Cyber sécurité 
Vous pouvez protéger votre empreinte numérique en supprimant les comptes que vous n'utilisez plus, en ajustant vos paramètres de confidentialité, en évitant le partage excessif sur
publié le octobre 16, 2024
La loi sur la résilience opérationnelle numérique (DORA) est un règlement qui renforce la sécurité numérique des institutions financières dans l’Union européenne (UE). Bien que DORA soit entrée en vigueur en 2023, elle sera pleinement adoptée par toutes les entités financières de l’UE et les fournisseurs de services tiers de technologies de l’information et de la communication (TIC) à partir de janvier 2025 pour améliorer leurs défenses face aux cybermenaces potentielles.
Poursuivez votre lecture pour découvrir les objectifs de DORA, ses principaux piliers de conformité et comment votre organisation peut se préparer à DORA.
Le but de DORA
Les deux principaux objectifs de DORA sont d’améliorer la façon dont les services financiers gèrent les risques TIC et d’unifier les réglementations existantes de gestion des risques TIC dans tous les États membres de l’UE.
Répondre à la gestion des risques TIC dans le secteur financier
Dans les institutions financières de l’UE, les réglementations de gestion des risques se focalisent sur la garantie que les organisations ont suffisamment d’argent pour gérer les risques pour leurs opérations. Le problème avec cela, cependant, est que certaines organisations ont des directives TIC tandis que d’autres ne le font pas. Sans un ensemble unifié de normes de sécurité ou de règles de sécurité pour la gestion des risques TIC, chaque État membre de l’UE a décidé de développer ses propres exigences. DORA rendra le secteur financier plus sûr et mieux à même de gérer les risques liés à ses systèmes en ligne et ses vulnérabilités technologiques en standardisant ces exigences.
Harmoniser les réglementations de gestion des risques dans un cadre
Avec DORA, l’UE peut compter sur un cadre de sécurité cohérent pour gérer les risques TIC, principalement dans le secteur des services financiers. Cela éliminera les incohérences entre les différents pays de l’UE quant à leurs normes et facilitera le processus de conformité pour les institutions financières à suivre. DORA aidera les organisations à mieux comprendre ce qu’il faut faire en cas de risque de sécurité.
Les 5 piliers de la conformité DORA
Les organisations de l’UE touchées par DORA devront suivre ses cinq piliers de conformité d’ici le 17 janvier 2025.
1. Gestion des risques TIC
La gestion des risques TIC est la base de DORA, car elle détecte et analyse les risques associés à l’utilisation de la technologie par une organisation. Les institutions financières doivent suivre un cadre de gestion des risques TIC avec l’aide des parties prenantes cruciales et des membres de la haute direction pour établir une communication forte sur les risques de sécurité potentiels. La gestion des risques TIC doit détailler les outils, les documents et les processus appropriés pour défendre une organisation des risques opérationnels et des cybermenaces. Sans une bonne gestion des risques TIC, les organisations auront plus de chances de subir des violations de données et d’autres problèmes de sécurité qui pourraient nuire à leurs entreprises et à leur réputation.
2. Signalement des incidents TIC
Une fois qu’un cadre de gestion des risques TIC est établi, une organisation doit savoir comment signaler les incidents s’ils se produisent. Avec DORA, la signalisation des incidents TIC deviendra un processus plus simple en regroupant ces rapports dans un channel plus rationalisé. Les organisations financières doivent soumettre un rapport de cause première à un hub européen unifié dans le mois suivant un incident grave lié aux TIC sur la base des nouvelles règles de l’UE en matière de signalement. Une fois qu’une organisation a soumis un rapport sur la cause racine, le hub de l’UE examinera tous les principaux rapports liés aux TIC et recueillera toutes les données pour déterminer s’il existe des vulnérabilités de sécurité communes aux institutions financières.
3. Tests de résilience opérationnelle numérique
Certaines entités financières recrutent actuellement des parties indépendantes pour mener régulièrement des tests de résilience opérationnelle numérique, qui teste leurs méthodologies, leurs procédures, leurs outils et leurs systèmes de récupération en vue de tout risque lié aux TIC. Bien qu’il existe des cadres de travail existants qui couvrent les tests de résilience opérationnelle numérique pour certaines organisations financières, DORA rendra les exigences de test largement répandues dans le secteur des services financiers. Cela augmentera le nombre d’organisations nécessaires pour mener des tests de résilience opérationnelle numérique, ce qui minimisera le coût d’embauche de parties indépendantes et réduira les chances que les organisations subissent des cyberattaques.
4. Partage d’informations et de renseignements
Une fois DORA en vigueur, les organisations seront tenues de partager les informations sur les cybermenaces au sein de communautés financières fiables. L’objectif principal est d’aider les autres organisations à s’informer des cybermenaces potentielles afin qu’elles puissent développer leurs propres solutions pour protéger les informations privées. Les organisations décrivent et partagent les stratégies qu’elles utilisent pour combattre les cybermenaces afin d’améliorer la sécurité globale de la communauté des services financiers.
5. Gestion des risques tiers TIC
Les entités financières doivent avoir des contrats en place avec tous les fournisseurs de services TIC « critiques », en mettant en évidence des sujets tels que la protection des données et la gestion des incidents. Ce qui distingue certains fournisseurs de services TIC comme « critiques » comprend les services qui sont cruciaux pour les opérations quotidiennes d’une organisation. Les contrats avec les fournisseurs tiers critiques s’assurent qu’ils doivent soutenir leurs organisations financières affiliées en cas de violation de données ou d’autre cyberattaque. Par exemple, lorsqu’un accord est signé, le fournisseur tiers sera tenu de partager les informations appropriées et de respecter le plus haut niveau de normes de sécurité pour les services fournis à une organisation financière compatible DORA en raison de son statut « critique ».
Comment se préparer à la conformité DORA
Votre organisation peut se préparer à répondre aux exigences de DORA de différentes façons, notamment en menant un examen des lacunes DORA, en identifiant les fournisseurs tiers critiques et en profitant de votre plan de réponse aux incidents actuel.
Mener une analyse des lacunes DORA
Pour déterminer toutes les lacunes dans les systèmes TIC, votre organisation doit effectuer une analyse des lacunes DORA. Vous pouvez apprécier vos pratiques actuelles en les comparant à ce dont DORA aura besoin, ce qui vous aidera à mieux identifier les domaines que votre organisation doit améliorer pour respecter les nouvelles exigences. Sur la base des résultats de votre analyse des lacunes DORA, vous devrez peut-être créer une feuille de route de remédiation pour combler toutes les lacunes au sein de votre organisation. Par exemple, si votre analyse des lacunes montre que votre organisation ne participe pas au partage d’informations, vous devrez identifier les actions et établir un calendrier pour vous assurer que votre organisation devient compatible DORA.
Identifier les fournisseurs TIC tiers critiques
Votre organisation doit déterminer si vous travaillez avec des fournisseurs TIC tiers « critiques » en identifiant toutes les caractéristiques qui définissent cette catégorisation. Si vous utilisez des fournisseurs de services cloud tiers (CSP), votre équipe de sécurité doit s’assurer que ces fournisseurs sont également compatibles DORA et ont des contrats en place. Il est important d’identifier lequel de vos fournisseurs de services tiers tombe dans la catégorie « critique », car vous devrez peut-être établir des équipes et modifier le logiciel pour garantir la conformité DORA.
Appliquer votre plan de réponse aux incidents actuel
Un plan de réponse aux incidents attribue des responsabilités et fournit des procédures que les employés d’une organisation à suivre en cas de violation de données ou de cyberattaque. Avec un plan de réponse aux incidents établi, votre organisation n’aura pas à paniquer si quelque chose ne va pas, mais sera plutôt prête à identifier, évaluer, remédier et prévenir les attaques de se reproduire. En supposant que votre organisation a déjà un plan de réponse aux incidents en place, vous devrez réévaluer si votre plan actuel est compatible DORA. Mesurez votre plan actuel par rapport aux exigences de DORA pour savoir si votre organisation suivra des mandats spécifiques. Si vous testez votre plan de réponse aux incidents en simulant une violation de données et en découvrant les vulnérabilités, vous devrez également modifier vos rapports internes pour répondre aux normes de DORA.
Que se passe-t-il si les entreprises ne respectent pas DORA ?
Si une entité financière ne respecte pas DORA, les autorités peuvent imposer des amendes jusqu’à 2 % du revenu mondial annuel de l’organisation. Bien que l’organisation dans son ensemble souffrira du fait de ne pas respecter DORA, les gestionnaires individuels peuvent également recevoir une pénalité financière pouvant atteindre un million d’euros. Pour tous les fournisseurs TIC tiers « critiques » qui ne respectent pas DORA, la pénalité peut être aussi élevée que cinq millions d’euros.
Comment KeeperPAM® peut vous aider à respecter la conformité DORA
Votre organisation peut renforcer sa sécurité et répondre à certaines exigences de conformité DORA en investissant dans une solution de gestion des accès à privilèges (PAM) comme KeeperPAM. Lorsque vous utilisez KeeperPAM, votre organisation sera en mesure de surveiller de près et de gérer les employés et les systèmes qui gèrent les données sensibles et les comptes critiques, réduisant de manière significative toutes les erreurs ou les vulnérabilités qui pourraient entraîner des violations de données ou des cyberattaques. KeeperPAM peut aider les organisations du secteur financier à respecter la conformité DORA en réduisant leur surface d’attaque, en garantissant un accès sécurisé pour les utilisateurs autorisés et en obtenant des rapports complets pour chaque compte à privilèges.
Demandez une démo de KeeperPAM dès aujourd’hui pour vous assurer que votre organisation est préparée aux exigences de conformité DORA et sécurisée avec les plus hauts niveaux de protection pour vos données sensibles.
