icon

Digital Operational Resilience Act (DORA) EU Regulations

contents

Understanding the Digital Operational Resilience Act

ICT Risk Management Framework Under DORA

Incident Reporting and Management Requirements

Digital Operational Resilience Testing

Third-Party Risk Management and Oversight

Implementation Timeline and Compliance Considerations

Impact of DORA on the EU Financial Sector

How Hideez Can Help with DORA Compliance

Loi sur la résilience opérationnelle numérique : Qu'est-ce que DORA ?

 

La Loi sur la Résilience Opérationnelle Numérique (DORA) est une réglementation phare de l'UE conçue pour renforcer la sécurité informatique et la résilience opérationnelle des entités financières à travers l'Europe. Entrée en vigueur le 16 janvier 2023, avec une obligation de conformité d'ici le 17 janvier 2025, DORA est reconnue comme un outil bien fondé et efficace pour gérer les risques numériques dans le secteur financier.

Cette réglementation est une réponse de l'Union européenne à la dépendance croissante aux technologies de l'information et de la communication (TIC) dans les services financiers, et à l'augmentation des menaces de cyberattaques. Par conséquent, DORA vise à traiter des points critiques tels que les réglementations nationales fragmentées, les pratiques inadéquates de gestion des risques TIC et l'insuffisance de supervision des fournisseurs technologiques tiers. 

Chez Hideez, nous nous engageons à soutenir les institutions financières dans le respect des réglementations de sécurité et à augmenter la productivité de leurs équipes grâce à nos solutions d'authentification sans mot de passe. Découvrons ensemble les principales considérations pour vous aider à atteindre une conformité complète à DORA !

Comprendre la Loi sur la Résilience Opérationnelle Numérique

DORA est une initiative de l'UE visant à encourager l'innovation, garantir la stabilité financière et protéger les consommateurs dans différents systèmes financiers tels que les banques, les compagnies d'assurance, les sociétés d'investissement, et autres. 

La loi impose des exigences uniformes en matière de sécurité des réseaux et des systèmes d'information, soutenant les processus commerciaux des entités financières. Une caractéristique marquante de DORA est qu'elle est conçue pour s'assurer que les institutions financières peuvent répondre rapidement et se remettre des perturbations et des menaces liées aux TIC. En outre, elle vise à renforcer la stabilité du système financier européen en unifiant les règles de résilience numérique à travers l'UE, réduisant ainsi les incohérences réglementaires.

Qui est concerné par DORA ?

DORA s'applique à plus de 22 000 entités financières et fournisseurs de services TIC opérant au sein de l'UE, ainsi qu'à l'infrastructure TIC qui les soutient à l'extérieur de l'UE. Elle impacte divers systèmes financiers, notamment :

  • Banques
  • Compagnies d'assurance
  • Sociétés d'investissement
  • Processeurs de paiements
  • Bourses
  • Entités d'infrastructure de marché
  • Agences de notation
  • Fournisseurs de services d'actifs cryptographiques

De plus, elle s'étend aux fournisseurs TIC critiques desservant ces institutions financières. Par conséquent, les organisations doivent cartographier leurs dépendances critiques à des fournisseurs TIC tiers et diversifier leurs fournisseurs pour éviter une dépendance excessive à un groupe restreint ou unique de fournisseurs.

 

Objectifs principaux et champ d'application de DORA

La loi a deux objectifs essentiels. Le premier est de traiter de manière exhaustive la gestion des risques TIC dans le secteur des services financiers. Cela inclut l'établissement de normes pour l'évaluation des risques, le signalement des incidents et les tests de résilience. Le deuxième objectif est de rééquilibrer les réglementations de gestion des risques TIC entre les États membres de l'UE, dans le but de créer des conditions équitables et de réduire les difficultés de conformité pour les systèmes financiers opérant dans plusieurs pays de l'UE.

Les principales composantes de DORA incluent :

  • Gestion des risques TIC
  • Signalement des incidents
  • Tests de résilience opérationnelle numérique
  • Gestion des risques liés aux tiers
  • Cadre de supervision pour les fournisseurs de services TIC critiques

Cadre de gestion des risques TIC sous DORA

DORA exige que les entités financières établissent un cadre de gestion des risques TIC solide, complet et bien documenté. Ce cadre doit constituer un élément essentiel du système global de gestion des risques de l'entité et permettre de traiter rapidement, efficacement et de manière adéquate les risques potentiels. Les cinq composantes principales de ce cadre sont :

  1. Identification et évaluation des risques : les entités doivent régulièrement évaluer et documenter les risques TIC, y compris ceux découlant des dépendances de tiers.
  2. Mesures de protection et de prévention : mise en œuvre de stratégies, politiques et outils de sécurité pour protéger les systèmes et les données, comme des solutions d'accès sans mot de passe pour réduire les risques liés au phishing et aux incidents liés aux mots de passe.
  3. Mécanismes de détection : utilisation de processus et de technologies pour identifier rapidement les anomalies et incidents de sécurité potentiels.
  4. Planification de la réponse et de la récupération : développement et maintien de plans de continuité des activités et de procédures de reprise après sinistre.
  5. Apprentissage et évolution : amélioration continue du cadre en s'appuyant sur les leçons tirées des incidents et des tests.

Il est également important de mentionner que DORA exige l'attribution de la responsabilité de la gestion et de la supervision des risques TIC à une fonction de contrôle disposant d'un niveau d'indépendance approprié. Cela souligne la nécessité d'une responsabilité claire et d'une gouvernance efficace dans la gestion des risques numériques.

Exigences de DORA

Exigences en matière de signalement et de gestion des incidents

Un aspect clé de DORA est son accent sur le signalement et la gestion des incidents. Il est obligatoire pour les entités financières de définir et d'exécuter un processus de gestion permettant de surveiller et de classer tous les incidents liés aux TIC. La réglementation introduit trois obligations de signalement pour les incidents importants :

Premièrement, la notification initiale, qui doit être soumise dans un délai spécifié après la classification d'un incident comme étant important. Deuxièmement, le rapport intermédiaire, qui doit être fourni lorsque l'état de l'incident initial a changé de manière significative. Troisièmement, le rapport final, présenté une fois l'analyse des causes terminée et les chiffres réels de l'impact disponibles.

En outre, la loi exige que les entités financières informent leurs clients sans délai injustifié des incidents majeurs liés aux TIC qui affectent leurs intérêts financiers. Une telle approche renforce la confiance et permet aux clients de prendre rapidement les mesures de protection nécessaires si besoin. 

De plus, DORA encourage la déclaration volontaire des menaces cybernétiques importantes, favorisant une approche collaborative de la cybersécurité dans le secteur financier.

Tests de résilience opérationnelle numérique

Pour garantir l'efficacité des cadres de gestion des risques TIC, DORA exige que les entités financières réalisent des tests réguliers de leur résilience opérationnelle numérique. Les étapes obligatoires sont :

  1. Évaluations et analyses de vulnérabilités : évaluations régulières pour identifier les faiblesses potentielles dans les systèmes et applications.
  2. Évaluations de la sécurité des réseaux et des infrastructures : tests pour garantir la solidité des protections des réseaux.
  3. Tests de sécurité des applications : évaluations des applications logicielles utilisées dans les fonctions commerciales critiques.
  4. Tests basés sur des scénarios : simulations de divers scénarios d'attaques cybernétiques pour évaluer les capacités de réponse.
  5. Tests de pénétration dirigés par les menaces : tests avancés pour les entités jugées critiques pour le système financier, à effectuer au moins tous les trois ans.

Les résultats doivent être documentés et signalés aux niveaux supérieurs de l'organisation. Sur cette base, une stratégie pour résoudre les points faibles identifiés doit être développée et présentée. Cet ensemble complet de tests vise à améliorer continuellement la résilience des entités financières face aux menaces cybernétiques évolutives. 

Gestion des risques des tiers et supervision

Reconnaissant le rôle crucial des fournisseurs de services TIC dans le domaine financier, DORA introduit des exigences strictes pour gérer les risques des tiers. Les aspects principaux sont :

  1. Diligence raisonnable dans la sélection : les entités financières doivent évaluer rigoureusement les fournisseurs TIC potentiels avant de conclure des accords contractuels.
  2. Garanties contractuelles : les accords avec les fournisseurs TIC doivent inclure des dispositions spécifiques concernant la sécurité, la notification des incidents et les droits d'audit.
  3. Suivi continu : évaluation régulière des performances et des mesures de sécurité des tiers.
  4. Stratégies de sortie : élaboration de plans complets pour se désengager des fournisseurs tiers si nécessaire. 

En outre, DORA établit un cadre de supervision pour les fournisseurs tiers TIC critiques. Cela permet aux Autorités de Supervision Européennes de superviser directement ces fournisseurs critiques et de garantir qu'ils respectent les normes requises pour servir le secteur financier.

Calendrier de mise en œuvre et considérations de conformité

Le calendrier de la Loi sur la Résilience Opérationnelle Numérique peut être présenté comme suit :

  • 16 janvier 2023 : DORA est entrée en vigueur.
  • 17 janvier 2025 : Date limite pour les entités financières et les fournisseurs TIC pour se conformer.

Calendrier DORA

Impact de DORA sur le secteur financier de l'UE

La mise en œuvre réussie du cadre de conformité DORA a des effets significatifs sur le secteur financier de l'Union Européenne. Voici les principaux impacts :

  1. Renforcement de la cybersécurité : grâce à diverses pratiques de gestion des risques TIC, DORA devrait considérablement améliorer la posture globale de cybersécurité des entités financières.
  2. Réglementations harmonisées : une approche intégrée entre les différents États membres facilitera la conformité réglementaire pour les opérations financières transfrontalières et garantira une concurrence équitable. 
  3. Amélioration de la gestion des risques liés aux tiers : le cadre de supervision pour les fournisseurs TIC critiques aidera à réduire les risques associés à l'externalisation et aux services cloud.
  4. Promotion de l'innovation : un plan clair avec des lignes directrices réglementaires soutient DORA en encourageant le secteur financier à adopter de nouvelles technologies de manière efficace, tout en garantissant des pratiques de gestion des risques solides.
  5. Renforcement de la confiance des consommateurs : une meilleure résilience et une communication claire des incidents peuvent contribuer à renforcer la confiance et la sécurité des consommateurs dans les services financiers numériques.

Comment Hideez peut aider à se conformer à DORA

Pour les institutions financières confrontées à la Loi sur la Résilience Opérationnelle Numérique, la sécurité commence par une authentification robuste. L'article 9 de la législation DORA est explicite : protéger l'accès aux systèmes sensibles est incontournable. C'est la première ligne de défense contre le phishing, l'accès non autorisé et les incidents de sécurité qui peuvent perturber les opérations commerciales.

Bien que la mise en œuvre de l'authentification multifactorielle (MFA) soit essentielle, toutes les méthodes ne garantissent pas le même niveau de protection. Comme nous l'avons expliqué dans notre article détaillé “Comment choisir la méthode MFA la plus sécurisée ?,” les approches traditionnelles comme les notifications push ou les mots de passe à usage unique basés sur SMS sont vulnérables au phishing et aux attaques de swap de carte SIM.

Pour répondre efficacement aux exigences de DORA, les institutions financières devraient adopter des solutions basées sur la MFA sans mot de passe. Cette approche avancée élimine complètement les mots de passe, les remplaçant par des options sécurisées telles que la biométrie ou des clés de sécurité physiques. Elle simplifie également l'expérience utilisateur en supprimant les contraintes liées à la gestion des mots de passe sur le lieu de travail.

Prêt à essayer une authentification sans mot de passe ? Réservez une démonstration de la solution Hideez Workforce Identity ou créez un compte sur notre portail cloud pour configurer un SSO sans mot de passe pour vos services web gratuitement. Que vous soyez une petite entreprise ou une grande organisation, nos outils peuvent vous aider à mettre en œuvre des pratiques d'authentification véritablement sécurisées et à respecter les normes de résilience opérationnelle de DORA.

Popular Pages

<b>Qu'est-ce que FIDO2 et comment ça marche ? Avantages et inconvénients de l'authentification sans mot de passe</b> Qu'est-ce que FIDO2 et comment ça marche ? Avantages et inconvénients de l'authentification sans mot de passe

Retour à Blog et nouvelles de Hideez