sont stockées, protégées et restaurées, ainsi qu’un manque de documentation 

 Se concentrer sur ces domaines aidera les organisations à construire la résilience nécessaire à la conformité DORA, même en situation d’attaque. 

Comment Object First peut aider 

DORA indique clairement que la résilience opérationnelle dépend de la capacité à restaurer de manière sécurisée les systèmes et les données TIC sans perte d’intégrité ni corruption. Si les organisations ne peuvent pas récupérer des données propres et non compromises, elles ne peuvent pas assurer la continuité des services critiques. 

C’est là qu’intervient le stockage de sauvegarde Object First. L’immutabilité absolue Immuabilité garantit que les données de sauvegarde ne peuvent être ni modifiées ni supprimées par quiconque, éliminant le risque d’altération même dans le scénario le plus défavorable où tous les identifiants sont compromis. Elle offre aux organisations une dernière ligne de défense fiable et soutient le niveau d’assurance que les régulateurs attendent désormais. 

Pour en savoir plus sur la manière dont des sauvegardes absolument immuables peuvent garantir la résilience opérationnelle et, par extension, la conformité réglementaire, téléchargez notre guide sur le Digital Operational Resilience Act (DORA).