Prendre RDV

Comprendre la réglementation européenne DORA

Comprendre la réglementation européenne DORA

La réglementation européenne DORA sur la résilience opérationnelle numérique entre en vigueur en début d’année 2023 et sera en application le 17 janvier 2025. Quels sont les changements majeurs pour les acteurs concernés et quelles sont les attentes de ce nouveau règlement ? Frans Imbert-Vier, PDG d’UBCOM, a répondu à ces interrogations.

🎙 Si vous n’avez pas le temps de lire l’article, vous pouvez écouter le podcast : ICI

Quel est l’objectif principal de DORA et qu’apporte-il ?

Frans Imbert-Vier (FIV) : La réglementation DORA (Digital Operational Resilience Act) est destinée à prévenir et atténuer la cybermenace. Il apporte un cadre détaillé et complet sur la résilience opérationnelle numérique pour les institutions financières y compris les familles d’office dès lors que les fonds gérés sont supérieurs à 2 millions d’euros.

À qui s’applique-t-il ?

FIV : Le règlement DORA s’applique aux institutions financières et aux prestataires de services qui opèrent au sein de l’Union européenne dans les services financiers. On compte en Europe 20 000 organismes financiers concernés. Ce sont les établissements de crédit et de paiement, mais également les plateformes de négociation, les centrales de référentiels centraux, les gestionnaires de fonds, les sociétés de gestion, les prestataires en services de communication de données, les entreprises d’assurance, les agences de notation de crédit, les référentiels des titrisations ou encore les institutions de retraits professionnels.

Sur quoi repose le règlement DORA ?

FIV : Le règlement DORA s’appuie sur 5 piliers

  1. La mise en place d’un cadre de gestion des risques informatiques. Qu’il soit solide, complet et documenté
  2. Un reporting obligatoire à l’ACPR (autorité de contrôle prudentielle et de résolution) des incidents informatiques majeurs
  3. La mise en œuvre d’un programme de test de résilience opérationnelle. Des tests annuels et pour certains des tests d’intrusion fondés sur la menace
  4. La mise en place d’un cadre de gestion du risque présenté par les fournisseurs tiers de services informatiques
  5. Enfin, la possibilité d’organiser entre entités financières des dispositifs de partage d’informations et de renseignements sur les cybermenaces

Quelles sont les conséquences pour les entités financières ?

FIV : Les entités financières doivent s’interroger sur le fait de savoir si le service proposé par ces dernières est critique et tenir compte de l’ampleur de la complexité et l’importance de la relation de dépendance avec ce dernier.

Les entités financières dans le cadre de l’application de la réglementation DORA vont devoir mettre à jour des contrats de sous-traitance avec ces derniers, en prévoyant notamment des descriptions complètes des services, le lieu d’hébergement final des données, les garanties d’accès, de récupération et de restitution des données en cas de défaillance du prestataire, et enfin des possibilités d’audit technique par des tiers (faculté d’audit). La réglementation DORA définit un programme de test de résilience à exécuter au frais de l’organisation, au moins une fois par an, par des parties indépendantes interne ou externe. Cela comprend une série d’évaluations, de méthodologies, de pratiques et d’outils.

Quelle est la vue d’ensemble de la stratégie de résilience opérationnelle numérique ? Quelles sont les actions à prévoir ?

FIV : Il faut identifier ce que l’on a de stratégique. C’est-à-dire les informations, qui, si elles devaient être connues d’un adversaire, provoqueraient un désastre économique pour l’organisation victime. Il faut également détecter ce qui a fuité et qui nous concerne pour le blanchir. Cela protège la réputation, diminue le bruit de la marque sur l’internet et surtout permet de mieux garantir le respect de la réglementation à compter de 2025. Ainsi, l’organisation pourra faire valoir une parfaite conformité et augmenter ses chances de gagner des parts de marché face à la concurrence. Enfin, il faudra veiller en continu à identifier les informations concernant l’organisation qui pourrait faciliter sa compromission. Cela revient à détecter la fuite de mot de passe, de documents contractuels publiés sur des serveurs de leaks ou veiller à la réputation et à l’image d’un exécutif pour préserver la vie privée, mais aussi la réputation de la marque.

Comment les experts d’UBCOM peuvent accompagner les acteurs concernés par le règlement DORA ?

FIV : UBCOM propose une expertise forte en Intelligence économique et en investigation, supportée par un moteur de recherche souverain, qui respecte le droit, et permet d’identifier à moindre coût les menaces en générant un factuel tangible et exploitable dans un cadre judiciaire par exemple.

UBCOM bénéficie d’une équipe d’experts renommés et sélectionne les meilleures solutions technologiques afin de vous accompagner sur les différents enjeux liés à cette nouvelle réglementation européenne. La solution française d’Aleph Networks en fait notamment partie. Grâce à un moteur de recherche ultra-performant et labellisé par UBCOM, la solution Aleph Search Dark associée à l’expertise des consultants UBCOM se tiennent alors à votre disposition pour vous assister dans l’analyse de risques et l’audit des contrats avec les prestataires techniques dans le cadre du règlement DORA.

Le presse parle de nous

Voir plus

1. Protection des appareils

Protégez tous vos terminaux où que vous soyez.

2. Analyse réseau

Assurez la protection de votre réseau face aux flux toxiques et cybermenaces.

3. Ingénierie sociale

Ne laissez pas votre entreprise s’exposer aux risques cyber, équipez et sensibilisez vos équipes.

4. Conformité

Analysez votre niveau de conformité face aux règlementations cyber.

5. Protection infrastructure

Votre infrastructure sécurisée garantit la sécurité de vos données, où qu’elles soient.

6. Protection des communications

Sélectionnez les meilleures solutions chiffrées afin de communiquer en toute sécurité.

Comment ça marche ?

Pour construire votre cybersécurité, il ne suffit pas d’installer un firewall et un VPN sur vos outils informatiques. Nous vous proposons d’être accompagné.e.s par les experts de la cyber et de bénéficier d’une stratégie adaptée en 5 étapes.
Découvrir les 5 étapes

Faire un audit de cybersécurité

Cybermanager™ vous permet d’étudier votre niveau de cyberexposition sur les 6 piliers qui composent votre organisation.
En savoir plus

Effectuer un scan de vulnérabilités de mon organisation

Le scanner de vulnérabilités est la première étape vers votre cybersécurité. Il permet de mettre en lumière les faiblesses des différentes composantes de votre système d’information (systèmes, réseau, applicatif).
En savoir plus