Le règlement DORA (Digital Operational Resilience Act) entre en vigueur le 17 janvier 2025. Les équipes NetOps du secteur des services financiers doivent donc évoluer en conséquence.
Les banques, les compagnies d'assurance, les sociétés d'investissement et leurs fournisseurs de services TIC doivent désormais se conformer à un ensemble d'exigences couvrant la gestion des risques, la résilience des réseaux, le signalement des incidents et plus encore. Mon collègue Ian Waters a évoqué les exigences précises du règlement DORA et la manière dont ThousandEyes peut vous aider à les respecter, si vous avez besoin de plus amples informations.
Le règlement DORA n'est pas une simple liste de cases à cocher puis à oublier. Il s'agit d'un ensemble d'exigences imposant une supervision et une vigilance constantes de votre infrastructure IT, mais aussi de celle de vos partenaires. Les établissements financiers endossent ainsi pleinement la responsabilité de toute leur chaîne de mise à disposition des services, même les composants qu'ils ne contrôlent pas directement.
Par conséquent, les équipes NetOps du secteur doivent adopter un nouvel état d'esprit, et c'est pourquoi nous avons créé une check-list répertoriant les trois principaux facteurs qu'elles doivent superviser régulièrement dans le cadre du règlement DORA. Dans l'idéal, elles s'appuieront sur l'automatisation pour réduire la charge de travail et améliorer la fiabilité.
La check-list de la réglementation DORA (Digital Operational Resilience Act)
Si le nouveau règlement DORA s'applique à votre équipe, voici les trois éléments que vous ne pouvez tout simplement pas vous permettre d'ignorer.
1. Vérifier que vos sauvegardes sont toujours prêtes à être activées
Vous pourriez rétorquer que cela devrait toujours être le cas, mais aujourd'hui plus que jamais, les systèmes de sauvegarde se doivent de ne pas être défaillants. Votre environnement de bascule doit être prêt à prendre le relais dès que nécessaire.
Nous avons récemment observé des situations dans le secteur financier où ce n'était pas le cas. En octobre 2023, par exemple, deux grandes banques de Singapour ont connu une panne qui a duré la majeure partie d'un week-end après que la mise à niveau d'un système de refroidissement dans l'un de leurs data centers ne s'est pas déroulée comme prévu et a entraîné l'arrêt de leurs équipements IT. Les deux banques ont immédiatement activé leurs sites de sauvegarde, mais elles n'ont pas réussi à rétablir entièrement leurs services avant le lendemain.
Le règlement DORA n'impose pas uniquement aux établissements financiers de posséder un système de sauvegarde sécurisé qui permet de rétablir rapidement les services en cas de perturbation. Il exige également que ces systèmes soient testés régulièrement pour vérifier leur efficacité. Si vous rencontrez un problème avec votre sauvegarde quand vous en avez besoin, vous risquez de mécontenter vos clients, mais aussi d'être sanctionné. Le règlement DORA oblige les établissements financiers qui font appel à des fournisseurs de services TIC tiers à évaluer la résilience opérationnelle de ces fournisseurs. Ce processus englobe la réalisation de simulations ou de tests de résistance pour déterminer si le fournisseur peut gérer efficacement une perturbation majeure.
Par conséquent, la supervision cohérente de vos sauvegardes reste vitale, parce que même le changement le plus anodin peut avoir des répercussions inattendues. Une petite modification apportée à une page web peut perturber les services d'authentification. La modification d'une politique de sécurité chez un fournisseur cloud tiers peut interdire l'accès à un circuit de sauvegarde.
Vous devez savoir en temps réel quand ces problèmes surviennent en supervisant minutieusement l'intégralité de la chaîne de services. Vous ne devez pas attendre qu'un problème survienne sur un système et espérer que tout ira pour le mieux.
L'automatisation joue ici un rôle essentiel, avec des systèmes comme ThousandEyes qui contrôlent constamment l'état de vos opérations en direct et de vos sauvegardes, et qui signalent les composants critiques qui ne fonctionnent pas comme prévu.
2. Créer un système de supervision complet
Il existe deux moyens de savoir quand quelque chose se passe mal : grâce à un bon système de supervision et lorsque les clients se plaignent. Il vaut clairement mieux privilégier le premier. D'ailleurs, le règlement DORA l'impose aux établissements de services financiers dans l'Union européenne.
Il est crucial de vérifier en permanence que vos systèmes d'alerte et de supervision fonctionnent correctement pour détecter les failles de sécurité et les problèmes de fiabilité. Vous ne pouvez pas simplement partir du principe que ces systèmes sont fonctionnels, vous devez les contrôler régulièrement pour vous assurer que tout est en ordre. Quel est l'intérêt d'installer des détecteurs de fumée si vous ne vérifiez pas les piles régulièrement ?
Vous devez vérifier l'intégrité et les performances de vos systèmes de supervision de manière automatisée et continue pour vous assurer qu'ils sont fiables et prêts à diffuser les alertes et les notifications nécessaires. L'IA peut s'avérer utile, car elle peut examiner des milliards de mesures quotidiennes provenant d'Internet, du cloud et des réseaux d'entreprises afin d'identifier les problèmes et de fournir des informations exploitables quant à leur impact sur les utilisateurs.
ThousandEyes permet par exemple de définir des seuils pour certains indicateurs, comme la latence, le délai de réponse et la perte de paquets, et de créer des tableaux de bord qui vous préviennent lorsque ces KPI ne sont pas atteints. Ces informations peuvent être combinées à d'autres jeux de données pour offrir une visibilité totale sur l'intégrité et la performance des applications.
Le règlement DORA impose également des exigences strictes aux établissements financiers, qui doivent signaler les incidents aux autorités compétentes. Sans supervision ni rapports appropriés, votre entreprise pourrait être exposée une nouvelle fois à des mesures réglementaires si elle ne parvient pas à détecter un incident en temps réel.
3. Superviser activement les systèmes tiers
En vertu du règlement DORA, votre responsabilité ne se limite pas à votre propre infrastructure physique. Le règlement demande aux établissements financiers de vérifier en permanence l'intégrité et la performance des environnements tiers qu'ils utilisent.
Cela ne signifie pas uniquement valider la performance des services tiers. Les entreprises doivent aussi contrôler les risques potentiels pour la sécurité, comme l'usurpation de routes BGP ou l'empoisonnement DNS, qui pourraient au final affecter les clients.
Ce n'est pas une mince affaire quand vous pensez au nombre de systèmes tiers impliqués dans la mise à disposition des services. Les fournisseurs cloud, les réseaux de diffusion de contenu (CDN), les fournisseurs de logiciels SaaS, les services de protection contre les attaques DDoS et les passerelles de paiement sont quelques exemples de systèmes tiers sur lesquels reposent vos services ou vos applications. Comme nous l'avons écrit dans un blog récent, s'appuyer uniquement sur la page d'état d'un service pour savoir s'il y a un problème avec un fournisseur de services tiers n'est pas efficace. Les équipes doivent tenir compte de divers points de données et mettre en place leur propre système de supervision pour les services internes et externes.
Lorsque vous avez identifié qu'un fournisseur de services TIC tiers est responsable d'une panne qui vous impacte, il est également important de récolter des données concrètes à partager avec lui et vos équipes internes pour discuter efficacement du problème et collaborer à sa résolution.
Cela se rapproche d'un sujet couvert récemment par mon collègue Kemal Sanjta : l'importance de l'ingénierie du trafic. Les ingénieurs réseau optimisent constamment le routage pour vérifier que les meilleurs chemins sont utilisés, mais pour ce faire, ils ont besoin de superviser l'ensemble du trafic entrant et sortant afin de vérifier que votre trafic s'achemine par les routes prévues et que les systèmes tiers ne rencontrent aucun problème. Avec des centaines de systèmes de supervision différents dans le monde entier, vous pouvez être prévenu rapidement en cas d'interruption ou de fuite de route.
L'ère de la réglementation DORA
Ces conseils visent à aider les établissements financiers à prendre les mesures appropriées à l'ère du règlement DORA, mais ils constituent aussi tout simplement des bonnes pratiques à suivre, quel que soit le secteur ou le lieu d'activité de l'entreprise.
Vérifier en permanence et de manière proactive que vos sauvegardes sont prêtes à être appliquées en cas de panne de vos systèmes principaux vous évite de gaspiller de l'argent avec des protections de secours inefficaces et pourrait empêcher votre entreprise de courir à la catastrophe. Il est crucial de conserver des systèmes de supervision en temps réel pour détecter les problèmes avant vos clients. De plus, en gardant un œil sur les performances des environnements tiers, vos systèmes sont moins susceptibles d'être affectés si un partenaire a un problème.
À cet égard, notre check-list pour le règlement DORA pourrait être un exercice intéressant pour les équipes NetOps, et pas uniquement celles du secteur des services financiers européens.