logo reglement dora.
Connexion

10.Section IX : Cybermenace et cybermenace importante (thématique 2)

3.1. Définition et contexte de la cybermenace


Nous allons définir les notions de cybermenaces et de cybermenaces importantes au sens de DORA, les relier aux concepts de risques liés aux TIC et perturbations liées aux TIC, et répondre à vos interrogations sur les menaces technologiques.

  1. Définitions des cybermenaces et cybermenaces importantes selon DORA
    A. Cybermenace
    DORA renvoie à la définition de cybermenace donnée dans le règlement (UE) 2019/881, également appelé Cybersecurity Act. Ce règlement établit le rôle de l’ENISA (Agence européenne pour la cybersécurité) et introduit un cadre pour la certification des produits TIC.
    «cybermenace»: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;
    Selon DORA (Article 3, point 12), une cybermenace est définie par renvoi au règlement (UE) 2019/881 comme :
    “Toute circonstance ou tout événement ayant le potentiel d’affecter, de perturber ou de compromettre des réseaux et des systèmes d’information, des services, des dispositifs ou des données.”

• Caractéristiques clés :
1. Une cybermenace est potentielle, pas encore matérialisée.
2. Elle peut être intentionnelle (exemple : phishing, ransomware) ou accidentelle (erreurs humaines exploitables).
3. Elle s’applique à une large gamme de cibles : réseaux, systèmes, dispositifs ou données.

B. Cybermenace importante


DORA introduit une distinction supplémentaire avec la notion de cybermenace importante (Article 3, point 13) :
“Une cybermenace dont les caractéristiques techniques indiquent qu’elle pourrait donner lieu à un incident majeur lié aux TIC ou à un incident opérationnel ou de sécurité majeur lié au paiement.”

⦁ Caractéristiques clés :
1. Une cybermenace importante est caractérisée par son potentiel à déclencher un incident majeur.
2. Elle a des caractéristiques techniques avancées, comme une propagation rapide (ex. WannaCry) ou un ciblage de systèmes critiques (ex. SolarWinds).

⦁ Comparaison avec d’autres cadres réglementaires :
• ENISA Threat Landscape Report identifie les cybermenaces comme des catégories générales (ransomware, phishing) sans distinction formelle entre « menaces importantes » et « menaces standards ».
• DORA, en introduisant la notion de menace importante, met l’accent sur les menaces ayant un impact systémique, pertinent pour les institutions financières.

  1. Lien avec les notions de risques et perturbations liés aux TIC

Chronologie logique :
1. Cybermenace → Risque lié aux TIC :
• Une cybermenace devient un risque lorsqu’elle est liée à une vulnérabilité identifiable dans un système ou un processus.
• Exemples :
• Une faille logicielle non corrigée devient un risque face à une menace de ransomware.
• Un manque de redondance devient un risque face à une menace de panne.
2. Risque lié aux TIC → Perturbation liée aux TIC :
• Une perturbation est la matérialisation du risque.
• Exemples :
• WannaCry a transformé la menace de ransomware en perturbation mondiale en exploitant une vulnérabilité logicielle (SMBv1).
• Une panne AWS a transformé un risque technologique latent (dépendance à un tiers) en une perturbation affectant des millions d’utilisateurs.

⦁ §
Les cybermenaces sont à l’origine des risques, qui eux-mêmes précèdent les perturbations. Cependant, toutes les cybermenaces ne se transforment pas en risques, et tous les risques ne se matérialisent pas en perturbations.

Pourquoi DORA n’aborde-t-il pas les menaces technologiques ?

Hypothèse 1 : Une approche centrée sur la cybersécurité.
DORA est principalement conçu pour répondre aux défis liés à la cybersécurité. Les menaces technologiques, telles que les pannes matérielles ou les erreurs humaines, bien que pertinentes, ne sont pas explicitement abordées car elles :
• Ne relèvent pas directement de la sécurité des systèmes d’information.
• Peuvent être considérées comme couvertes dans les notions plus larges de risques liés aux TIC et perturbations liées aux TIC.

Hypothèse 2 : Une complémentarité avec d’autres cadres.
• Les menaces technologiques sont souvent abordées dans des cadres spécifiques, comme les ESA Guidelines, qui incluent les risques opérationnels et technologiques.
• DORA s’appuie sur ces cadres existants pour compléter sa portée, en se concentrant sur les risques et menaces liés aux attaques cyber.

Hypothèse 3 : Une inclusion implicite.
• Les menaces technologiques sont implicites dans les définitions de circonstances raisonnablement identifiables (article 3, point 5). Par exemple :
• Une erreur humaine ou un bug logiciel peut être interprété comme une menace technologique ayant un potentiel de perturbation.

Synthèse : Menaces, risques et perturbations dans DORA
1. Cybermenaces :
• Représentent la première étape de la chaîne, avec un potentiel de préjudice.
• Incluent des intentions malveillantes (ransomware, phishing) ou des opportunités accidentelles (exploitation d’une faille).
2. Risque lié aux TIC :
• Découle de la combinaison d’une menace et d’une vulnérabilité identifiable.
• Devient concret lorsqu’un acteur malveillant ou un événement exploitent une faiblesse.
3. Perturbation liée aux TIC :
• Résulte de la matérialisation du risque.
• Entraîne des impacts significatifs sur les systèmes, réseaux ou données.

Pourquoi DORA n’aborde pas explicitement les menaces technologiques ?
• DORA se concentre sur les cybermenaces car elles représentent une priorité systémique pour le secteur financier.
• Les menaces technologiques sont implicitement couvertes dans les définitions plus larges des risques TIC.

LES CYBER MENACES

Définition de la cybermenace (Article 2, point 8, règlement 2019/881) :
« Toute circonstance ou tout événement ayant le potentiel d’affecter, de perturber ou de compromettre des réseaux et des systèmes d’information, des services, des dispositifs ou des données. »
Contexte :
⦁ Une cybermenace représente une source de danger, intentionnelle ou accidentelle, qui peut conduire à des risques TIC ou des perturbations.

⦁ Elle inclut des actions ou intentions malveillantes (ex. : piratage, phishing) mais aussi des facteurs externes comme les catastrophes naturelles ou les erreurs humaines.

Clarification avec SMBv1 et EternalBlue :
• SMBv1 est une vulnérabilité, une faiblesse technique présente dans les systèmes Windows.
• EternalBlue est un outil conçu pour exploiter cette vulnérabilité.
• La cybermenace, dans ce cas, était l’intention malveillante des acteurs exploitant SMBv1 et EternalBlue pour propager des attaques, comme le ransomware WannaCry.

2.2. Pourquoi DORA renvoie-t-il au règlement 2019/881 ?

Le renvoi au règlement 2019/881 (Cybersecurity Act) s’explique par :
1. Harmonisation des concepts : Fournir une base commune pour la compréhension des cybermenaces dans toute l’UE.
2. Lien avec l’ENISA : Exploiter les rapports et expertises de l’ENISA sur les menaces émergentes.
3. Adaptabilité sectorielle : Appliquer des concepts généraux (cybermenaces) à des secteurs spécifiques comme la finance.

2.3. DORA définit-elle la notion de “menace” ?

Non, DORA ne définit pas explicitement le terme “menace”. Il se base sur la définition fournie par le règlement 2019/881 pour le terme cybermenace. Cependant, DORA introduit une notion spécifique : la cybermenace importante.

2.4. Cybermenace importante selon DORA (Article 3, point 13)

DORA qualifie une cybermenace importantecomme une menace dont les caractéristiques techniques montrent un potentiel élevé pour :
1. Provoquer un incident majeur lié aux TIC, ou
2. Entraîner un incident de sécurité majeur, comme une interruption des paiements ou un vol massif de données.

13) «cybermenace importante»: une cybermenace dont les caractéristiques techniques indiquent qu’elle pourrait donner lieu à un incident majeur lié aux TIC ou à un incident opérationnel ou de sécurité majeur lié au paiement;

Exemple potentiel :
Un malware sophistiqué conçu pour exploiter une vulnérabilité non corrigée pourrait être qualifié de cybermenace importante, s’il est capable de provoquer des perturbations massives.

2.5. Exemples et documents de référence sur les cybermenaces

Pour comprendre les cybermenaces et cybermenaces importantes, il est utile de se référer à des rapports clés tels que :
1. ENISA Threat Landscape Report (2022) :
Catégorise les cybermenaces majeures pour les systèmes critiques :
• Phishing : Tactique d’ingénierie sociale visant à obtenir des informations sensibles.
• Ransomware : Menace croissante ciblant les infrastructures critiques.
• Exploitation de vulnérabilités : Inclut les failles comme SMBv1, exploitées par WannaCry.
• Menaces émergentes : Exploitation de l’IoT, cryptomonnaies, ou nouvelles technologies.
2. FSB Cyber Resilience Guidance (2018) :
Focalisé sur les cybermenaces spécifiques au secteur financier.

2.6. Clarification avec WannaCry

Pour bien distinguer les concepts :
1. Cybermenace : L’intention malveillante des acteurs exploitant la vulnérabilité SMBv1 et l’outil EternalBlue pour lancer des attaques massives.
2. Cyberattaque : WannaCry est l’incident lié aux TIC qui a utilisé ces outils pour chiffrer des données et paralyser des systèmes.
3. Perturbation : Les systèmes paralysés et les données chiffrées constituent les impacts concrets de cette cyberattaque.

Synthèse : Pourquoi cette distinction est-elle essentielle ?
1. Pour la gestion proactive :
• Identifier les cybermenaces avant qu’elles ne se transforment en cyberattaques ou en perturbations.
• Exemple : Corriger les vulnérabilités (comme SMBv1) pour empêcher leur exploitation par des acteurs malveillants.
2. Pour une réponse efficace :
• Lorsqu’une cyberattaque se produit, il est essentiel d’agir rapidement pour limiter l’impact des perturbations.
3. Pour harmoniser les cadres :
• DORA s’appuie sur le règlement 2019/881 pour garantir une compréhension cohérente des cybermenaces dans toute l’Union européenne.

logo reglement dora.
Maîtrisez la résilience numérique : Un guide immersif pour comprendre DORA
Facebook-f Instagram Twitter Linkedin-in
Services
Support
Newsletter

Aboonez-vous à notre newsletter pour être informé de nos nouvelles

Copyright © 2024 Fincco, All rights reserved. Powered by MoxCreative.
Retour en haut