À six mois de l'échéance en janvier 2025, les équipes de cybersécurité se mettent en ordre de marche pour se mettre en conformité vis-à-vis du règlement européen Dora. Les sanctions des autorités compétentes peuvent aller jusqu’à
1 % du chiffre d’affaire et à des astreintes pour les prestataires critiques.


Les pirates numériques s’attaquent là où est l’argent : grandes banques et autres institutions financières qui sont, sans surprises, leurs cibles privilégiées. L’Union européenne, jamais en reste sur l’aspect règlementaire, a édicté le Dora (Digital Operational Resilience Act) pour renforcer la résilience du secteur financier. En vigueur depuis janvier 2023, il impose aux entités financières de l’UE de vérifier qu’elles peuvent résister, répondre et recouvrer toutes leurs capacités face à toute perturbation
numérique grave.

Chaque État membre de l’UE étant libre de promulguer ses propres sanctions en cas de non-conformité. Le 17 janvier 2025, toutes les institutions financières devront être en capacité d’appliquer le Dora. Cela passe par une gestion efficace des priorités par la DSI et les équipes de sécurité. Une étude récente de Dynatrace montre que la hiérarchie des actions à mettre en œuvre se décline en trois points.

D’abord, s’assurer de la sécurité des applications avec notamment, la gestion des vulnérabilités. Ensuite, la gestion et les réponses aux crises importantes, en particulier la violation de données sensibles et critiques. Enfin, le prise en compte des risques internes, notamment de la surveillance des terminaux utilisés tels les ordinateurs et téléphones mobiles. Pour assurer la conformité à Dora, des tests réguliers de résilience opérationnelle sont nécessaires ce qui passe par la simulation des cyberattaques et les tests de pénétration afin de rechercher les vulnérabilités sur les actifs numériques.

Une majorité de RSSI déclarent que XDR et SIEM sont insuffisants face à la complexité du cloud

L’étude internationale Dynatrace qui porte sur 1300 RSSI de grandes entreprises de plus de 1 000 employés, indique que 76 % des RSSI français interrogés citent les limites des outils de sécurité pour l'identification en temps réel des risques. Par conséquent, pour faire face aux obligations règlementaires telles Dora. Plus précisément, 77 % des responsables sécurité déclarent que les outils actuels tels que XDR (sécurité au niveau des terminaux, réseaux et applications cloud) et SIEM sont incapables de gérer parfaitement toute la complexité du cloud.

En France, 74 % des organisations ont connu un incident de sécurité applicative au cours des deux dernières années. La sécurité des applications n’est pas un sujet pour le PDG et du le Comex, c’est l’avis de 81 % des RSSI de l’hexagone. Une majorité des responsables de la cybersécurité, soit 89 % des interrogés, déclarent que l'automatisation des opérations DevSecOps sera essentielle pour leur permettre de garantir la sécurité et appliquer les règlementations NIS2 et DORA. Une part importante des RSSI (77 %) déclarent que l'automatisation DevSecOps permet aussi de gérer le risque de vulnérabilités
introduites par l'IA.

Dans tous les pays concernés par l’enquête de Dynatrace, le point commun des contraintes citées par les équipes de sécurité reste la difficulté à piloter l'automatisation des opérations DevSecOps, en raison de la pléthore d’outils de sécurité.