N°1 OFFENSIVE SECURITY AS A SERVICE

Conformité DORA : objectifs, enjeux, critères & solution

DORA (Digital Operational Resilience Act) est une réglementation européenne adoptée en 2022 par la Commission européenne, entrée en vigueur le 16 janvier 2023 et s'appliquant à partir du 17 janvier 2025. Elle a pour objectif de renforcer la résilience opérationnelle numérique des institutions financières et des services financiers en matière de cybersécurité.

Demander une démo

Qui est concerné par DORA ?

L'ensemble des 22 000 entreprises

Fournisseurs de services et établissement de crédit, de paiement, de crypto-actifs, d'assurance, de réassurance, d'intermédiaires, de fonds de pension, tiers critiques(fournisseurs de services TIC) etc.

La seule exception

Les très petites entreprises de moins de 10 salariés et dont le chiffre d'affaires annuel est inférieur à 2 millions d'euros.

Pourquoi la réglementation DORA ?

DORA se concentre sur la résilience appliquée à la cybersécurité en listant des critères et des recommandations pragmatiques.

Toutes les institutions financières utilisent des ordinateurs et traitent des données. Un incident de cybersécurité non maîtrisé peut conduire à un désastre financier (comme le récent piratage de FTX, une bourse de crypto-monnaies) et c'est la raison pour laquelle l'UE a rédigé DORA.

Quels sont les objectifs de DORA ?

Le secteur financier est déjà réglementé par la Banque Centrale Européenne, mais DORA vise à unifier les règles avec un niveau de sécurité commun. Les objectifs sont :

  1. Identifier les actifs et les risques liés à l'activité, y compris le risque informatique.

  2. Protéger le système d'information pour assurer la fourniture de services d'infrastructure critiques.

  3. Détecter les événements de cybersécurité.

  4. Réagir aux incidents, soutenir les activités de récupération et améliorer la situation.

  5. Récupérer et restaurer les systèmes affectés pour assurer la continuité des activités.

Quels sont les critères à respecter face à la réglementation DORA?

Surveillance continue avec des tests de pénétration et des tests de résilience opérationnelle: c'est ce que fait Patrowl avec le pentest en continu, l'Offensive Cybersecurity-as-a-Service, parfois appelé Pentest-as-a-Service.

  • Détection permanente de vulnérabilités : c'est aussi ce que fait Patrowl en redécouvrant et en surveillant en permanence la surface d'attaque externe des entreprises (actifs exposés à Internet).

  • Résilience du service avec un Plan de Continuité d'Activité (PCA) et un processus de gestion de crise qui doivent être testés et mis à jour.

  • Classifier les incidents de cybersécurité et les adapter afin d'en limiter la propagation, d'en limiter l'impact et de partager les connaissances avec les pairs et les autorités de réglementation.

  • Gestion des risques et gouvernance pour limiter les perturbations causées par un incident de cybersécurité

  • Prise en compte réelle de la cybersécurité des tiers (fournisseurs) par l'analyse des risques, le contrôle et l'audit.

  • Le partage de l'intelligence entre les organisations financières.

  • Détection permanente des incidents de cybersécurité.

Solution & plateforme pour la réglementation DORA

Patrowl est entièrement conforme aux exigences de DORA en matière de surveillance continue des actifs exposé sur internet grâce à sa solution SaaS.

Découvrir Patrowl

Aller plus loin avec DORA ?

Pour en savoir plus sur DORA, consultez les articles de Marc-Antoine LEDIEU détaillant les enjeux, implications et conséquences de la loi DORA

En savoir plus

Conclusion

La conformité DORA est un enjeu majeur pour les institutions financières et leurs tiers critiques. En anticipant les exigences et en collaborant avec des experts en cybersécurité, vous pouvez garantir votre conformité et éviter les sanctions.

Vos questions

Comment éviter les sanctions liées à la non-conformité DORA ?

  1. Anticipation : Commencez dès maintenant à mettre en conformité vos systèmes et processus.

  2. Formation : Sensibilisez vos équipes aux exigences de DORA.

  3. Partenariat : Collaborez avec des prestataires de cybersécurité ou des experts en résilience numérique.

Sanctions en cas de non-conformité

Le DORA prévoit des sanctions significatives pour les entités financières qui ne respectent pas ses obligations :

  • Amendes financières proportionnelles à la gravité de la non-conformité.

  • Restrictions opérationnelles (interdiction temporaire ou permanente de fournir certains services).

  • Sanctions administratives (injonctions de se conformer, nomination d'un auditeur externe).

  • Atteinte à la réputation (perte de confiance des clients et partenaires).

Comment évaluer ma conformité avec DORA ?

  1. Comprendre les exigences : Identifiez les obligations spécifiques en fonction de votre secteur et de votre taille.

  2. Réaliser un audit interne : Évaluez votre gouvernance TIC, votre PCA et vos tests de résilience opérationnelle.

  3. Mise en œuvre des contrôles : Identifiez les écarts et mettez en place des mesures correctives.

  4. Test externe : Faites appel à un organisme indépendant pour évaluer vos systèmes.

  5. Surveillance continue : Mettez à jour vos politiques et processus en fonction des nouvelles menaces.

Nos dernières actualités

Voir plus d'actualités