DORA vs ISO 27001 : comparaison et complémentarité
Les entités financières se demandent souvent si leur certification ISO 27001 existante aide à la conformité DORA. La réponse courte est oui, ISO 27001 fournit une base solide, mais elle ne garantit pas à elle seule la conformité DORA.
Comprendre où ces cadres se chevauchent et diffèrent permet une planification efficace de la conformité, évitant les efforts en double tout en traitant les exigences spécifiques à DORA.
Points clés
| Point | Résumé |
|---|---|
| Fort chevauchement | Environ 60-70% des contrôles se chevauchent |
| Types différents | DORA est une réglementation obligatoire ; ISO 27001 est une certification volontaire |
| Valeur de fondation | ISO 27001 fournit une excellente base pour la conformité DORA |
| Écarts à traiter | DORA a des exigences spécifiques au-delà d'ISO 27001, notamment les délais de signalement des incidents et le TLPT |
| Les deux précieux | De nombreuses entités poursuivent les deux pour une conformité complète |
Réponse rapide : La certification ISO 27001 couvre substantiellement les exigences DORA, particulièrement en matière de gestion des risques TIC, de contrôle d'accès et de continuité d'activité. Cependant, DORA a des exigences spécifiques qui vont au-delà d'ISO 27001, incluant les délais détaillés de signalement des incidents (4/24/72 heures/1 mois), le Registre d'informations pour les tiers, les tests de pénétration obligatoires guidés par les menaces (TLPT) pour les entités désignées, et la responsabilité explicite de l'organe de direction. Les organisations devraient utiliser ISO 27001 comme fondation tout en traitant les écarts spécifiques à DORA.
Comparaison des cadres
| Aspect | DORA | ISO 27001 |
|---|---|---|
| Type | Règlement UE | Norme internationale |
| Secteur | Services financiers | Toute organisation |
| Statut juridique | Loi obligatoire | Certification volontaire |
| Application | Sanctions réglementaires | Perte de certification |
| Focus | Résilience opérationnelle numérique | Gestion de la sécurité de l'information |
| Mises à jour | Amendements réglementaires | Révisions de la norme |
Aperçu de la correspondance des contrôles
Domaines de fort chevauchement
Ces exigences DORA correspondent bien à ISO 27001 :
| Exigence DORA | Couverture ISO 27001 |
|---|---|
| Inventaire des actifs TIC | A.5.9 Inventaire des actifs informationnels |
| Contrôle d'accès | A.5.15-5.18 Contrôle d'accès |
| Chiffrement | A.8.24 Utilisation de la cryptographie |
| Sécurité réseau | A.8.20-8.22 Contrôles réseau |
| Gestion des vulnérabilités | A.8.8 Gestion des vulnérabilités techniques |
| Procédures de sauvegarde | A.8.13 Sauvegarde des informations |
| Sensibilisation à la sécurité | A.6.3 Sensibilisation à la sécurité de l'information |
| Gestion des fournisseurs | A.5.19-5.22 Relations avec les fournisseurs |
| Gestion des incidents | A.5.24-5.28 Gestion des incidents |
| Continuité d'activité | A.5.29-5.30 Continuité d'activité |
Domaines de chevauchement partiel
Ces domaines nécessitent un complément :
| Exigence DORA | Couverture ISO 27001 | Écart |
|---|---|---|
| Responsabilité de l'organe de direction | Clause 5 Leadership | DORA exige une formation et approbation plus explicites du conseil |
| Risques tiers | A.5.19-5.22 | DORA a des exigences contractuelles plus détaillées |
| Signalement des incidents | A.5.24-5.28 | DORA a des délais de signalement réglementaires spécifiques |
| Tests | A.8.8 | DORA impose le TLPT pour les entités désignées |
| Partage d'informations | Non directement couvert | DORA encourage le partage de renseignements sur les menaces |
Exigences spécifiques à DORA
Celles-ci ont des équivalents limités ou inexistants dans ISO 27001 :
| Exigence DORA | Statut ISO 27001 |
|---|---|
| Délais de signalement des incidents 4/24/72 heures/1 mois | Non spécifié |
| Registre d'informations | Non requis |
| TLPT tous les 3 ans | Non imposé |
| Notification des clients en cas d'incident | Non spécifié |
| Conformité à la surveillance CTPP | Non applicable |
| Reporting réglementaire annuel | Non requis |
Correspondance détaillée
Cadre de gestion des risques TIC
| Article DORA | Correspondance ISO 27001 |
|---|---|
| Art. 5 - Gouvernance | Clause 5.1 Leadership, A.5.1 Politiques |
| Art. 6 - Cadre | Clause 6 Planification, 8 Fonctionnement |
| Art. 7 - Systèmes et outils | A.8 Contrôles technologiques |
| Art. 8 - Identification | A.5.9-5.13 Gestion des actifs |
| Art. 9 - Protection | A.5-8 Divers contrôles |
| Art. 10 - Détection | A.8.15-8.16 Journalisation et surveillance |
| Art. 11 - Réponse | A.5.24-5.28 Gestion des incidents |
| Art. 12 - Reprise | A.5.29-5.30 Continuité d'activité |
Analyse des écarts : ISO 27001 couvre la plupart des exigences de gestion des risques TIC. Les écarts clés incluent le langage explicite de responsabilité de l'organe de direction et le focus spécifique sur la résilience numérique.
Signalement des incidents
| Article DORA | Correspondance ISO 27001 |
|---|---|
| Art. 17 - Processus d'incident | A.5.24 Planification de la réponse aux incidents |
| Art. 18 - Classification | A.5.25 Évaluation des incidents |
| Art. 19 - Signalement | A.5.26 Réponse aux incidents |
| Art. 20 - Centralisation | Non directement couvert |
| Art. 23 - Menaces significatives | Non directement couvert |
Analyse des écarts : ISO 27001 exige la gestion des incidents mais ne spécifie pas les délais de signalement réglementaires. Le cadre DORA de 4 heures/24 heures/72 heures/1 mois doit être mis en œuvre séparément.
Risques tiers
| Article DORA | Correspondance ISO 27001 |
|---|---|
| Art. 28 - Principes généraux | A.5.19-5.22 Relations avec les fournisseurs |
| Art. 29 - Évaluation préliminaire | A.5.19 Politique fournisseurs |
| Art. 30 - Dispositions contractuelles | A.5.20 Traitement de la sécurité dans les accords |
| Art. 31 - Registre d'informations | Non requis |
Analyse des écarts : ISO 27001 traite des relations avec les fournisseurs mais manque des exigences contractuelles prescriptives de DORA et de l'obligation de Registre d'informations.
Tests de résilience
| Article DORA | Correspondance ISO 27001 |
|---|---|
| Art. 24 - Tests généraux | A.8.8 Gestion des vulnérabilités techniques |
| Art. 25 - Tests des outils TIC | A.8.29 Tests de sécurité |
| Art. 26 - TLPT | Non imposé |
| Art. 27 - Testeurs TLPT | Non applicable |
Analyse des écarts : ISO 27001 soutient les activités de tests mais n'impose pas les exigences TLPT spécifiques pour les entités désignées.
Approches de mise en œuvre
Approche 1 : ISO 27001 d'abord
Pour les organisations sans certification existante :
| Phase | Activité |
|---|---|
| 1 | Mettre en œuvre le SMSI ISO 27001 |
| 2 | Cartographier les contrôles ISO aux exigences DORA |
| 3 | Traiter les écarts spécifiques à DORA |
| 4 | Obtenir la certification ISO 27001 |
| 5 | Maintenir une conformité intégrée |
Avantages :
- Approche structurée de la sécurité
- La certification offre une reconnaissance large sur le marché
- La fondation soutient DORA et d'autres exigences
Approche 2 : DORA d'abord
Pour les organisations priorisant la conformité réglementaire :
| Phase | Activité |
|---|---|
| 1 | Mettre en œuvre les exigences DORA |
| 2 | Documenter les contrôles de manière exhaustive |
| 3 | Étendre au périmètre ISO 27001 |
| 4 | Poursuivre la certification ISO 27001 |
| 5 | Maintenir une conformité intégrée |
Avantages :
- Répond directement aux obligations réglementaires
- Pas de pression de calendrier de certification
- Peut ajouter la certification ISO plus tard
Approche 3 : Mise en œuvre intégrée
Pour les organisations poursuivant les deux simultanément :
| Phase | Activité |
|---|---|
| 1 | Cartographier toutes les exigences (DORA + ISO 27001) |
| 2 | Concevoir un cadre de contrôle intégré |
| 3 | Mettre en œuvre des contrôles unifiés |
| 4 | Traiter les exigences uniques séparément |
| 5 | Obtenir la certification tout en répondant à DORA |
Avantages :
- Utilisation efficace des ressources
- Cadre intégré unique
- Évite la documentation en double
Utiliser ISO 27001 pour soutenir DORA
Documentation
La documentation ISO 27001 peut servir les objectifs DORA :
| Document ISO 27001 | Utilisation DORA |
|---|---|
| Politique SMSI | Fondation pour la stratégie de gestion des risques TIC |
| Méthodologie d'évaluation des risques | Soutient l'identification des risques DORA |
| Déclaration d'applicabilité | Correspond aux exigences de contrôle DORA |
| Plan de continuité d'activité | Répond aux exigences de continuité DORA |
| Accords fournisseurs | Fondation pour les mises à jour contractuelles DORA |
Contrôles
Les contrôles de l'Annexe A d'ISO 27001 fournissent la substance opérationnelle pour les exigences DORA, réduisant l'effort de mise en œuvre.
Preuves de certification
La certification ISO 27001 démontre :
- Approche systématique de la sécurité de l'information
- Validation tierce des contrôles
- Engagement continu envers l'amélioration
Les régulateurs peuvent voir favorablement la certification lors de l'évaluation de la conformité DORA.
Questions fréquentes
La certification ISO 27001 signifie-t-elle que nous sommes conformes à DORA ?
Non. ISO 27001 fournit une couverture substantielle mais ne traite pas toutes les exigences spécifiques à DORA. Vous devez encore mettre en œuvre les délais de signalement des incidents DORA, le Registre d'informations et le TLPT (si désigné), parmi d'autres exigences.
Devrions-nous obtenir la certification ISO 27001 pour DORA ?
La certification ISO 27001 n'est pas requise pour la conformité DORA mais offre des avantages significatifs : approche structurée, validation tierce et reconnaissance du marché. De nombreuses entités financières poursuivent les deux.
Laquelle devrions-nous prioriser ?
Pour les entités financières de l'UE, la conformité DORA est légalement requise. ISO 27001 est précieuse mais volontaire. Si les ressources sont limitées, assurez d'abord la conformité DORA, puis envisagez la certification ISO 27001.
Quel est le chevauchement réel en pratique ?
Les estimations varient, mais environ 60-70% des exigences DORA peuvent être traitées par les contrôles ISO 27001. Les 30-40% restants nécessitent une mise en œuvre spécifique à DORA, notamment pour le signalement des incidents, la documentation des tiers et les tests.
La même équipe peut-elle gérer les deux ?
Oui. Les compétences et processus se chevauchent significativement. Une équipe sécurité gérant ISO 27001 peut généralement étendre son périmètre pour couvrir les exigences spécifiques à DORA avec une formation et des ressources appropriées.
Comment Bastion peut vous aider
Bastion accompagne les organisations qui utilisent ISO 27001 pour la conformité DORA :
- Analyse des écarts : Cartographier les contrôles ISO 27001 existants aux exigences DORA
- Mise en œuvre intégrée : Concevoir des cadres répondant aux deux ensembles d'exigences
- Certification ISO 27001 : Guider les organisations vers la certification
- Exigences spécifiques à DORA : Traiter les écarts au-delà d'ISO 27001
- Maintenance continue : Maintenir une conformité intégrée dans le temps
Prêt à aligner votre conformité ISO 27001 et DORA ? Parlez à notre équipe
Sources
- ISO/IEC 27001:2022 - Norme sur les systèmes de management de la sécurité de l'information
- Règlement DORA - Digital Operational Resilience Act
- Normes techniques des AES sur DORA - Exigences de mise en œuvre