Industrie

Le rôle de la réglementation sur la résilience opérationnelle digitale (DORA) dans le secteur financier

Par Ian Waters
| | 20 minutes de lecture

Résumé

Le règlement DORA « Digital Operational Resilience Act » inclut les services digitaux dans le champ d'application des mesures visant à assurer la résilience du secteur financier au sein de l’Union Européenne. Dans cet article, nous allons nous pencher sur le règlement DORA et sur ses implications, ainsi que sur le rôle de ThousandEyes dans l'application de ces mesures.


Chaque jour, nous utilisons des centaines, voire des milliers, de services digitaux. Les expériences digitales font partie intégrante de la société moderne, tant sur le plan personnel que professionnel. Ce que nous ne savons pas toujours, c'est que l'innovation que nous attendons des applications modernes repose en réalité sur un écosystème complexe de connexions, de plateformes, d'API et d'intégrations qui fonctionnent de concert.

Aujourd’hui, le secteur des services financiers fait partie des principaux concernés, au vu du grand nombre de clients qui utilisent désormais principalement les services en ligne de leurs banques, de leurs compagnies d'assurance et des plateformes de trading. Les agences bancaires ferment dans de nombreux pays et force est de constater que les services digitaux qui les remplacent nous facilitent le quotidien. D'ailleurs, peu d'entre nous souhaitent revenir en arrière et devoir systématiquement se déplacer pour effectuer un virement.

Si ces services digitaux ont remplacé les interactions physiques, il est plus important que jamais de s'assurer de leur qualité. De cette qualité dépend directement la réputation des institutions financières, auprès des clients comme des organismes de réglementation.

ThousandEyes accompagne sur le long terme de nombreux leaders du secteur des services financiers dans le monde depuis longtemps. Ces entreprises ont adopté la plateforme pour assurer des expériences digitales couvrant de multiples cas d'usage.L'Union européenne a décidé de se doter d'une législation qui définit clairement les attentes du secteur en matière de résilience et d'opérations digitales.

Dans l'attente du 17 janvier 2025

En septembre 2020, la Commission européenne a présenté une proposition pour le Règlement sur la résilience opérationnelle numérique (DORA) dans le cadre de sa stratégie pour les services financiers digitaux, intitulée Digital Finance Package. À peu près à la même époque, Cisco venait de finaliser l'acquisition de ThousandEyes pour enrichir son offre en matière de supervision de l'expérience digitale. Concernant plus de 22 000 entreprises de services financiers basées au sein de l’Union Européenne ou y exerçant une activité commerciale, le règlement DORA vise à établir une approche cohérente des pratiques en matière de sécurité et de résilience.

Le règlement étend le champ d'application du cadre de résilience financière aux services digitaux afin d'établir de nouvelles exigences pour faire face à des perturbations opérationnelles de grande ampleur qui affecteraient la distribution de ces services, tant au niveau de l'IT que de la sécurité. En d'autres termes, il est demandé aux entreprises du secteur des services financiers d'assumer l'entière responsabilité des expériences digitales proposées, en obtenant une visibilité et des informations exploitables sur les incidents susceptibles d'impacter les services, où qu'ils se produisent.

L'Union européenne a fixé un délai de deux ans pour la mise en œuvre des recommandations énoncées dans le règlement, soit à compter du 16 janvier 2023, avec une entrée en vigueur officielle des dispositions prévue le 17 janvier 2025. Cela signifie que toutes les entreprises de services financiers, qu'elles soient basées dans l'Union européenne ou qu'elles y exercent une activité commerciale, sont censées respecter les directives du règlement DORA à cette date. L'Autorité australienne de régulation (APRA) et la Réserve fédérale américaine ont également mis en place des réglementations de référence similaires en matière de résilience opérationnelle pour le secteur des services financiers.

Fournisseurs de services TIC tiers

Le règlement DORA étend le champ d'application des dispositions à d'autres acteurs plus récents du secteur, tels que les fournisseurs de services de crowd-funding et de crypto-actifs, et soumet les établissements au respect d'exigences relatives à la gestion, aux tests et au signalement d'incidents dans le cadre des TIC (technologies de l'information et de la communication). Le règlement DORA s'intéresse également de près aux fournisseurs de services TIC tiers.

Les fournisseurs de services cloud et autres fournisseurs de services TIC tiers sont concernés par la loi qui attend également des équipes IT et de sécurité des établissements financiers concernés par le règlement DORA qu'elles s'assurent de la résilience de leurs fournisseurs tiers, ce qui nécessitera des échanges et une collaboration étroite avec leurs principaux fournisseurs de services TIC, notamment lorsque ces derniers assurent la mise à disposition d'un service commercial important. Le règlement DORA impose aux établissements d'établir une cartographie dans le but d'identifier les services commerciaux importants et leurs dépendances, au niveau interne et externe. Cette liste étendue de fournisseurs doit désormais être incluse dans le processus de planification, de test, de gestion et de reporting, rendant nécessaire la mise en place de nouvelles approches en matière de visibilité et d'assurance digitale.

ThousandEyes encourage vivement les entreprises à gérer leurs expériences digitales de bout en bout en se dotant d'informations exploitables et d'une visibilité sur l'ensemble de leurs services digitaux distribués. Même si elles ne sont pas propriétaires de tous les éléments de ces services, elles restent responsables de l'expérience que ces derniers offrent à l'utilisateur. À l'heure où ne pas posséder tous les composants d'un service est devenu une nécessité, les entreprises n'ont d'autre choix que d'adapter leurs systèmes et leurs processus. Voyons comment.

Un règlement en cinq parties

Pour comprendre l'impact du règlement DORA et le rôle que ThousandEyes peut jouer, analysons plus en détail ses cinq grandes thématiques :

  1. Gestion des risques liés aux TIC : maintenir un cadre TIC résilient soutenu par la mise en œuvre de mesures de supervision, d'identification et de documentation afin d'isoler rapidement les anomalies, parallèlement à des plans complets de continuité de l'activité et de reprise après sinistre.

  2. Gestion, classification et reporting des incidents relatifs aux TIC : adopter des processus visant à identifier et à consigner les problèmes relatifs aux TIC, à évaluer les incidents majeurs et à générer des rapports initiaux, intermédiaires et finaux sur ces incidents par le biais de modèles standard.

  3. Test de la résilience opérationnelle digitale : effectuer des tests annuels des outils et systèmes TIC afin d'identifier, de neutraliser et d'éliminer rapidement la moindre vulnérabilité, défaillance ou faille.

  4. Gestion des risques liés aux services TIC tiers : consigner toutes les activités externalisées, et plus particulièrement celles des fournisseurs de services TIC stratégiques via le Cadre de surveillance de l'Union, s'assurer que les contrats conclus avec ces fournisseurs respectent les nouvelles exigences et mettre en place une approche de supervision complète qui inclut tout cet écosystème de fournisseurs.

  5. Dispositions relatives à l'échange d'informations : permettre aux entreprises financières d'échanger des informations entre elles, notamment en matière de cybersécurité, telles que des informations sur les menaces.

La majorité de ces dispositions régissent les processus de supervision, de test, d'identification, de documentation et de signalement des incidents relatifs aux TIC dans l'optique de les neutraliser, d'assurer la continuité de l'activité et la reprise après sinistre, et d'améliorer les pratiques. Mais dans un environnement distribué où les applications modernes reposent sur des réseaux et des services qui échappent à votre contrôle, comment reprendre les rênes de vos expériences digitales ? C'est là que la solution d'assurance de l'expérience digitale ThousandEyes peut vous aider à élaborer et à déployer la bonne stratégie opérationnelle pour vous conformer aux obligations du règlement DORA. ThousandEyes propose une plateforme dédiée qui vous offre la visibilité nécessaire sur les éléments des services tiers dont vous dépendez, mais sur lesquels vous n'avez aucun contrôle. Pour ce faire, nous mettons à jour en permanence le cadre de référence et la cartographie de votre réseau ainsi que de ceux de certains de vos principaux fournisseurs de services TIC tiers. Notre approche est intuitive et axée sur les données, et facilite le partage des informations.

ThousandEyes et le règlement DORA

Voici comment ThousandEyes peut apporter une valeur ajoutée à votre stratégie globale, dans les cinq domaines d'action du règlement DORA :

Gestion des risques liés aux TIC

ThousandEyes est une plateforme SaaS qui supervise les architectures dont dépendent les services distribués et fournit des informations sur toute la chaîne d'approvisionnement digitale. Les agents ThousandEyes testent en permanence vos applications du point de vue de l'utilisateur, ce qui permet aux établissements financiers d'anticiper les risques. Nos agents couvrent les réseaux internes, les dépendances Internet et les services cloud, offrant ainsi une vue complète des incidents potentiels qui peuvent impacter vos services.

La plateforme informe vos équipes en cas d'anomalie, soit directement, soit par le biais d'intégrations ouvertes avec d'autres systèmes du workflow. Elle fournit des indications sur la cause première, la localisation de l'incident ainsi que les données dont vous avez besoin pour documenter les événements affectant la qualité des services. Ces tests pourraient également s'appliquer à d'autres éléments à risque, tels que l'usurpation de routes BGP en ligne, où le trafic peut être acheminé vers des destinations inattendues ou inadaptées, ainsi qu'à des domaines tels que la souveraineté des données, qui impose à l'entreprise de savoir à tout moment où se trouvent ses données.

Gestion, classification et reporting des incidents TIC

Grâce à ses fonctionnalités étendues de supervision et d'alerte, ThousandEyes accélère la détection des incidents TIC et permet d'élaborer des rapports pertinents destinés aux organismes de réglementation. Les analyses détaillées et les visualisations de la plateforme aident à mieux évaluer la portée et l'impact des incidents, afin de générer des rapports fidèles et rapides.

La plateforme fournit des données sur les indicateurs clés de qualité de service, notamment le niveau de disponibilité des applications, ainsi que des paramètres tels que le temps de réponse, le débit, la gigue, la latence ou encore la perte de paquets. Vous pouvez ainsi créer des tableaux de bord avec vos seuils de référence pour établir des rapports reprenant les principaux KPI. Et comme ThousandEyes prend en charge OpenTelemetry, vous pouvez également exporter vos données de test vers d'autres plateformes de visualisation telles que Splunk, où vous pourrez les combiner avec d'autres ensembles de données afin de visualiser en contexte les performances des applications.

De plus, en tant que plateforme SaaS, ThousandEyes collecte chaque jour des milliards de points de données provenant des quatre coins du monde. Elle offre ainsi une vue globale de l'état de santé du réseau Internet mondial, ainsi que des principaux fournisseurs cloud, fournisseurs SaaS et autres composantes majeures de la mise à disposition des services digitaux. Ces données sont accessibles aux clients par le biais d'Internet Insights. Vous pouvez ainsi déterminer si le problème vient de votre réseau ou non, et évaluer l'ampleur des incidents qui affectent la qualité des services.

Test de la résilience opérationnelle digitale

ThousandEyes a été développé comme une plateforme web moderne et mondiale avec une base de code unique qui permet des mises à jour régulières et l'ajout de nouvelles fonctionnalités. Les nouvelles fonctionnalités sont donc immédiatement accessibles à l'ensemble des clients. Il n'y a ni versions obsolètes, ni frais liés au contrôle des versions. Les entreprises peuvent simuler et tester la résilience de leurs réseaux et de leurs applications face à diverses perturbations. Elles peuvent mettre en place des tests de résilience réguliers afin d'identifier les vulnérabilités et les goulots d'étranglement potentiels en matière de performances qui méritent leur attention.

Plébiscitée par les plus grandes institutions financières du monde, la plateforme ThousandEyes inclut une assistance par chat de niveau 3, disponible 24 heures sur 24 et 7 jours sur 7. Nos ingénieurs sont là pour vous aide à identifier, régler et prévenir les problèmes impactant la qualité des services. En outre, ThousandEyes a mis en place des opérations distinctes pour l'UE et a obtenu la certification de niveau 3 pour le Code de conduite cloud de l'UE, en plus de nos certifications ISO 27018 et 27701.

Gestion des risques tiers relatifs aux TIC

L'un des atouts majeurs de la plateforme ThousandEyes est sa capacité à gérer la performance des services sur les réseaux qui ne vous appartiennent pas. Ainsi, elle collecte automatiquement les données concernant les fournisseurs de services TIC tiers, tels que les FAI, les fournisseurs cloud, les réseaux CDN, les systèmes DNS, les services de protection contre les attaques DDoS, les systèmes SaaS, les passerelles API, les fournisseurs de services de paiement et autres, lorsqu'ils se trouvent entre nos agents et les applications sur lesquelles repose votre activité.

Cette visibilité sur les performances et la disponibilité des services TIC tiers permet aux clients de gérer et de neutraliser les risques liés à ces dépendances externes, conformément au règlement DORA qui met l'accent sur la nécessité de superviser les risques liés aux tiers et de s'assurer qu'ils ne compromettent pas la résilience opérationnelle. Les équipes opérationnelles disposent des données requises pour isoler les causes premières dans les réseaux clés utilisés pour les services. Les données leur permettent également d'établir l'historique des performances des principaux fournisseurs pour contrôler et évaluer ces fournisseurs ainsi que pour mieux gérer les SLA.

Les entreprises ont également la possibilité d'évaluer les performances de fournisseurs clés, tels que les FAI de certaines régions, les nouveaux fournisseurs de services cloud et les performances entre plusieurs régions, avant de déployer de nouveaux services ou de migrer des workloads dans le cloud. Cela permet d'adopter une approche axée sur les données pour superviser et consigner les principales migrations et modifications avant, pendant et après la mise en œuvre des services.

Enfin, la plateforme ThousandEyes est ouverte et conçue pour être extensible grâce à notre API REST, à nos webhooks et au standard OpenTelemetry. Les clients peuvent ainsi combiner les données de test avec d'autres sources de données, y compris avec des plateformes de gestion des performances des applications telles que Splunk ou AppDynamics, dans le cadre d'une stratégie d'observabilité plus globale.

Dispositions relatives à l'échange d'informations

ThousandEyes permet à plusieurs organisations de travailler ensemble à la résolution d'incidents communs affectant la qualité des services. Tous les incidents identifiés par ThousandEyes peuvent donc être partagés sous la forme de liens ShareLink qui offrent une vue interactive d'un événement qui vous concerne sur une période allant jusqu'à 48 heures. Ces liens sont stockés de manière définitive et permettent une analyse rétrospective et une visibilité précise sur les incidents survenant au niveau des applications, du réseau et du trafic Internet. Vous pouvez partager la même vue de ces incidents en interne ou en externe depuis la plateforme afin que toutes les parties prenantes disposent des mêmes données.

Conclusion

De la même manière que le règlement DORA encourage le secteur des services financiers à s'adapter aux nouveaux services digitaux, reposant sur des architectures distribuées et dont les utilisateurs peuvent se connecter partout, la plateforme ThousandEyes aide les entreprises à assurer la qualité de leurs expériences digitales. ThousandEyes offre aux clients une visibilité complète sur l'expérience digitale utilisateur pour les applications qui sont aujourd'hui au cœur de leur activité. Les fonctionnalités avancées de supervision, de test et de gestion des risques de la plateforme aident ainsi les établissements financiers à assurer une meilleure conformité aux dispositions du règlement DORA. Ces outils permettent non seulement de répondre aux exigences réglementaires, mais aussi d'améliorer la résilience opérationnelle globale des entreprises face à des menaces et à des défis qui ne cessent d'évoluer dans le domaine des TIC.


Pour en savoir plus sur la façon dont ThousandEyes vous aide à vous préparer à l'entrée en vigueur du règlement DORA, ou aux nouvelles exigences en matière de qualité de l'expérience digitale, contactez votre spécialiste ThousandEyes ou votre revendeur ThousandEyes.

Upgrade your browser to view our website properly.

Please download the latest version of Chrome, Firefox or Microsoft Edge.

More detail