Par Patrick
Dufour chez Stordata
Le concept de la
résilience numérique est dorénavant consacré dans le corpus juridique européen
avec le Digital Operational Resilience Act (DORA). Les entités financières (mais aussi
tout établissement public et privé le souhaitant) sont en mesure d’atteindre un
haut degré de résilience en exploitant judicieusement les complémentarités
technologiques.
Le stockage et la
sauvegarde au cœur de la résilience
DORA est un texte plus
organisationnel que technique. Il fera les affaires des juristes avant celles
des ingénieurs. Le texte traite des responsabilités de chacun, des risques à
évaluer et de la capacité des organisations à rebondir, quels que soient l’attaque
et le préjudice subis. Si la sécurité de la donnée passe de la préoccupation à
l’obsession dans l’esprit du législateur, les méthodes pour y parvenir sont
néanmoins laissées en partie à l’appréciation des opérateurs. De ce fait, les
technologies de stockage et de sauvegarde de la donnée ne sont pas expressément
mentionnées.
Elles sont pourtant au
cœur des moyens de protection et de résilience des entités financières et leur
propre sécurité fait l’objet d’une attention toute particulière des éditeurs.
La sécurité des solutions de sauvegarde et de stockage est au moins aussi importante
que la sécurité des données qu’elles conservent.
Le stockage et la
sauvegarde sont des pans majeurs du dispositif de protection et occupent à eux
seuls le temps précieux des administrateurs. Ils deviennent d’autant plus
critiques qu’ils doivent dorénavant répondre aux attentes du cadre de gestion
des risques liés aux technologies de l’information et de la communication
(TIC), tel que défini au règlement.
Comprendre et savoir
pour se mettre en conformité
Première difficulté
majeure : évaluer le degré de compatibilité de son infrastructure de stockage
et de sa solution de sauvegarde avec les textes. La sauvegarde notamment est un
domaine d’une haute complexité qui contribue au statu quo dans l’entreprise.
Les solutions bien souvent vieillissantes ne rivalisent plus avec la modernité
des mécanismes de sécurité disponibles sur le marché aujourd’hui.
A contrario et
particulièrement pour les établissements financiers, les obligations
réglementaires ont participé à l’amélioration globale de la sécurité numérique.
Les bonnes pratiques sont plus couramment adoptées et progressivement les
technologies sont renouvelées, quand c’est possible, et les équipes formées. Le
risque porte donc sur le déséquilibre ainsi créé, entre modernité et vétusté et
pratiques hétérogènes, et contribue à rendre peu fiable l’évaluation du degré
de résilience.
C’est pourquoi, avant
toute adoption d’une technologie nouvelle, il est indispensable d’évaluer son
infrastructure et de dresser un état des lieux de ses progrès en matière de
sécurité et de ce qu’il reste à faire au regard des textes. C’est le rôle de l’intervention
de Stordata dans le cadre de l’audit de sécurité des infrastructures de
stockage et des solutions de sauvegarde.
Le compte rendu sera déterminant à plus d’un titre. Il permettra de s’évaluer avec objectivité, de sélectionner les mécanismes et les dispositifs requis, de repositionner les méthodes et les pratiques. Il sera également un document de référence à destination des auditeurs internes pour les étapes de tests annuels, que DORA exige dorénavant.