What is the Digital Operational Resilience Act (DORA)?

La loi DORA (Digital Operational Resilience Act) est un projet de loi visant à améliorer la cybersécurité et la résilience opérationnelle du secteur des services financiers. Elle complète les lois existantes telles que la directive sur les réseaux et la sécurité de l'information (NISD) et le règlement général sur la protection des données (GDPR). Bien que la loi DORA soit encore en cours d'élaboration, elle devrait être approuvée en 2022.

Regardez une démo

What is the Digital Operational Resilience Act (DORA)?

Quel est l'impact de la loi sur la résilience opérationnelle numérique (DORA) sur mon organisation ?

La loi sur la résilience opérationnelle numérique définit des seuils de criticité pour les services fournis aux institutions financières. Si une organisation est un fournisseur direct de services à une institution financière et que ses services atteignent ces seuils, l'entreprise est soumise à la loi DORA. Cela signifie que l'organisation sera directement supervisée par l'autorité de régulation financière compétente.

 

Pour les organisations dont les services n'atteignent pas les seuils DORA, le règlement s'applique toujours, mais la supervision directe n'est pas requise. Au lieu de cela, les clients de l'organisation devront exiger certaines conditions contractuelles pour se conformer aux exigences de la DORA.

 

Par exemple, la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA) exige des institutions financières qu'elles signalent les violations de données aux régulateurs dans un certain délai après leur découverte. Les institutions financières seront tenues d'imposer à leurs fournisseurs et prestataires de services les mêmes exigences en matière de notification des violations, dans le cadre de leurs obligations contractuelles. Si une organisation n'est pas disposée à accepter ces conditions, le DORA interdit à l'institution financière de faire des affaires avec elle.

 

La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act) dicte les conditions que les institutions financières exigeront de leurs fournisseurs et les contrôles de sécurité que ces derniers doivent mettre en place. Étant donné que le DORA vise à améliorer la résilience de l'ensemble du secteur financier, ces obligations et exigences sont susceptibles d'être répercutées sur l'ensemble de la chaîne d'approvisionnement.

Les principales exigences de la loi sur la résilience opérationnelle numérique (DORA)

L'objectif principal de DORA est de garantir la résilience opérationnelle du secteur financier. Dans ce cadre, les organisations couvertes par la loi sur la résilience opérationnelle numérique doivent mettre en œuvre des processus de gestion des risques qui aident à identifier la vulnérabilité potentielle à des cybermenaces plausibles et à mettre en place des politiques et des contrôles de sécurité pour se protéger contre ces risques.

 

Le DORA crée un cadre de règles que les institutions financières et leurs fournisseurs doivent respecter pour assurer leur résilience opérationnelle. Voici quelques-uns des principaux objectifs et exigences :

 

  • Gestion des risques et gouvernance : Le DORA définit des cadres et des lignes directrices pour la gestion des risques dans le secteur financier. Ces lignes directrices ont pour but d'aider les organisations à mettre en place des programmes de gestion des risques plus matures et à améliorer leur résilience opérationnelle.
  • Tests de résilience : Le DORA suggère que les organisations concernées mettent en œuvre des programmes de tests de résilience sur la base de leur évaluation des risques. Cela permet d'identifier et de corriger les problèmes avant qu'ils ne menacent les opérations.
  • Partage de renseignements : De nombreux acteurs de la cybermenace travaillant dans le secteur financier ciblent plusieurs organisations à la fois. En encourageant l'échange de renseignements sur les menaces, DORA aide l'ensemble du secteur à mieux connaître les cybermenaces et à s'y préparer.
  • Gestion de la chaîne d'approvisionnement : La loi DORA impose des exigences sur les relations contractuelles des institutions financières avec leurs fournisseurs. En outre, les institutions financières sont tenues de mettre en place des stratégies de gestion des risques créés par ces fournisseurs, y compris la possibilité de mettre fin aux relations et de passer à des produits de substitution.
  • Rapports d'incidents : Le DORA élargit le champ d'application de la déclaration d'incident et tente de rationaliser le processus de déclaration. En exigeant une notification plus rapide, le DORA encourage également une enquête et une réaction rapides en cas d'incident, ce qui permet d'atténuer l'impact d'une violation. En outre, les rapports de violation peuvent être utilisés pour aider à détecter des intrusions inconnues dans d'autres réseaux.
  • Accès aux audits : Le règlement DORA permet aux régulateurs (et aux institutions financières dans le cas des fournisseurs) de réaliser des audits tout au long de la chaîne d'approvisionnement dans le secteur financier. Cela contribue à la conformité, mais signifie que les organisations doivent avoir la capacité de générer des rapports à la demande.
  • Analyse rétrospective : La plupart des organisations essaient de tirer des leçons de leurs propres incidents internes, mais le DORA encourage l'étude et la révision des politiques sur la base d'incidents externes également. Cette mesure vise à empêcher que plusieurs organisations ne soient victimes des mêmes types d'attaques.

 

Les exigences exactes de la loi sur la résilience opérationnelle numérique ne sont pas connues car elle est encore à l'état de projet. Toutefois, le fait d'entamer dès aujourd'hui le processus visant à satisfaire à ces exigences simplifiera la mise en conformité une fois que la loi sera approuvée.

Comment les solutions de point de contrôle aident à la conformité DORA

La loi DORA n'a pas encore été adoptée, mais elle devrait entrer en vigueur en 2022. Cela signifie que les organisations susceptibles d'être affectées par la loi DORA doivent commencer à travailler à la conformité dès aujourd'hui.

 

Pour se préparer à la loi sur la résilience opérationnelle numérique, l'une des mesures les plus importantes qu'une organisation puisse prendre est de simplifier et de rationaliser son architecture de sécurité. Le DORA exige une notification rapide des incidents de cybersécurité, une visibilité sur les dépendances d'une organisation vis-à-vis de tiers et la capacité de répondre aux demandes d'audit des régulateurs ou des clients.

 

Point de contrôle Harmony Suite offre une protection consolidée de l'ensemble de l'infrastructure informatique d'une organisation, y compris la prise en charge des postes, des mobiles, des nuages et des courriels. En simplifiant et en rationalisant l'infrastructure de sécurité d'une organisation, la suite Harmony facilite la protection contre les cybermenaces et le respect des exigences de déclaration de la DORA. Pour en savoir plus sur la façon dont les solutions de Point de contrôle peuvent vous aider à respecter la Conformité et d'autres réglementations, contactez-nous.

×
  Commentaires
Ce site web utilise des cookies à des fins de fonctionnalité, d’analyse et de marketing. En continuant d’utiliser ce site web, vous acceptez l’utilisation des cookies. Pour plus d’informations, consultez notre Avis concernant les cookies.
OK