Conformité au DORA (Digital Operational Resilience Act)

Le DORA est une réglementation européenne visant à garantir que le secteur financier reste résilient face aux perturbations opérationnelles majeures. 
Il définit des standards techniques pour l’ensemble des entités financières telles que les banques, assureurs et gestionnaires d’actifs, en matière d’infrastructures numériques et de gestion des risques. 

Dans ce cadre, les institutions financières doivent mettre en place des systèmes robustes de gestion des risques IT, définir des mécanismes de réponse aux incidents, réaliser des tests de sécurité applicative et surveiller les risques liés aux prestataires tiers. Même les composants logiciels issus de bibliothèques externes relèvent de la responsabilité de l’entreprise. 

Les exigences du DORA varient en fonction de la taille de l’entité, de son profil de risque et de ses services. 
Les prestataires IT tiers critiques font l’objet d’une supervision renforcée par les autorités européennes de surveillance. 

Les exigences du DORA appliquées aux données mobiles

Gestion des risques IT

Les institutions financières doivent mettre en place et maintenir des systèmes IT résilients. 
Elles doivent identifier en continu les risques, établir des mesures préventives et de protection, ainsi que des mécanismes de détection rapide des anomalies.

Signalement des incidents IT

Les organisations doivent surveiller et journaliser les incidents liés à l’IT, les classifier, puis les signaler aux autorités réglementaires ainsi qu’aux utilisateurs ou clients concernés.

Tests de résilience opérationnelle numérique

Les systèmes et contrôles IT doivent être testés régulièrement pour détecter leurs faiblesses. 
Toute défaillance identifiée doit être corrigée sans délai. 
Les exigences de test doivent rester proportionnées à la taille, au type d’activité et au profil de risque de l’entité.

IT third-party risk

Companies must oversee the risks associated with external IT providers. This includes ensuring clear service descriptions, transparency on data processing locations, and contract clauses that cover all aspects of the collaboration.

Information sharing

The guidelines encourage information sharing to support the development of detection methods, mitigation strategies, and coordinated response and recovery efforts.

Risques liés aux prestataires IT tiers

Les entreprises doivent superviser les risques liés à leurs prestataires externes. 
Cela implique de garantir une description claire des services, une transparence sur les lieux de traitement des données, et des clauses contractuelles couvrant tous les aspects de la collaboration.

Partage d’informations

Les lignes directrices encouragent le partage d’informations afin de soutenir le développement de méthodes de détection, de stratégies d’atténuation, ainsi que des efforts coordonnés de réponse et de reprise.

Comment se conformer

Pour être conforme au DORA, les prestataires de services financiers doivent maîtriser tous les aspects de leur résilience opérationnelle numérique, depuis la protection et la détection jusqu’à la maîtrise, la reprise et la réparation des incidents IT. 

La suite de sécurité applicative de Pradeo fournit les outils nécessaires.

La Runtime Application Self-Protection (RASP) détecte les menaces et bloque les attaques en temps réel, tandis que le Mobile Application Security Testing (MAST) garantit que les applications sont sécurisées et répondent aux critères de conformité du DORA.

Retour en haut