Qu’est-ce que le Règlement sur la résilience opérationnelle numérique ?
Le Règlement sur la résilience opérationnelle numérique harmonise les règles relatives à la résilience opérationnelle du secteur financier qui s’appliquent à 20 types différents d’entités financières et de fournisseurs tiers de services TIC, couvrant environ 22 000 entreprises dans l’Union européenne.
Le règlement DORA vise à renforcer la sécurité informatique des entités financières telles que les banques, les compagnies d’assurance et les entreprises d’investissement, afin de garantir la résilience du secteur financier européen face à l’augmentation du volume et de la gravité des cyberattaques. Le nouveau règlement exige des entités financières et de leurs fournisseurs de TIC critiques qu’ils mettent en œuvre des mesures contractuelles, organisationnelles et techniques pour améliorer le niveau de résilience opérationnelle numérique du secteur.
Le règlement DORA est entré en vigueur le 16 janvier 2023 et s’appliquera aux 27 États membres de l’UE à partir du 17 janvier 2025.
Réglementation | En vigueur
Le règlement DORA s’articule autour de cinq piliers clés, chacun d’entre eux étant conçu pour traiter des aspects distincts de la résilience opérationnelle numérique des services financiers.
- Gestion et gouvernance des risques liés aux TIC : le règlement DORA rend la direction et les membres du conseil d’administration responsables de la définition, de la mise en œuvre et du maintien d’un cadre de gestion des risques liés aux TIC afin d’améliorer la résilience opérationnelle numérique. Il impose aux entités financières de mettre en place un cadre de gouvernance et de contrôle interne qui garantisse une gestion efficace et prudente des risques liés aux TIC.
- Signalement des incidents : les entreprises de services financiers doivent mettre en place des systèmes de surveillance, de gestion, d’enregistrement, de classification et de signalement des incidents liés aux TIC afin d’évaluer les attaques, d’atténuer leur impact sur les clients et les opérations et de les signaler aux autorités.
- Tests de résilience opérationnelle numérique : les entités financières doivent mettre en œuvre et réaliser chaque année un programme complet de tests de résilience opérationnelle numérique. Le règlement DORA précise également que les entités financières doivent s’assurer de la participation des fournisseurs tiers de services TIC à leurs tests de résilience opérationnelle numérique, le cas échéant.
- Risques liés aux fournisseurs tiers de services TIC : l’une des priorités du règlement DORA concerne les risques liés aux fournisseurs tiers de services TIC et son rôle dans l’atténuation des risques. Les institutions financières font largement appel à des fournisseurs externes de TIC pouvant se trouver en dehors de l’UE, tels que plusieurs fournisseurs de cloud. Par conséquent, les entités financières doivent inclure les risques liés aux fournisseurs tiers de services TIC comme partie intégrante de leur cadre de gestion des risques liés aux TIC.
- Partage d’informations : le règlement DORA encourage également le partage volontaire d’informations et de renseignements sur les cybermenaces afin d’améliorer la résilience opérationnelle numérique du secteur.
Le règlement DORA s’applique à un large éventail de prestataires de services financiers, notamment les banques, les établissements de crédit, les établissements de paiement, les établissements de monnaie électronique, les sociétés d’investissement et les prestataires de services de crypto-actifs, entre autres. Il est important de noter que le règlement DORA définit les services TIC essentiels fournis aux institutions financières. Si une entreprise fournit des services TIC critiques à une institution financière, elle sera soumise à une surveillance réglementaire directe dans le cadre du règlement DORA. Cela inclut, par exemple, les plateformes cloud et les services d’analyse de données, même s’ils sont basés en dehors de l’UE.
Le DORA est un règlement de l’UE, ce qui signifie qu’il a force de loi dans l’UE à partir du 17 janvier 2025. Contrairement à une directive européenne, le règlement DORA ne doit pas être transposé dans la législation nationale de chaque État membre de l’UE. Le non-respect du règlement DORA est assorti de sanctions sévères :
- Les entités financières qui enfreignent le règlement DORA s’exposent à des amendes pouvant aller jusqu’à deux pour cent de leur chiffre d’affaires annuel mondial total ou, dans le cas d’une personne physique, à une amende maximale de 1 000 000 d’euros. Le montant de l’amende dépendra de la gravité de la violation et de la coopération de l’entité financière avec les autorités.
- Les fournisseurs tiers de services TIC désignés comme « critiques » par les autorités de contrôle européennes peuvent se voir infliger des amendes allant jusqu’à 5 000 000 d’euros ou, dans le cas d’une personne physique, une amende maximale de 500 000 euros en cas de non-conformité au règlement DORA. Les AES auront le pouvoir d’imposer ces amendes.
Livre blanc
Règlement sur la résilience opérationnelle numérique (DORA)
Découvrez les solutions pour la conformité au règlement DORA dans le secteur financier, couvrant la gestion des risques liés aux technologies de l’information et de la communication (TIC), le signalement des incidents et bien plus encore.
Comment Thales contribue à la conformité au règlement DORA
Les solutions de Thales peuvent aider les institutions financières et les fournisseurs tiers de services TIC à se conformer au règlement DORA en simplifiant la conformité et en automatisant la sécurité, réduisant ainsi la charge des équipes de sécurité et de conformité. Nous contribuons à répondre aux exigences essentielles en matière de gestion des risques de cyber-sécurité prévues aux articles 8, 9, 10, 11, 19 et 28 du règlement, qui couvrent la gestion et la gouvernance des risques liés aux TIC, le signalement des incidents et la gestion des risques liés aux fournisseurs tiers de services TIC.
Nous fournissons des solutions complètes de cyber-sécurité dans trois domaines clés : la sécurité des applications, la sécurité des données et la gestion des identités et des accès.
Solutions de conformité à la directive NIS 2
Sécurité des applications
Protégez vos applications et API à grande échelle, que ce soit dans le cloud, sur site ou dans un modèle hybride. Notre suite de produits leader sur le marché comprend un pare-feu d’applications Web (WAF), une protection contre les attaques par déni de service distribué (DDoS) et les attaques de bots malveillants, la sécurité des API, un réseau de diffusion de contenu (CDN) sécurisé et l’autoprotection des applications en cours d’exécution (RASP).
Sécurité des données
Découvrez et classez les données sensibles au sein d’environnements TI hybrides et protégez-les automatiquement où qu’elles soient, qu’elles soient au repos, en transit ou en cours d’utilisation, grâce au chiffrement, à la tokénisation et à la gestion de clé. Les solutions de Thales permettent également d’identifier, d’évaluer et de hiérarchiser les risques potentiels pour une évaluation précise des risques, ainsi que d’identifier les comportements anormaux et de surveiller l’activité pour vérifier la conformité, permettant ainsi aux entreprises de concentrer leurs efforts sur les domaines prioritaires.
Gestion des identités et des accès
Fournissez un accès fluide, sécurisé et fiable aux applications et services numériques pour les clients, les employés et les partenaires. Nos solutions limitent l’accès des utilisateurs internes et externes en fonction de leurs rôles et du contexte grâce à des politiques d’accès granulaires et à une authentification multifacteur qui contribuent à garantir que le bon utilisateur ait accès à la bonne ressource au bon moment.
Livre blanc
Assurer la résilience opérationnelle numérique avec Thales Data Protection on Demand
Un guide complet pour tirer parti de la gestion de clé, du chiffrement et des HSM pour la conformité au règlement DORA avec la Data Protection on Demand (DPOD).
Répondre aux principales exigences du règlement DORA
Comment Thales vous aide :
- Découvrez et classez les risques potentiels pour toutes les API publiques, privées et cachées.
- Identifiez les données sensibles structurées et non structurées à risque, sur site et dans le cloud.
- Identifiez l’état actuel de la conformité, documentez les lacunes et fournissez une voie vers une conformité totale.
Solutions :
Sécurité des applications
Sécurité des données
Découverte et classification des données
Comment Thales vous aide :
- Chiffrez les données au repos sur site, dans le cloud et dans des environnements de Big Data et de conteneurs.
- Pseudonymisez les informations sensibles dans les bases de données.
- Protégez les données en transit grâce à un chiffrement haut débit.
- Obtenez une visibilité complète sur les activités liées aux données sensibles, suivez les personnes qui y ont accès, auditez leurs actions et documentez-les.
Comment Thales vous aide :
- Détectez et prévenez les cybermenaces grâce à un pare-feu d’applications web, garantissant un fonctionnement sans faille et une tranquillité d’esprit.
- Protégez les actifs réseau critiques contre les attaques DDoS et les bots malveillants, tout en continuant à autoriser le trafic légitime.
- Surveillez l’activité des données structurées et non structurées dans les systèmes cloud et sur site.
Solutions :
Sécurité des applications
Protection contre les attaques DDoS
Sécurité des données
Comment Thales vous aide :
- Limitez l’accès des utilisateurs internes et externes aux systèmes et aux données en fonction de leurs rôles et du contexte, à l’aide de politiques.
- Appliquez des mesures de sécurité contextuelles basées sur l’évaluation des risques.
- Exploitez les cartes à puce pour mettre en œuvre l’accès physique aux installations sensibles.
Comment Thales vous aide :
- Permettez une authentification multifacteur (MFA) grâce à la gamme la plus large de méthodes matérielles et logicielles et de formats.
- Concevez et déployez des politiques d’authentification adaptatives en fonction de la sensibilité des données/applications.
Solutions :
Gestion des identités et des accès
Comment Thales vous aide :
- Protégez les clés cryptographiques dans un environnement FIPS 140-2 niveau 3.
- Rationalisez la gestion de clé dans les environnements cloud et sur site.
Comment Thales vous aide :
- Effectuez une réconciliation automatique des modifications de production.
- Évaluez la vulnérabilité et atténuez les risques.
- Détectez les changements dans les schémas de la couche de données.
- Élaborez des processus d’approbation des modifications au niveau de la production.
Solutions :
Sécurité des données
Comment Thales vous aide :
- Détectez et prévenez les cybermenaces grâce à un pare-feu d’applications web, garantissant un fonctionnement sans faille et une tranquillité d’esprit.
- Protégez les performances et l’intégrité du réseau TIC contre les attaques DDoS et les bots malveillants, tout en continuant à autoriser le trafic légitime.
Comment Thales vous aide :
- Surveillez l’activité des données structurées et non structurées dans les systèmes cloud et sur site.
- Produisez une piste d’audit et des rapports de tous les événements d’accès à tous les systèmes et transmettez les journaux aux systèmes SIEM externes.
Solutions :
Sécurité des données
Surveillance de l’activité des données
Gestion des identités et des accès
Comment Thales vous aide :
- Atténuez les attaques DDoS en seulement trois secondes.
- Mettez en œuvre des mesures préventives pour prévoir et éviter les situations de crise.
Comment Thales vous aide :
- Les dossiers conservés pendant un an sont instantanément accessibles pour des recherches et des enquêtes détaillées. Les données d’audit sont archivées automatiquement mais restent accessibles en quelques secondes pour les requêtes et les rapports.
Comment Thales vous aide :
- Réduisez les risques liés aux tiers en conservant un contrôle sur site sur les clés de chiffrement protégeant les données hébergées dans le cloud.
- Assurez une séparation complète des rôles entre les administrateurs du fournisseur de cloud et votre entreprise et limitez l’accès aux données sensibles.
- Surveillez et signalez les anomalies afin de détecter et d’empêcher les activités indésirables de perturber la chaîne d’approvisionnement.
- Permettez la gestion des relations avec les fournisseurs, les partenaires ou tout utilisateur tiers, avec une délégation claire des droits d’accès.
- Minimisez les privilèges en utilisant une autorisation fine basée sur les relations.
Solutions :
Sécurité des données
Surveillance de l’activité des données
Gestion des droits des utilisateurs
Gestion des identités et des accès
Ressources associées
Autres réglementations clés en matière de protection et de sécurité des données
PCI HSM
MANDAT | EN VIGUEUR
La spécification PCI HSM définit un ensemble de normes de conformité de sécurité logiques et physiques pour les HSM, spécifiquement destinées au secteur des paiements. La certification de conformité à la spécification PCI HSM dépend du respect de ces normes.
DORA
RÉGLEMENTATION | EN VIGUEUR
Le règlement DORA vise à renforcer la sécurité informatique des entités financières afin de garantir la résilience du secteur financier en Europe face à l’augmentation du volume et de la gravité des cyberattaques.
Lois sur la notification des violations de données
RÉGLEMENTATION | EN VIGUEUR
Des exigences de notification en cas de violation de données ont été promulguées par des pays du monde entier suite à la perte d’informations personnelles. Elles varient en fonction des juridictions, mais comprennent presque toutes une clause de « clause d’exonération » (safe harbor).
GLBA
RÉGLEMENTATION | EN VIGUEUR
Le Gramm-Leach-Bliley Act (GLBA), également connu sous le nom de Financial Services Modernization Act (Loi sur la modernisation des services financiers) de 1999, exige des institutions financières qu’elles expliquent à leurs clients leurs pratiques en matière d’échange d’informations et protègent les données sensibles.