DORA
La résilience au-delà de la mise en conformité
Le Règlement européen sur la résilience opérationnelle numérique du secteur financier (dit DORA pour Digital Operationnal Resilience Act) doit entrer en application d’ici le 17 janvier 2025. Déclinaison sectorielle de la directive NIS 2, il fixe au secteur financier des exigences homogènes en matière de cybersécurité dans tous les États membres de l'UE. DORA représente un jalon important dans la lutte de l’Union Européenne contre les cyberattaques et la protection des infrastructures critiques des entreprises et établissements et de leurs données sensibles.
DORA
La résilience au-delà de la mise en conformité
Le Règlement européen sur la résilience opérationnelle numérique du secteur financier (dit DORA pour Digital Operationnal Resilience Act) doit entrer en application d’ici le 17 janvier 2025. Déclinaison sectorielle de la directive NIS 2, il fixe au secteur financier des exigences homogènes en matière de cybersécurité dans tous les États membres de l'UE. DORA représente un jalon important dans la lutte de l’Union Européenne contre les cyberattaques et la protection des infrastructures critiques des entreprises et établissements et de leurs données sensibles.
DORA
La résilience au-delà de la mise en conformité
Le Règlement européen sur la résilience opérationnelle numérique du secteur financier (dit DORA pour Digital Operationnal Resilience Act) doit entrer en application d’ici le 17 janvier 2025. Déclinaison sectorielle de la directive NIS 2, il fixe au secteur financier des exigences homogènes en matière de cybersécurité dans tous les États membres de l'UE. DORA représente un jalon important dans la lutte de l’Union Européenne contre les cyberattaques et la protection des infrastructures critiques des entreprises et établissements et de leurs données sensibles.
Une approche de la gouvernance fondée sur les risques
EGERIE platform orchestrates & industrializes cyber programs, spreading a culture of cyber performance, enabling scaling through continuous improvement, achieving high control, compliance, risk anticipation, protection & confidence.
Un cadre exigeant
DORA s’inscrit dans le cadre de la stratégie de la Commission européenne en matière de finance numérique, qui vise à favoriser l’innovation et l’adoption de nouvelles technologies tout en assurant la stabilité financière et la protection des investisseurs et des consommateurs européens.
Un cadre exigeant
DORA s’inscrit dans le cadre de la stratégie de la Commission européenne en matière de finance numérique, qui vise à favoriser l’innovation et l’adoption de nouvelles technologies tout en assurant la stabilité financière et la protection des investisseurs et des consommateurs européens.
Un cadre exigeant
DORA s’inscrit dans le cadre de la stratégie de la Commission européenne en matière de finance numérique, qui vise à favoriser l’innovation et l’adoption de nouvelles technologies tout en assurant la stabilité financière et la protection des investisseurs et des consommateurs européens.
Quel impact sur les organisations ?
Le texte rassemble et harmonise les diverses règlementations qui encadraient jusque-là la cybersécurité du secteur financier dans l’Union. La portée de DORA s’étend au-delà des 21 types d’entités du secteur financier directement concernés, et intègre désormais leurs prestataires et sous-traitants de services informatiques, soit près de 15 000 acteurs de leur chaîne de valeur.
Quel impact sur les organisations ?
Le texte rassemble et harmonise les diverses règlementations qui encadraient jusque-là la cybersécurité du secteur financier dans l’Union. La portée de DORA s’étend au-delà des 21 types d’entités du secteur financier directement concernés, et intègre désormais leurs prestataires et sous-traitants de services informatiques, soit près de 15 000 acteurs de leur chaîne de valeur.
Quel impact sur les organisations ?
Le texte rassemble et harmonise les diverses règlementations qui encadraient jusque-là la cybersécurité du secteur financier dans l’Union. La portée de DORA s’étend au-delà des 21 types d’entités du secteur financier directement concernés, et intègre désormais leurs prestataires et sous-traitants de services informatiques, soit près de 15 000 acteurs de leur chaîne de valeur.
2 articles majeurs
Art. 6 : Cadre de gestion des risques liés aux TIC
Appelle les organisations à établir un cadre de gestion de risques « solide, complet et bien documenté, qui leur permet de parer aux risques informatiques de manière rapide, efficiente et exhaustive. » Le cadre devra inclure : les stratégies, politiques, procédures et protocoles nécessaires pour protéger les infrastructures physiques et le matériel informatique les actifs informationnels (données). Une cartographie complète des actifs, des risques et mesures de sécurité associées sera essentielle pour maîtriser son niveau d'exposition au risque cyber. Une « stratégie de résilience numérique » en définira les modalités de mise en œuvre.
Art. 5 : Gouvernance et organisation
Affirme la responsabilité de la résilience opérationnelle et donc la responsabilité finale de la gestion de ces risques à la Direction générale, qui « définit, approuve, supervise et est responsable de la mise en œuvre » de ce cadre. La direction devra ainsi déterminer son niveau de tolérance au risque, donc arbitrer sur la base d’une vision agrégée des risques entre ceux sur lesquels elle souhaite intervenir pour les réduire, ceux qu’elle choisit d’accepter, et ceux qu’elle décide de transférer.
2 articles majeurs
Art. 6 : Cadre de gestion des risques liés aux TIC
Appelle les organisations à établir un cadre de gestion de risques « solide, complet et bien documenté, qui leur permet de parer aux risques informatiques de manière rapide, efficiente et exhaustive. » Le cadre devra inclure : les stratégies, politiques, procédures et protocoles nécessaires pour protéger les infrastructures physiques et le matériel informatique les actifs informationnels (données). Une cartographie complète des actifs, des risques et mesures de sécurité associées sera essentielle pour maîtriser son niveau d'exposition au risque cyber. Une « stratégie de résilience numérique » en définira les modalités de mise en œuvre.
Art. 5 : Gouvernance et organisation
Affirme la responsabilité de la résilience opérationnelle et donc la responsabilité finale de la gestion de ces risques à la Direction générale, qui « définit, approuve, supervise et est responsable de la mise en œuvre » de ce cadre. La direction devra ainsi déterminer son niveau de tolérance au risque, donc arbitrer sur la base d’une vision agrégée des risques entre ceux sur lesquels elle souhaite intervenir pour les réduire, ceux qu’elle choisit d’accepter, et ceux qu’elle décide de transférer.
2 articles majeurs
Art. 6 : Cadre de gestion des risques liés aux TIC
Appelle les organisations à établir un cadre de gestion de risques « solide, complet et bien documenté, qui leur permet de parer aux risques informatiques de manière rapide, efficiente et exhaustive. » Le cadre devra inclure : les stratégies, politiques, procédures et protocoles nécessaires pour protéger les infrastructures physiques et le matériel informatique les actifs informationnels (données). Une cartographie complète des actifs, des risques et mesures de sécurité associées sera essentielle pour maîtriser son niveau d'exposition au risque cyber. Une « stratégie de résilience numérique » en définira les modalités de mise en œuvre.
Art. 5 : Gouvernance et organisation
Affirme la responsabilité de la résilience opérationnelle et donc la responsabilité finale de la gestion de ces risques à la Direction générale, qui « définit, approuve, supervise et est responsable de la mise en œuvre » de ce cadre. La direction devra ainsi déterminer son niveau de tolérance au risque, donc arbitrer sur la base d’une vision agrégée des risques entre ceux sur lesquels elle souhaite intervenir pour les réduire, ceux qu’elle choisit d’accepter, et ceux qu’elle décide de transférer.
La performance en matière de risque cyber et de conformité, en toute simplicité
La plateforme EGERIE orchestre et industrialise les programmes cyber, en diffusant une culture de la performance cyber, en permettant une scalabilité par l'amélioration continue, en atteignant un haut niveau de contrôle, de conformité, d'anticipation des risques, de protection et de confiance.
MODÉLISER
Construire un actif cyber précis et évolutif dans le temps.
ÉVALUER
Garantir la rapidité et l'efficacité grâce à une collaboration renforcée.
PLANIFIER
Accélérer la réduction des risques à plusieurs niveaux.
INVESTIR
Prendre des décisions d'investissement en connaissance de cause pour réduire les risques.
La performance en matière de risque cyber et de conformité, en toute simplicité
La plateforme EGERIE orchestre et industrialise les programmes cyber, en diffusant une culture de la performance cyber, en permettant une scalabilité par l'amélioration continue, en atteignant un haut niveau de contrôle, de conformité, d'anticipation des risques, de protection et de confiance.
MODÉLISER
Construire un actif cyber précis et évolutif dans le temps.
ÉVALUER
Garantir la rapidité et l'efficacité grâce à une collaboration renforcée.
PLANIFIER
Accélérer la réduction des risques à plusieurs niveaux.
INVESTIR
Prendre des décisions d'investissement en connaissance de cause pour réduire les risques.
La performance en matière de risque cyber et de conformité, en toute simplicité
La plateforme EGERIE orchestre et industrialise les programmes cyber, en diffusant une culture de la performance cyber, en permettant une scalabilité par l'amélioration continue, en atteignant un haut niveau de contrôle, de conformité, d'anticipation des risques, de protection et de confiance.
MODÉLISER
Construire un actif cyber précis et évolutif dans le temps.
ÉVALUER
Garantir la rapidité et l'efficacité grâce à une collaboration renforcée.
PLANIFIER
Accélérer la réduction des risques à plusieurs niveaux.
INVESTIR
Prendre des décisions d'investissement en connaissance de cause pour réduire les risques.
Un régime de sanctions dissausif
Le régime de sanctions associé se veut dissuasif : sanctions administratives, mesures correctives, voire la possibilité pour les Etats membres d’instituer des sanctions pénales. Une façon de souligner que la cybersécurité ne peut pas être la préoccupation des RSSI, DSI, ou des services de conformité à eux-seuls, mais qu’elle est l’affaire de tous et qu’elle doit être adressée au plus haut niveau des organisations. Les décisions d’imposer une sanction administrative peuvent faire l’objet d’une publication sur le site internet officiel des autorités compétentes. La conformité aux exigences cyber représente plus que jamais un véritable enjeu réputationnel. DORA implique toute la chaîne d’approvisionnement des entités financières et rappelle la responsabilité des entités financières dans le respect et l’exécution de toutes les obligations qui en découlent vis-à-vis de leurs fournisseurs. Il leur appartient désormais de définir une stratégie et une politique en matière de risques de tiers, de tenir un registre de tous leurs accords contractuels, et d’identifier les tiers qui couvrent des fonctions critiques avant même de conclure un contrat. Les entreprises concernées devront donc évaluer la posture cyber de leurs sous-traitants ou fournisseurs pour pouvoir faire les bons choix de prestataires, réduire ainsi leurs risques cyber et assurer un niveau de sécurité maximal. Une diligence essentielle pour assurer la résilience du secteur à travers toute la chaîne de valeur.
Un régime de sanctions dissausif
Le régime de sanctions associé se veut dissuasif : sanctions administratives, mesures correctives, voire la possibilité pour les Etats membres d’instituer des sanctions pénales. Une façon de souligner que la cybersécurité ne peut pas être la préoccupation des RSSI, DSI, ou des services de conformité à eux-seuls, mais qu’elle est l’affaire de tous et qu’elle doit être adressée au plus haut niveau des organisations. Les décisions d’imposer une sanction administrative peuvent faire l’objet d’une publication sur le site internet officiel des autorités compétentes. La conformité aux exigences cyber représente plus que jamais un véritable enjeu réputationnel. DORA implique toute la chaîne d’approvisionnement des entités financières et rappelle la responsabilité des entités financières dans le respect et l’exécution de toutes les obligations qui en découlent vis-à-vis de leurs fournisseurs. Il leur appartient désormais de définir une stratégie et une politique en matière de risques de tiers, de tenir un registre de tous leurs accords contractuels, et d’identifier les tiers qui couvrent des fonctions critiques avant même de conclure un contrat. Les entreprises concernées devront donc évaluer la posture cyber de leurs sous-traitants ou fournisseurs pour pouvoir faire les bons choix de prestataires, réduire ainsi leurs risques cyber et assurer un niveau de sécurité maximal. Une diligence essentielle pour assurer la résilience du secteur à travers toute la chaîne de valeur.
Un régime de sanctions dissausif
Le régime de sanctions associé se veut dissuasif : sanctions administratives, mesures correctives, voire la possibilité pour les Etats membres d’instituer des sanctions pénales. Une façon de souligner que la cybersécurité ne peut pas être la préoccupation des RSSI, DSI, ou des services de conformité à eux-seuls, mais qu’elle est l’affaire de tous et qu’elle doit être adressée au plus haut niveau des organisations. Les décisions d’imposer une sanction administrative peuvent faire l’objet d’une publication sur le site internet officiel des autorités compétentes. La conformité aux exigences cyber représente plus que jamais un véritable enjeu réputationnel. DORA implique toute la chaîne d’approvisionnement des entités financières et rappelle la responsabilité des entités financières dans le respect et l’exécution de toutes les obligations qui en découlent vis-à-vis de leurs fournisseurs. Il leur appartient désormais de définir une stratégie et une politique en matière de risques de tiers, de tenir un registre de tous leurs accords contractuels, et d’identifier les tiers qui couvrent des fonctions critiques avant même de conclure un contrat. Les entreprises concernées devront donc évaluer la posture cyber de leurs sous-traitants ou fournisseurs pour pouvoir faire les bons choix de prestataires, réduire ainsi leurs risques cyber et assurer un niveau de sécurité maximal. Une diligence essentielle pour assurer la résilience du secteur à travers toute la chaîne de valeur.
Envie de découvrir la plateforme EGERIE ?
