Finance & cybersécurité

Conformité DORA

DORA (Digital Operational Resilience Act) est une réglementation européenne adoptée en 2022 et mise en œuvre en décembre 2024. Elle vise à renforcer la résilience des entités financière en matière de cybersécurité.

Demander une démo

Qui est concerné par DORA ?

L'ensemble des 22 000 entreprises liées au secteur financier : fournisseurs de services de crédit, de paiement, de crypto-actifs, d'assurance, de réassurance, d'intermédiaires, de fonds de pension...

La seule exception concerne les très petites entreprises de moins de 10 salariés et dont le chiffre d'affaires annuel est inférieur à 2 millions d'euros.

Pourquoi la réglementation DORA ?

DORA se concentre sur la résilience appliquée à la cybersécurité en listant des critères et des recommandations pragmatiques.

Toutes les institutions financières utilisent des ordinateurs et traitent des données. Un incident de cybersécurité non maîtrisé peut conduire à un désastre financier (comme le récent piratage de FTX, une bourse de crypto-monnaies) et c'est la raison pour laquelle l'UE a rédigé DORA.

Quels sont les objectifs de DORA ?

Le secteur financier est déjà réglementé par la Banque Centrale Européenne, mais les exigences, leur application et leur interprétation restent locales.

L'objectif de DORA est d'unifier les règles avec un niveau de sécurité commun et d'aider les entreprises à :

  • Identifier les actifs et les risques liés à l'activité

  • Protéger le système d'information pour assurer la fourniture de services d'infrastructure critiques

  • Détecter les événements de cybersécurité

  • Réagir aux incidents, soutenir les activités de récupération et améliorer la situation

  • Récupérer et restaurer les systèmes affectés

Solution & plateforme pour la réglementation DORA

Patrowl est entièrement conforme aux exigences de DORA en matière de surveillance continue des actifs grâce à sa solution SaaS.

Pour aller plus loin :

Quels sont les critères à respecter face à la réglementation DORA?

DORA énumère plusieurs critères à traiter :

  • Gestion des risques et gouvernance pour limiter les perturbations causées par un incident de cybersécurité

  • Détection permanente des incidents de cybersécurité.

  • Résilience du service avec un Plan de Continuité d'Activité (PCA) et un processus de gestion de crise qui doivent être testés et mis à jour.

  • Contrôle permanent avec pentest, lié à la résilience : c'est ce que fait Patrowl avec le pentest en continu, l'Offensive Cybersecurity-as-a-Service, parfois appelé Pentest-as-a-Service.

  • Détection permanente de vulnérabilités : c'est aussi ce que fait Patrowl en redécouvrant et en surveillant en permanence la surface d'attaque externe des entreprises (actifs exposés à Internet).

  • Classifier les incidents de cybersécurité et les adapter afin d'en limiter la propagation, d'en limiter l'impact et de partager les connaissances avec les pairs et les autorités de réglementation.

  • Prise en compte réelle de la cybersécurité des tiers (fournisseurs) par l'analyse des risques, le contrôle et l'audit.

  • Le partage de l'intelligence entre les organisations financières.

Nos dernières actualités

Voir plus d'actualités