Quelles sont les implications techniques de la nouvelle norme DORA ?
Cet article analyse les aspects techniques de l’obligation de redondance introduite par la réglementation DORA pour les entités financières. Il souligne que la simple mise en place d’une “infra à haute disponibilité” ne suffit pas à satisfaire cette exigence, qui implique la mise en place de plusieurs systèmes indépendants assurant les mêmes fonctions critiques. L’article examine également les liens avec les normes de sécurité existantes comme l’ISO 27001.
Points clés
- DORA impose aux entités financières de “garantir de manière appropriée la redondance des composantes critiques” de leur système d’information
- Cette obligation vise à assurer la “fourniture en continu des services financiers” et la “disponibilité des données”
- La redondance doit concerner les “actifs de TIC supportant des fonctions critiques ou importantes”
- Cela implique de disposer d’une infrastructure IT “principale” et d’une infrastructure “redondante”
- Le simple fait d’avoir une “infra à haute disponibilité” ne suffit pas à satisfaire cette exigence de redondance
- La norme ISO 27001 aborde également la question de la redondance des moyens de traitement de l’information
À retenir
Avec l’arrivée de DORA, les entités financières doivent revoir en profondeur leur architecture IT pour garantir une véritable redondance de leurs fonctions critiques. Fini le “high availability” de façade, il faut désormais mettre en place des systèmes indépendants et parallèles pour assurer la continuité opérationnelle. Autant dire que cela va demander des investissements conséquents, mais bon, c’est le prix à payer pour éviter de se retrouver dans le noir en cas de pépin ! Vivement les prochaines normes qui vont nous obliger à nous équiper de générateurs nucléaires de secours…
Sources
