La r\u00e9glementation DORA (Digital Operational Resilience Act) entre en application le 17 janvier 2025. L\u2019objectif est simple\u00a0: \u00a0garantir que les entreprises financi\u00e8res et leurs prestataires technologiques soient capables de r\u00e9sister aux cyberattaques et aux interruptions num\u00e9riques. Alors, si votre entreprise est concern\u00e9e, il est temps de se conformer \u00e0 DORA\u00a0! Suivez-nous on vous explique comment faire\u00a0pour respecter cette nouvelle obligation\u00a0!<\/p>\n
<\/p>\n
DORA est une r\u00e9glementation europ\u00e9enne qui vise \u00e0 prot\u00e9ger le secteur financier contre les risques technologiques. Concr\u00e8tement, les objectifs principaux de DORA sont\u00a0:<\/p>\n
Mais voyons en d\u00e9tail quels sont les piliers fondamentaux de la r\u00e9glementation DORA permettant de garantir la s\u00e9curit\u00e9 num\u00e9rique et la continuit\u00e9 des services.<\/p>\n
<\/p>\n
Les risques TIC (Technologies de l\u2019Information et de la Communication) d\u00e9signent les menaces li\u00e9es \u00e0 l\u2019utilisation des syst\u00e8mes num\u00e9riques, des r\u00e9seaux, et des donn\u00e9es dans une organisation. Ils incluent les cyberattaques (ransomware, phishing), les pannes techniques, les erreurs humaines, les failles de s\u00e9curit\u00e9, et les d\u00e9faillances des prestataires tiers.<\/p>\n
Ces risques peuvent entra\u00eener des interruptions de services, des vols de donn\u00e9es sensibles, ou des atteintes \u00e0 la confidentialit\u00e9, mettant en p\u00e9ril la continuit\u00e9 des activit\u00e9s et la confiance des clients.<\/p>\n
Par cons\u00e9quent, l\u2019entreprise doit \u00e9tablir un plan pour g\u00e9rer les risques li\u00e9s aux technologies. Ce plan doit inclure des r\u00e8gles claires, une \u00e9quipe d\u00e9di\u00e9e et des outils pour surveiller les risques.<\/p>\n
Exemple : Mettre \u00e0 jour r\u00e9guli\u00e8rement vos syst\u00e8mes pour \u00e9viter les failles de s\u00e9curit\u00e9.<\/em><\/p>\n <\/p>\n Les entreprises doivent s\u2019assurer que leurs syst\u00e8mes informatiques peuvent continuer \u00e0 fonctionner m\u00eame en cas de probl\u00e8me. Cela passe par des tests r\u00e9guliers pour v\u00e9rifier leur robustesse et la cr\u00e9ation d\u2019un plan de secours en cas de panne.<\/p>\n Exemple : Pr\u00e9voir un serveur de secours en cas de panne du principal.<\/em><\/p>\n <\/p>\n Si votre entreprise travaille avec des fournisseurs de technologie, comme un service cloud ou une solution de cybers\u00e9curit\u00e9, vous devez v\u00e9rifier qu\u2019ils respectent aussi les normes de s\u00e9curit\u00e9. Exemple : S\u2019assurer que votre fournisseur de cloud prot\u00e8ge correctement les donn\u00e9es stock\u00e9es.<\/em><\/p>\n \u00a0<\/em><\/p>\n En cas de probl\u00e8me, comme une cyberattaque, une fuite de donn\u00e9es ou une panne importante, les entreprises doivent signaler les incidents \u00e0 plusieurs parties en fonction de leur nature et de leur impact, \u00e0 savoir\u00a0:<\/p>\n Bon \u00e0 savoir : le d\u00e9lai pour signaler un incident d\u00e9pend de sa gravit\u00e9. En g\u00e9n\u00e9ral, le d\u00e9lai est de 24 \u00e0 72 heures apr\u00e8s la d\u00e9tection de l\u2019incident.<\/em><\/p>\n <\/p>\n Les entreprises doivent collaborer entre elles et partager des informations sur les menaces ou incidents pour aider \u00e0 pr\u00e9venir d\u2019autres attaques similaires.<\/p>\n Exemple : Si une m\u00e9thode de piratage est d\u00e9tect\u00e9e, en informer d\u2019autres acteurs pour \u00e9viter qu\u2019ils ne soient touch\u00e9s.<\/em><\/p>\n <\/p>\n DORA s\u2019applique directement aux entreprises du secteur financier et indirectement \u00e0 leurs partenaires technologiques, \u00e0 savoir :<\/p>\n Si votre entreprise collabore avec des acteurs financiers ou d\u00e9pend de prestataires technologiques critiques, vous devez \u00e9galement vous assurer que vos partenaires respectent les exigences de DORA. Par exemple, une PME utilisant des services d\u2019assurance en ligne doit s\u2019assurer que son fournisseur respecte la r\u00e9glementation.<\/p>\n Bon \u00e0 savoir\u00a0: Les entreprises conformes \u00e0 DORA effectuent r\u00e9guli\u00e8rement des audits internes et externes pour \u00e9valuer leur r\u00e9silience num\u00e9rique. Elles obtiennent \u00e9galement des certifications reconnues, comme l\u2019ISO 27001 (gestion de la s\u00e9curit\u00e9 de l\u2019information).<\/em><\/p>\n Bien que DORA impose des r\u00e8gles strictes pour renforcer la s\u00e9curit\u00e9 num\u00e9rique, certaines entreprises b\u00e9n\u00e9ficient d\u2019exemptions ou d\u2019un cadre simplifi\u00e9 en fonction de leur taille ou de leurs activit\u00e9s. Voici les principaux cas :<\/p>\n Attention : m\u00eame si elles ne sont pas totalement concern\u00e9es par la r\u00e9glementation DORA, ces entreprises doivent tout de m\u00eame mettre en place des mesures de s\u00e9curit\u00e9 adapt\u00e9es \u00e0 leur activit\u00e9.<\/p>\n En cas de doute, il est conseill\u00e9 de consulter un expert ou de v\u00e9rifier les textes officiels.<\/p>\n <\/p>\n Voici les \u00e9tapes \u00e0 suivre pour \u00eatre conforme \u00e0 la r\u00e9glementation DORA et \u00e9viter les sanctions\u00a0!<\/p>\n <\/p>\n La premi\u00e8re \u00e9tape consiste \u00e0 analyser vos syst\u00e8mes et vos pratiques pour identifier les vuln\u00e9rabilit\u00e9s, Pour cela vous devez\u00a0:<\/p>\n Exemple : Si une base de donn\u00e9es client est h\u00e9berg\u00e9e sur un serveur externe, assurez-vous que ce serveur est s\u00e9curis\u00e9 et r\u00e9guli\u00e8rement mis \u00e0 jour et conforme aux standards europ\u00e9ens.<\/em><\/p>\n <\/p>\n Pour r\u00e9pondre aux exigences de DORA, chaque entreprise doit mettre en place une gouvernance claire pour la gestion des risques li\u00e9s aux technologies de l\u2019information. Pour cela vous devez proc\u00e9der ainsi\u00a0:<\/p>\n Exemple\u00a0: un responsable TIC peut superviser les mises \u00e0 jour de s\u00e9curit\u00e9 et valider l\u2019utilisation de nouvelles technologies au sein de l\u2019entreprise.<\/em><\/p>\n <\/p>\n Les prestataires externes, tels que les fournisseurs de cloud ou de solutions logicielles, jouent un r\u00f4le primordial dans votre conformit\u00e9 \u00e0 DORA.<\/p>\n C\u2019est pourquoi, il est essentiel de v\u00e9rifier qu\u2019ils respectent les normes de s\u00e9curit\u00e9 n\u00e9cessaires en r\u00e9alisant des audits r\u00e9guliers. Vous pouvez aussi int\u00e9grer des clauses sp\u00e9cifiques dans vos contrats, pr\u00e9cisant leurs obligations en cas d\u2019incident.<\/p>\n Ainsi, une surveillance continue de leur performance vous permettra de garantir leur alignement avec vos exigences de s\u00e9curit\u00e9.<\/p>\n <\/p>\n La r\u00e9silience est au c\u0153ur de la r\u00e9glementation DORA. Cela signifie que vos syst\u00e8mes doivent pouvoir continuer \u00e0 fonctionner, m\u00eame en cas de crise.\u00a0Pour cela, organisez r\u00e9guli\u00e8rement des tests, comme des simulations de cyberattaques ou de pannes, afin d\u2019\u00e9valuer votre capacit\u00e9 de r\u00e9action.<\/p>\n Sans oublier de mettre en place un Plan de Continuit\u00e9 d\u2019Activit\u00e9 (PCA). Ce plan d\u00e9taille les \u00e9tapes \u00e0 suivre pour garantir une reprise rapide des activit\u00e9s apr\u00e8s un incident.<\/p>\n Exemple : Un PCA peut inclure un basculement automatique vers un serveur de secours en cas de panne majeure.<\/em><\/p>\n <\/p>\n La r\u00e9glementation DORA impose une gestion rigoureuse des incidents. Chaque entreprise doit centraliser les informations critiques sur ses syst\u00e8mes pour permettre une analyse rapide en cas de probl\u00e8me.<\/p>\n C\u2019est pourquoi, une proc\u00e9dure claire de notification doit \u00eatre mise en place pour informer les autorit\u00e9s comp\u00e9tentes et, si n\u00e9cessaire, vos clients. Cela garantit une r\u00e9ponse rapide et appropri\u00e9e \u00e0 toute perturbation.<\/p>\n Les technologies ne suffisent pas pour garantir la conformit\u00e9 : vos collaborateurs jouent un r\u00f4le cl\u00e9\u00a0!<\/p>\n Aussi, organisez des sessions r\u00e9guli\u00e8res de sensibilisation pour les informer des risques et des bonnes pratiques \u00e0 adopter.<\/p>\n Vous pouvez par exemple mettre en place des sc\u00e9narios de crise. Cela vous permet de tester leur r\u00e9activit\u00e9 face \u00e0 des incidents tels qu\u2019une tentative de phishing ou une interruption de service.<\/p>\n <\/p>\n Les risques li\u00e9s \u00e0 la non-conformit\u00e9 \u00e0 la r\u00e9glementation DORA sont nombreux et peuvent avoir de lourdes cons\u00e9quences pour une entreprise\u00a0comme :<\/p>\n La mise en conformit\u00e9 avec la r\u00e9glementation DORA est certes un d\u00e9fi. Cependant, elle offre \u00e9galement une opportunit\u00e9 unique de renforcer la r\u00e9silience et la s\u00e9curit\u00e9 de votre entreprise. En suivant ces \u00e9tapes m\u00e9thodiques, vous \u00e9viterez non seulement les sanctions, mais vous renforcerez \u00e9galement la confiance de vos clients et partenaires dans un environnement num\u00e9rique en constante \u00e9volution.<\/p>\n <\/p>\n [vc_row][vc_column][vc_column_text][\/vc_column_text][vc_row_inner][vc_column_inner][sgnx_spacer spacer_size=\u00a0\u00bbsgnx-spacer–sm\u00a0\u00bb][vc_column_text][\/vc_column_text][\/vc_column_inner][\/vc_row_inner][\/vc_column][\/vc_row]<\/p>\n \u00c0 lire aussi :<\/strong><\/em><\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" La r\u00e9glementation DORA (Digital Operational Resilience Act) entre en application le 17 janvier 2025. L\u2019objectif est simple\u00a0: \u00a0garantir que les entreprises financi\u00e8res et leurs prestataires technologiques soient capables de r\u00e9sister aux cyberattaques et aux interruptions num\u00e9riques. Alors, si votre entreprise est concern\u00e9e, il est temps de se conformer \u00e0 DORA\u00a0! Suivez-nous on vous explique comment […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[21,23],"tags":[],"yoast_head":"\nR\u00e9silience op\u00e9rationnelle<\/h3>\n
Gestion des prestataires tiers critiques<\/h3>\n
\n<\/strong><\/p>\nSignalement des incidents<\/h3>\n
\n
\n
Partage d\u2019informations<\/h3>\n
Quelles entreprises sont concern\u00e9es par la r\u00e9glementation DORA ?<\/h2>\n
\n
\n
Comment se mettre en conformit\u00e9 avec DORA ?<\/h2>\n
Analyse approfondie des risques internes<\/h3>\n
\n
D\u00e9veloppez une gouvernance des risques TIC<\/h3>\n
\n
Surveillez vos prestataires technologiques<\/h3>\n
Renforcez la r\u00e9silience op\u00e9rationnelle<\/h3>\n
Pr\u00e9parez un processus de signalement des incidents<\/h3>\n
<\/h3>\n
Formez les \u00e9quipes<\/h3>\n
Pourquoi se conformer \u00e0 DORA est indispensable ?<\/h2>\n
\n
\n
\n