The DORA regulation decrypted: what you need to know

Le règlement DORA définit quatre exigences opérationnelles clés pour assurer la résilience numérique. Les organisations doivent conduire une évaluation continue des risques, déployer un Plan de Continuité d'Activité complet, réaliser des tests réguliers de résilience de leurs systèmes et maintenir une gestion proactive des vulnérabilités.

Pour assurer la résilience numérique, le DORA impose trois exigences clés. La direction doit s'impliquer activement dans la gestion des risques, en garantissant la cybersécurité et la continuité des services. Des formations régulières sur la cybersécurité et la gestion des incidents doivent être mises en place à tous les niveaux de l’entreprise. Enfin, des audits internes doivent être réalisés pour vérifier la conformité aux exigences de DORA et l’application des politiques de sécurité.

La gestion des risques liés aux fournisseurs tiers est un élément clé de la résilience numérique selon DORA. Les acteurs financiers doivent identifier et évaluer les risques liés aux fournisseurs de services critiques, en particulier ceux fournissant des technologies essentielles. Des contrats stricts doivent être établis, intégrant des exigences de cybersécurité et de continuité de service, avec une obligation de conformité pour les prestataires. Enfin, une surveillance continue doit être assurée afin d’évaluer les performances et de limiter les risques de perturbations.

Un incident est considéré comme majeur s’il entraîne une perturbation significative des services financiers ou une perte financière importante, pouvant également affecter clients et partenaires. Les institutions doivent notifier les autorités compétentes dans un délai de 24 à 72 heures après la détection de l'incident, selon sa gravité. Enfin, un rapport détaillé doit être fourni, précisant l’impact, les mesures correctives mises en place et les actions préventives pour éviter de nouveaux incidents.

La sécurisation des actifs numériques et de la sécurité des systèmes repose sur plusieurs mesures essentielles. Un inventaire complet et actualisé des actifs, incluant logiciels, systèmes et infrastructures critiques, doit être maintenu. La segmentation des réseaux est nécessaire pour isoler les systèmes sensibles et limiter la propagation des attaques. Un contrôle strict des accès doit être appliqué, en intégrant le principe du moindre privilège et l’authentification multi-facteurs. Enfin, une maintenance continue est requise afin de corriger les vulnérabilités et garantir un environnement sécurisé.