DORA (Digital Operational Resilience Act) • Pradeo

DORA (Loi sur la résilience opérationnelle numérique)

Qu’est-ce que la DORA (Digital Operational Resilience Act) ?

DORA est une loi européenne qui vise à garantir que le secteur financier en Europe puisse rester résilient face à de graves perturbations opérationnelles. Il définit les normes techniques pour toutes les institutions de services financiers, de la banque à l'assurance en passant par la gestion d'actifs.

Plus précisément, les entités financières de l’UE doivent disposer de solides capacités de gestion des risques informatiques et de mécanismes spécifiques pour traiter et signaler les incidents liés à l’informatique. Ils doivent également mettre en place des politiques pour tester les applications informatiques et gérer les risques liés aux tiers. DORA tient les entreprises responsables de la sécurité de leurs applications et produits, même les parties extraites des bibliothèques relèvent de la responsabilité de l'entreprise. Les exigences DORA tiennent compte de la taille de l'entité, de son profil de risque et de la nature de ses services. Les fournisseurs de services informatiques tiers critiques sont soumis à une surveillance stricte de la part des autorités de surveillance européennes.

Les exigences DORA sont entrées en vigueur le 16 janvier 2023 et les entités financières devront se conformer à DORA d'ici le 17 janvier 2025.

Exigences DORA applicables aux données mobiles

Gestion des risques informatiques

Les sociétés financières doivent mettre en place et entretenir des systèmes informatiques résilients. Tous les risques informatiques doivent toujours être identifiés afin de mettre en place une protection et une prévention. Une détection rapide des activités anormales doit être établie.

Rapport d'incidents liés à l'informatique

Les sociétés financières doivent mettre en œuvre un processus de surveillance et enregistrer les incidents liés à l'informatique. Ils doivent classer les incidents et les signaler aux autorités compétentes ainsi qu'aux utilisateurs et clients des entreprises.

Tests de résilience opérationnelle numérique

Les éléments du cadre de gestion des risques informatiques doivent être testés périodiquement pour vérifier leur état de préparation. Toute faiblesse, déficience ou lacune doit être identifiée et rapidement éliminée ou atténuée par la mise en œuvre de mesures correctives. Et les exigences en matière de tests de résilience opérationnelle numérique doivent être proportionnées à la taille, aux activités et aux profils de risque des entités.

Risque tiers informatique

Les entreprises doivent surveiller tous les risques liés à l’utilisation de technologies d’autres entreprises. Ils doivent être cohérents et harmoniser leur service avec le tiers pour pouvoir contrôler complètement les détails tels qu'une description complète du niveau de service, les emplacements où les données sont traitées, etc. Le contrat avec ces tiers doit contenir ces détails.

Partage d'information

Les lignes directrices encouragent les entreprises à soutenir les techniques de défense et de détection, les stratégies d’atténuation ou les étapes de réponse et de récupération.

Assurez-vous que vos applications sont conformes à DORA

Pour être conforme, DORA exige que les prestataires de services financiers, tels que les banques, gèrent tous les composants de la résilience opérationnelle. Après DORA, ils doivent également suivre des règles en matière de capacités de protection, de détection, de confinement, de récupération et de réparation contre les incidents liés à l'informatique.

La suite d’applications de Pradeo fournit tous les outils nécessaires pour se conformer à DORA. La solution RASP détecte les risques et prévient les attaques en temps réel, tandis que la solution Mobile Application Security Testing garantit que l’application est sécurisée et conforme.