DORA et la gestion des risques cyber liés aux tiers : une approche structurée pour les entreprises
L’entrée en vigueur du Digital Operational Resilience Act (DORA) en janvier 2025 impose aux acteurs financiers européens de renforcer leur résilience numérique, notamment en maîtrisant les risques posés par leurs prestataires externes. Cette réglementation concerne en particulier les fournisseurs TIC.
Quelles sont les bonnes pratiques pour se conformer à DORA et réduire efficacement le risque cyber lié aux tiers ?
DORA et la gestion des prestataires : un cadre réglementaire structurant
La réglementation comporte 5 piliers :
- La gestion des risques
- La gestion des incidents
- La résilience opérationnelle numérique
- La gestion des risques liée aux tiers TIC
- Le partage d’informations et de renseignements
Chacun est un défi jouant un rôle clé dans la sécurité globale d’une organisation. Toutefois, comme l’a récemment souligné le Cybersecurity Outlook 2025 du Forum Économique Mondial, le risque lié à la supply chain est aujourd’hui le principal obstacle à la cyber-résilience pour plus de la moitié des grandes entreprises.
CyberVadis propose une approche innovante pour gérer ce risque, mais comment CyberVadis permet d’opérationnaliser la mise en place d’un programme de gestion du risque lié aux tiers en conformité avec DORA ?
Cinq étapes pour une gestion efficace des risques liés aux tiers
1. Identifier ses tiers dans le périmètre
Importer dans la plateforme l’ensemble des fournisseurs identifiés comme appartenant au périmètre de DORA
Distinguer ceux qui ont un impact direct sur les opérations critiques, sur la base de critères simples.
2. Établir un tiering de ses fournisseurs
L’estimation de l’exposition au risque de ses tiers est une étape cruciale pour développer un bon programme de gestion des risques; notamment car les différents tiers, selon leur niveau de risque et leur criticité, ne peuvent pas être gérés par la même approche.
De plus, pour pouvoir passer à l’échelle, il faut approcher la due diligence avec des méthodologies complémentaires. En effet, selon l'article 28, paragraphe 1, du règlement DORA, les entités financières doivent gérer le risque lié aux fournisseurs de services TIC en fonction de la "nature, de l'ampleur, de la complexité et de l'importance des dépendances liées aux TIC" ainsi que de la "criticité ou importance du service, du processus ou de la fonction concernés".
3. Évaluer les risques et mener des due diligences adaptées
Une fois les fournisseurs identifiés et classifiés, il faut évaluer leur niveau de maturité. L’objectif est de s’assurer un niveau de confiance suffisant quant à leur conformité avec les attentes réglementaires. Cela peut être effectué grâce à :
- L’analyse de certifications (ISO 27001, SOC 2…)
- La réalisation de screening de la surface d’attaque externe
- Des évaluations basées sur la revue de preuves
- Des audits sur site pour les tiers les plus critiques.
Aucune de ces approches ne fournit la même combinaison de fiabilité et de capacité à passer à l'échelle, c'est pourquoi elles doivent être appliquées au bon niveau. Ceci est aligné avec DORA qui insiste donc sur une approche proportionnée, combinant plusieurs méthodes en fonction du risque identifié.
4. Collaborer et piloter l’amélioration des pratiques
Une évaluation seule ne suffit pas : il faut engager les fournisseurs dans une démarche d’amélioration continue. Les bonnes pratiques incluent :
- La définition de règles de gestion du risque claires pour décider des actions à entreprendre après chaque évaluation.
- La mise en place de plans d’action correctifs, partagés avec les fournisseurs.
- La réévaluation régulière pour s’assurer de l’évolution des pratiques.
5. Assurer une gouvernance efficace et une boucle de rétroaction
Enfin, la gestion des risques cyber liés aux tiers ne concerne pas uniquement le département cybersécurité. En effet, d’autres acteurs, comme les achats, les équipes juridiques ou les métiers concernés, doivent être impliqués. Il est essentiel de :
- Partager les résultats des évaluations avec toutes les parties prenantes.
- Proposer une recommandation cyber claire sur la capacité à travailler avec chaque fournisseur
- Intégrer ces analyses dans les processus contractuels et de gestion des fournisseurs.
Vers une automatisation de la gestion des risques tiers
Face à la complexité croissante du paysage réglementaire, l’automatisation joue un rôle clé. La solution CyberVadis permet aux entreprises de :
- Centraliser les informations fournisseurs sur une plateforme unique
- Automatiser la collecte d’informations disponibles sur le web (certifications, analyses de posture cyber…) et aider au tiering des fournisseurs
- Déployer la stratégie de due diligence
- Industrialiser et déléguer les évaluations de maturité basés sur revue de preuves
- Mettre en place des évaluations en continu et assurer un suivi en temps réel des actions correctives.
Finalement, en structurant la gestion des risques liés aux tiers selon les exigences de DORA, les entreprises renforcent leur résilience numérique et assurent une meilleure maîtrise de leur écosystème. Grâce à l’automatisation, la combinaison d'approches d’évaluation et la délégation des évaluations à base de preuves, des solutions comme CyberVadis permettent d’optimiser la conformité et d’améliorer en continu la sécurité des tiers.