Rechercher
Rechercher

DORA : le règlement qui transforme la cybersécurité du secteur financier

DORA : le règlement qui transforme la cybersécurité du secteur financier

Le règlement DORA (Digital Operational Resilience Act) est pleinement applicable depuis janvier 2025. Pour les acteurs du secteur financier — banques, assureurs, sociétés de gestion, prestataires de services de paiement — la résilience numérique n’est plus une recommandation, c’est une obligation légale.

Qui est concerné par DORA ?

Le périmètre est large : établissements de crédit, entreprises d’investissement, compagnies d’assurance, fonds de pension, prestataires de services crypto, mais aussi les prestataires tiers de services TIC critiques (hébergeurs, éditeurs de logiciels, infogérants). Si vous fournissez des services informatiques à une banque, vous êtes indirectement soumis à DORA.

Les 5 piliers de DORA

1. Gestion des risques TIC. Les entités financières doivent disposer d’un cadre de gestion des risques informatiques complet, régulièrement mis à jour, approuvé par la direction et audité de manière indépendante.

2. Gestion des incidents TIC. Un processus formalisé de détection, classification, notification et résolution des incidents doit être en place. Les incidents majeurs doivent être signalés aux autorités compétentes dans des délais stricts.

3. Tests de résilience opérationnelle numérique. Des tests réguliers sont obligatoires : tests de pénétration, tests de scénarios de crise, tests de basculement sur les systèmes de secours. Les entités les plus importantes doivent réaliser des tests de pénétration avancés (TLPT) au moins tous les trois ans.

4. Gestion des risques liés aux tiers. Les contrats avec les prestataires TIC doivent inclure des clauses spécifiques sur la sécurité, les audits, les plans de sortie et la localisation des données. Un registre de tous les prestataires TIC doit être maintenu.

5. Partage d’informations. DORA encourage le partage de renseignements sur les menaces cyber entre entités financières, dans un cadre sécurisé et encadré.

L’accompagnement RM3A pour la conformité DORA

La mise en conformité DORA nécessite une approche structurée. Un audit initial permet d’évaluer votre maturité actuelle. Ensuite, notre équipe vous accompagne sur la rédaction des politiques, la mise en place des processus de gestion des incidents, et la réalisation des tests de pénétration réglementaires.

Tu pourrais aussi être intéressé par ces articles :

Laisse moi un commentaire !

Laisser un commentaire

Articles similaires