La norme ISO 27001, par sa généralité et son exhaustivité, est une excellente base pour qu’une organisation se conforme au Digital Operational Resilience Act, plus connue sous le nom de DORA.
DORA est une réglementation de l’Union européenne visant à renforcer la résilience numérique des entités financières face aux cybermenaces et aux perturbations des Technologies de l’Information et de la Communication (TIC). La réglementation, entrée en vigueur en 2023 et applicable depuis le 17 janvier 2025, impose des règles sur la gestion des risques TIC, la notification des incidents, les tests de résilience et la supervision des fournisseurs technologiques, pour garantir la stabilité du secteur financier.
ISO 27001 est quant à elle une norme internationale pour la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI). Elle fournit un cadre structuré pour identifier, évaluer et traiter les risques liés à la sécurité de l’information, tout en promouvant une approche basée sur le risque et une amélioration continue, et en s’adaptant à chaque instant aux besoins et moyens propres à chaque organisation.
Le SMSI de DORA peut être vu comme une déclinaison spécialisée et renforcée d’un SMSI ISO 27001, adaptée aux besoins du secteur financier et aux exigences réglementaires de l’UE. Une entité certifiée ISO 27001 aurait une bonne base pour se conformer à DORA, mais devrait ajuster son SMSI pour répondre à ses obligations spécifiques.
Comme ISO 27001 met l’accent sur l’évaluation et la gestion des risques, qui sont des piliers centraux de DORA, la mise en œuvre d’un SMSI conforme à ISO 27001 permet à une organisation de répondre à l’exigence de l’article 6 de DORA, à savoir : avoir un cadre de gestion des risques TIC « solide, complet et bien documenté ».
Les processus d’identification des actifs critiques, d’analyse des risques et de mise en place de mesures de contrôle s’alignent directement avec les attentes de DORA, et peuvent être complétés par l’ISO 27005, destinée justement à approfondir la gestion des risques dans le cadre de l’ISO 27001.
ISO 27001 inclut des contrôles pour la gestion des incidents de sécurité qui peuvent être aisément adaptés pour répondre aux exigences de DORA concernant la détection, la classification et la notification rapide des incidents majeurs aux autorités compétentes.
Bien qu’ISO 27001 ne prescrit pas explicitement des tests aussi rigoureux que ceux requis par DORA, comme par exemple les tests réguliers de pénétration avancés basés sur les menaces, elle encourage les évaluations régulières de la sécurité et la continuité des activités. De même, si ISO 27001 n’impose aucune exigence en matière de rapidité de réaction aux incidents, DORA quant à elle exige pour celles-ci une plus grande réactivité. Une organisation certifiée ISO 27001 n’a besoin que d’étendre ces pratiques pour inclure les tests de résilience opérationnelle numérique exigés par DORA.
DORA met un accent particulier sur la gestion des risques liés aux fournisseurs TIC tiers avec des exigences contractuelles minimales, un registre des accords, et une supervision des prestataires critiques. ISO 27001 aborde également la gestion des relations avec les fournisseurs, offrant ainsi une base que les entités peuvent renforcer afin de répondre à des exigences de DORA bien plus strictes.
Les deux cadres insistent sur l’implication de la direction, dont la responsabilité est engagée, notamment en matière de gouvernance selon DORA, ainsi que sur une approche d’amélioration continue. ISO 27001 exige des revues régulières par la direction et des audits internes, ce qui peut faciliter la mise en place des structures de gouvernance robustes demandées par DORA.
Si ISO 27001 permet de bâtir les fondations sur lesquelles DORA pourra être mis en œuvre, elle ne couvre toutefois pas entièrement certaines de ses spécificités. DORA impose par exemple des obligations plus détaillées et prescriptives, comme des tests de résilience fréquents et standardisés, une collaboration sectorielle pour le partage d’informations sur les cybermenaces, une interaction continue avec les autorités réglementaires ainsi qu’une communication bien organisée avec les clients. Une certification ISO 27001 ne constitue certes pas une garantie automatique de conformité à DORA, mais elle offre une fondation précieuse que les organisations devront compléter avec des mesures supplémentaires.
ISO 27001 offre donc une structure éprouvée et flexible pouvant être utilisée comme point de départ pour répondre aux exigences de DORA. Les entités financières déjà conformes à ISO 27001 auront une longueur d’avance sur les autres, mais elles devront néanmoins adapter et étendre leur SMSI pour intégrer les aspects spécifiques de DORA, notamment en matière de tests, de reporting réglementaire et de gestion des tiers.
Pour une conformité optimale, il peut être souhaitable de combiner ISO 27001 avec d’autres normes, comme l’ISO 22301 sur la gestion de la continuité des activités, afin de couvrir pleinement le spectre de la résilience opérationnelle.
Se conformer ne s’improvise pas. Sans méthode, cela reste un chantier difficile et source d’incertitudes. Chez Senekka, nous vous accompagnons avec une approche structurée en posant d’abord les bases solides de l’ISO 27001, puis en complétant en fonction des exigences spécifiques des règlementations en vigueur. Contactez-nous dès maintenant pour démarrer votre projet de conformité et bénéficier d’un accompagnement sur mesure.