Introduction : Pourquoi les dispositifs sont-ils cruciaux ?
Les dispositifs jouent un rôle central dans les infrastructures financières modernes. Qu’il s’agisse de terminaux de paiement, d’appareils connectés ou de dispositifs de sécurité, ils sont à la fois des facilitateurs de l’innovation et des points d’entrée critiques pour les menaces. Historiquement, ces dispositifs ont été abordés dans des cadres réglementaires spécifiques, mais souvent de manière sectorielle ou implicite.
Avec DORA, ces éléments deviennent explicitement une partie intégrante de la gestion des vulnérabilités, dans une logique globale de résilience opérationnelle numérique (RON).
Les dispositifs dans DORA : Définition et portée
Article 3, point 7 de DORA :
« Une vulnérabilité est une faiblesse dans les systèmes, réseaux, processus ou dispositifs, pouvant être exploitée pour compromettre la sécurité, la disponibilité ou l’intégrité. »
Focus sur les dispositifs :
Contrairement aux cadres précédents, DORA inclut explicitement les dispositifs dans sa définition des vulnérabilités. Cela couvre :
⦁ Les terminaux de paiement :
⦁ Exemple : Les appareils EMV utilisés pour les paiements sécurisés.
⦁ Importance : Ces dispositifs doivent être conformes à des normes comme PCI DSS et régulièrement mis à jour pour corriger les vulnérabilités.
⦁ Les infrastructures IoT financières :
⦁ Exemple : Caméras de surveillance connectées ou capteurs dans les agences bancaires.
⦁ Risque : Ces dispositifs sont souvent mal sécurisés, exposant les institutions à des attaques sur la chaîne d’approvisionnement.
⦁ Les équipements critiques du réseau et du cloud :
⦁ Routeurs, commutateurs, dispositifs de stockage dans le cloud.
⦁ Ces dispositifs sont essentiels pour la continuité des services financiers, mais également vulnérables aux cyberattaques.
⦁ Les dispositifs de sécurité physique :
⦁ Exemple : Systèmes biométriques pour l’accès aux centres de données.
⦁ Importance : La sécurité physique des infrastructures influence directement la résilience numérique.
⦁ Les dispositifs mobiles et endpoints :
⦁ Smartphones et ordinateurs utilisés par les employés.
⦁ Ces dispositifs sont souvent les premières cibles des attaques via phishing ou malwares.
Les dispositifs dans les réglementations précédentes
Bien que DORA innove dans son intégration explicite des dispositifs, ces derniers étaient déjà abordés dans des cadres sectoriels et généraux :
⦁ Directive PSD2 :
⦁ Les terminaux de paiement étaient soumis à des exigences strictes de sécurité, notamment en matière d’authentification forte des paiements (Article 97).
⦁ Normes associées : Conformité PCI DSS pour les dispositifs utilisés dans les transactions électroniques.
⦁ PCI DSS (Payment Card Industry Data Security Standard) :
⦁ Ce standard couvre spécifiquement les terminaux de paiement, imposant des mesures pour éviter les compromissions physiques et logicielles.
⦁ Exigences : Surveillance des malwares, mise à jour régulière des systèmes.
⦁ ENISA Threat Landscape Reports :
⦁ ENISA a souvent identifié les dispositifs IoT comme des cibles potentielles dans ses analyses de menaces.
⦁ Exemple : Les rapports soulignent l’importance des dispositifs connectés dans les infrastructures critiques.
⦁ NIS et NIS2 :
⦁ Ces directives incluent implicitement les dispositifs en tant qu’éléments des infrastructures critiques.
⦁ Focus : Les dispositifs de communication et de réseau.
⦁ ANSSI :
⦁ Dans son Guide d’hygiène informatique, l’ANSSI recommande des pratiques pour sécuriser les dispositifs critiques, notamment via des mises à jour régulières et le chiffrement.
Ce que DORA innove
⦁ Inclusion explicite des dispositifs :
⦁ DORA reconnaît les dispositifs comme une catégorie à part entière dans la gestion des vulnérabilités, ce qui permet une approche plus complète.
⦁ Unification des exigences :
⦁ Contrairement aux cadres sectoriels (ex. : PCI DSS, PSD2), DORA offre une vision consolidée où les dispositifs sont reliés directement aux risques TIC et aux perturbations potentielles.
⦁ Lien avec la résilience opérationnelle :
⦁ DORA connecte les vulnérabilités des dispositifs à la continuité des services, plaçant leur gestion au cœur de la stratégie de résilience numérique.
Conclusion
Les dispositifs sont au cœur de la sécurité et de la résilience numérique dans le secteur financier. Bien que déjà couverts par des cadres précédents comme PCI DSS, PSD2 ou ENISA, DORA innove en les intégrant explicitement dans une définition consolidée des vulnérabilités et en les positionnant comme des éléments critiques pour la continuité des services.
Cette approche assure une meilleure anticipation des risques et une réponse adaptée aux défis actuels, où les dispositifs jouent un rôle de plus en plus central dans les infrastructures financières.
Sources
⦁ DORA (2022) : ⦁ Texte officiel.
⦁ Directive PSD2 (2015) : ⦁ Lien officiel.
⦁ PCI DSS : ⦁ Documentation officielle.
⦁ ENISA Threat Landscape Reports : ⦁ Rapports ENISA.
⦁ Directive NIS2 (2022) : ⦁ Texte complet.
⦁ ANSSI : Guide d’hygiène informatique (2020) : Guide officiel.
- Conclusion : Pourquoi DORA innove ?
DORA élargit et modernise la notion de vulnérabilité pour :
⦁ Couvrir des aspects souvent négligés (dispositifs physiques, infrastructures IoT).
⦁ Relier directement les vulnérabilités aux services critiques des institutions financières.
⦁ Imposer des exigences obligatoires, rendant cette approche stratégique incontournable.
Cette approche permet au secteur financier d’être mieux préparé face à l’évolution rapide des menaces numériques, tout en complétant les cadres existants.