/
  • Last updated
/
  • 9 min read

Quels sont les 5 piliers DORA ?

  • [article-auteur-unique]
Quels sont les 5 piliers DORA ?

Le Digital Operational Resilience Act (DORA) de l’Union européenne consolide les normes de sécurité numérique pour les entités financières dans ses territoires membres. Ceux-ci sont principalement illustrés par les initiatives clés de ce cadre, également appelées les 5 piliers DORA :

  1. Gestion des risques liés aux TIC
  2. Rapport sur les incidents liés aux TIC
  3. Tests de résilience opérationnelle numérique
  4. Gestion des risques liés aux tiers
  5. Partage d’informations

DORA complète la directive renforcée sur la sécurité des réseaux et de l’information 2 (NIS2). Toutefois, contrairement à la norme NIS2, DORA est une réglementation exécutoire similaire au règlement général sur la protection des données (RGPD) de l’UE. Si vous travaillez dans les secteurs de l’informatique et de la finance, voici tout ce que vous devez savoir sur les exigences DORA en matière de cybersécurité.

Les 5 piliers de la réglementation DORA

Les institutions financières sont connues pour leurs infrastructures informatiques complexes. Ces technologies permettent aux entreprises d’optimiser les performances et les mesures de sécurité d’une nouvelle manière, mais nécessitent également des solutions de gestion des risques plus efficaces.

La réglementation DORA vise à combler ces lacunes en introduisant une série d’exigences qui relèvent le niveau des normes en matière de technologies de l’information et de la communication (TIC) dans l’ensemble du secteur financier. Dans l’ensemble, la philosophie et la vision de cette réglementation sont résumées dans les piliers suivants :

  1. Gestion des risques liés aux TIC

La gestion des risques informatiques est la base même du cadre DORA. Cela comprend les stratégies, les politiques et les outils nécessaires pour protéger les données et les actifs contre les défis importants liés aux TIC.

Ce pilier garantit que les institutions financières et les différentes parties prenantes surveillent, évaluent et maîtrisent rapidement et avec précision les vulnérabilités liées aux TIC. Il couvre également la manière dont ils signalent ces incidents et y répondent. Les sociétés financières et leurs fournisseurs de services tiers doivent se préparer à des audits et des évaluations de sécurité réguliers.

Les responsables informatiques doivent élaborer un cadre complet de gestion des risques liés aux TIC afin de répondre aux exigences de conformité DORA. Il peut s’agir de tirer parti des protocoles existants et de redéfinir certains objectifs et rôles au sein de l’entreprise. Un plan d’action complet doit présenter une approche proactive et cohérente de la gestion des risques.

  1. Rapport sur les incidents liés aux TIC

En vertu de la réglementation DORA, les organisations doivent collaborer avec les autorités compétentes pour faire face aux incidents majeurs liés aux TIC.

Les incidents doivent également être immédiatement classés en fonction de leur impact et de leur capacité à perturber les niveaux de service. Ils doivent également être signalés aux autorités compétentes selon les délais de notification stricts de la réglementation DORA et les modèles standard.

Compte tenu de l’importance accrue accordée à la notification des incidents liés aux TIC, les responsables informatiques devraient envisager de renforcer les procédures internes d’examen et de documentation. L’automatisation est l’un des moyens d’y parvenir.

Elle permet en effet d’implémenter un plan de gestion des risques plus complet et mieux connecté. Pour commencer, un logiciel de surveillance avancée peut aider les entreprises à anticiper les problèmes potentiels grâce à la surveillance en temps réel, à la détection et à la réponse aux menaces. Dans le même temps, cette approche moderne peut renforcer les pratiques de sauvegarde et de récupération.

  1. Tests de résilience opérationnelle numérique

DORA préconise également de tester régulièrement les mesures de résilience numérique. En d’autres termes, les entreprise sont censées analyser l’impact de scénarios spécifiques et de perturbations importantes sur leurs activités. Dans ce contexte, les grandes institutions peuvent être tenues de suivre des protocoles de test plus complets et plus fréquents.

Parmi les mesures proactives que les opérateurs informatiques peuvent organiser, on peut citer les tests de sécurité du réseau et diverses évaluations de la vulnérabilité. Vous devez également organiser des évaluations régulières des menaces afin d’identifier les lacunes dans le processus et de renforcer les systèmes de sécurité existants et les plans de remédiation. Les entités financières doivent également inclure les TIC tiers dans les programmes de formation à la résilience en matière de cybersécurité dans le cadre des exigences.

  1. Gestion des risques liés aux TIC tiers

L’un des points essentiels du cadre DORA concerne la gestion des risques et de la conformité des tiers.

Dans une perspective plus large, elle actualise la responsabilité élargie des entreprises financières dans les territoires membres d’adhérer aux dispositions et aux lois de l’UE en matière de TIC.

En vertu de cette ligne directrice, les entités financières doivent veiller à ce que les contrats conclus avec les fournisseurs de services TIC tiers, même ceux qui se trouvent en dehors de l’UE, définissent clairement et précisément les obligations et les droits des deux parties. Elles doivent également contrôler et évaluer régulièrement la conformité des tiers.

Les sociétés financières ne peuvent pas dépendre fortement d’un seul fournisseur pour leurs fonctions essentielles et leurs infrastructures informatiques critiques. Elles doivent donc prendre l’initiative de diversifier les infrastructures informatiques et d’élaborer des protocoles stricts pour maintenir la conformité dans tous les domaines.

À cet égard, les prestataires de services TIC tiers chargés d’opérations essentielles ou cruciales seront également soumis à la surveillance directe des autorités européennes de surveillance (AES) compétentes.

  1. Partage d’informations et de renseignements

Les institutions sont également encouragées à participer à des initiatives d’échange d’informations afin de relever collectivement les normes du secteur. Outre l’amélioration du processus d’établissement de rapports, de la documentation et de la collaboration interfonctionnelle au sein de l’entreprise, les opérateurs TIC devraient tirer parti de la collaboration avec les autorités et les prestataires de services tiers.

Implications de la réglementation DORA pour les entreprises

DORA vise principalement à renforcer la sécurité informatique et la résilience opérationnelle dans le secteur financier.

Les entreprises au cœur de cette initiative sont les établissements bancaires et de crédit, les sociétés d’investissement, les compagnies d’assurance et les fournisseurs de services de traitement des paiements.

De plus, les fournisseurs de services cloud et les sociétés d’analyse de données qui gèrent des services essentiels pour les institutions financières peuvent être classés comme des fournisseurs tiers essentiels et être soumis à des dispositions et des lois rigoureuses similaires.

Pour se préparer à l’implémentation de DORA, les entreprises doivent comprendre la portée et les exigences de cette réglementation pour elles-mêmes et leurs partenaires commerciaux. Elles bénéficieront également de la collaboration avec des fournisseurs de services tiers qui respectent déjà les directives NIS2, RGPD et DORA.

Pour les responsables et le personnel des TIC, la conformité doit être traitée comme un processus plutôt que comme un projet. Les protocoles TIC ajustés doivent être adaptables, en particulier lorsque de nouvelles informations sont disponibles. L’approche globale doit être permanente et toutes les personnes concernées doivent être prêtes à collaborer et à recevoir une formation régulière.

Bonnes pratiques pour la mise en conformité DORA

Diversifiez les infrastructures informatiques

L’un des moyens de créer une infrastructure informatique solide est de la diversifier. Il existe de nombreuses façons de réaliser cette initiative, mais la plupart des entreprises peuvent d’abord envisager la modernisation de certains composants et l’automatisation informatique. La surveillance et la maintenance à distance peuvent faire des merveilles en termes d’efficacité et de sécurité en temps réel.

Renforcez les canaux internes pour la formation et la collaboration interfonctionnelles

Les lacunes en matière de TIC ne concernent pas uniquement le département informatique. L’entreprise a besoin d’une approche globale afin d’identifier les vulnérabilités et de renforcer les protocoles. Les canaux de communication englobant différents départements et unités commerciales sont importants pour sensibiliser l’ensemble de l’entreprise et assurer le respect des règles.

Collaborez avec les parties prenantes externes

Les cinq piliers DORA soulignaient déjà l’importance de la collaboration, et nous insistons encore plus sur cet aspect. Votre entreprise doit maintenir une coopération avec les organismes de réglementation afin d’obtenir l’interprétation la plus précise et la plus actualisée possible de la réglementation DORA. De même, vous devez exiger des fournisseurs qu’ils respectent les mêmes normes, en particulier ceux qui fournissent des services aux secteurs critiques de votre entreprise. Incluez-les dans les formations TIC et DORA, le cas échéant.

Implémentez le principe GRC dans votre stratégie

Le principe GRC, pour Gouvernance, Risque et Conformité, peut aider à positionner le personnel de manière à ce qu’il se conforme DORA de manière collaborative. À la base, ce principe supprime les barrières traditionnelles entre les unités opérationnelles, élimine les processus déconnectés et les redondances, et aligne les technologies de l’information sur les objectifs de l’entreprise.

Il peut s’avérer particulièrement efficace pour respecter les réglementations sectorielles et gouvernementales et gérer les risques. Pour réussir, cette initiative a besoin d’un soutien fort de tous les secteurs, en particulier des décideurs. Trouvez le bon logiciel pour consolider les efforts de GRC peut également créer des défis uniques pour l’entreprise.

Préparer votre entreprise à la conformité DORA

la réglementation DORA est relativement récente, mais ses dispositions sont pour la plupart unifiées sur la base des normes de conformité informatique existantes, comme la RGPD et la norme NIS2. Vous devez donc tirer parti de ces ressources pour renforcer et établir votre plan de gestion des risques, vos composantes informatiques et vos programmes de formation. Si les initiatives DORA posent de nombreux nouveaux défis, les responsables de la conformité et les professionnels de l’informatique devraient également y voir l’occasion d’harmoniser leur stratégie en matière d’ITC et d’inciter les décideurs à mettre à niveau les infrastructures informatiques, avec des avantages et des ramifications aussi bien immédiats qu’à long terme.

Commencer votre essai gratuit

Vous pourriez aussi aimer

Qu'est-ce que le contrat de licence de l'utilisateur final (CLUF) dans Windows et comment le trouver ?

Qu’est-ce que le contrat de licence de l’utilisateur final (CLUF) dans Windows et comment le trouver ?

Excellence du service

Excellence du service : L’avantage concurrentiel dont les entreprises MSP ont besoin en 2025

MSP Sales Cadences Stats illustration

Vendre des services informatiques gérés : Stratégies clés pour que les MSP développent leurs activités

Vendre des services informatiques gérés : 5 étapes qui favorisent l’acquisition de clients

Le guide ultime de l’utilisation des chatbots pour la génération de leads en tant que MSP

exemples de sites web pour msp

Classement des 10 meilleurs sites web de MSP en 2019

Retour à la page d'accueil du blog
Prêt à simplifier les aspects les plus complexes de l'informatique et de la sécurité ?
Démarrer un essai gratuit
Demandez une démo
×

Voir NinjaOne en action !

En soumettant ce formulaire, j'accepte la politique de confidentialité de NinjaOne.

Termes et conditions NinjaOne

En cliquant sur le bouton « J’accepte » ci-dessous, vous indiquez que vous acceptez les termes juridiques suivants ainsi que nos conditions d’utilisation:

  • Droits de propriété: NinjaOne possède et continuera de posséder tous les droits, titres et intérêts relatifs au script (y compris les droits d’auteur). NinjaOne vous accorde une licence limitée pour l’utilisation du script conformément à ces conditions légales.
  • Limitation de l’utilisation: Les scripts ne peuvent être utilisés qu’à des fins personnelles ou professionnelles internes légitimes et ne peuvent être partagés avec d’autres entités.
  • Interdiction de publication: Vous n’êtes en aucun cas autorisé à publier le script dans une bibliothèque de scripts appartenant à, ou sous le contrôle d’un autre fournisseur de logiciels.
  • Clause de non-responsabilité: Le texte est fourni « tel quel » et « tel que disponible », sans garantie d’aucune sorte. NinjaOne ne promet ni ne garantit que le script sera exempt de défauts ou qu’il répondra à vos besoins ou attentes particulières.
  • Acceptation des risques: L’utilisation du script est sous votre propre responsabilité. Vous reconnaissez qu’il existe certains risques inhérents à l’utilisation du script, et vous comprenez et assumez chacun de ces risques.
  • Renonciation et exonération de responsabilité: Vous ne tiendrez pas NinjaOne pour responsable des conséquences négatives ou involontaires résultant de votre utilisation du script, et vous renoncez à tout droit ou recours légal ou équitable que vous pourriez avoir contre NinjaOne en rapport avec votre utilisation du script.
  • EULA: Si vous êtes un client de NinjaOne, votre utilisation du script est soumise au contrat de licence d’utilisateur final qui vous est applicable (End User License Agreement (EULA)).
J'accepte