DORA ne veut plus laisser Chiper chiper…
Malheureusement, il ne suffit pas de le dire trois fois pour que cela fonctionne en cybersécurité.
Il a donc fallu une loi européenne pour encadrer la résilience opérationnelle du secteur financier : DORA « Digital Operational Resilience Act ».
L’ambition est bien plus large que le risque IT ou Cyber puisque nous parlons ici de risque opérationnel, néanmoins les avancées les plus importantes portent sur les TIC (Technologies de l’Information et de la Communication).
💡 Secteur financier = banques ?
Pas seulement : cela inclut l’écosystème des entreprises d’assurance, les établissements de crédit, les services liés aux actifs crypto, les entreprises d’investissement, les prestataires de services de financement participatif, entre autres.
Fait notable, les prestataires de services informatiques sont également concernés.
💡 Quels objectifs ?
- Renforcer la gestion des risques informatiques
- Communiquer sur les incidents majeurs liés aux TIC (informatique DONT Cyber)
- Organiser le partage de ces informations
- Éprouver la résilience opérationnelle numérique des entités
- Couvrir les risques introduits par les prestataires tiers de services informatiques
💡 Quelles échéances ?
Le 17 janvier 2025, DORA devra être transposée par les États membres de l’UE.
TI, TLPT, pooled TLPT, joint TPLT… Comment gérer les exigences techniques de DORA en matière de tests des outils et systèmes?
🎯 Exaface permet de répondre aux problématiques suivantes :
- Cartographie et surveillance des fonctions TIC exposées sur Internet (EASM)
- Évaluation en continue du niveau de sécurité de l’entité et du groupe (CTEM)
- Évaluation du niveau de sécurité des prestataires tiers (TPRM)
- Récupération d’indicateurs de menaces liées aux campagnes d’attaques en préparation (CTI)
- Renforcement de la sécurité grâce au plan d’action afin de corriger les vulnérabilités (VM)
🎯 Il est possible de coupler ces services avec des tests d’intrusions (TI) réalisés par les consultants séniors de DSecBypass afin de répondre à l’article 22 :
« éventail complet de tests appropriés, y compris des évaluations et des analyses de vulnérabilité, des analyses des logiciels libres, des évaluations de la sécurité des réseaux, des analyses des lacunes, des examens de la sécurité physique, des questionnaires et des solutions logicielles de numérisation, des examens du code source lorsque cela est possible, des tests fondés sur des scénarios, des tests de compatibilité, des tests de performance, des tests de bout en bout ou des tests de pénétration. »
Vous êtes concernés par DORA? Contactez-nous pour échanger sur le sujet et découvrir nos services et produits de sécurité.