Le Conseil européen a adopté le Règlement sur la résilience opérationnelle numérique (DORA) en novembre 2022 afin de renforcer la résilience des institutions financières face aux cyberattaques. Pour ce faire, DORA rationalise et harmonise les exigences de l’Union européenne en matière de sécurité des systèmes d’information et des réseaux des organisations opérant dans le secteur financier ainsi que des prestataires tiers critiques de services TIC (technologies de l’information et de la communication).
Les principaux piliers de la législation DORA sont les suivants :
Le Règlement DORA s’applique à un large éventail de prestataires de services financiers, notamment les banques, les établissements de crédit, les établissements de paiement, les établissements de monnaie électronique, les entreprises d’investissement et les prestataires de services sur crypto-actifs. Mais surtout, le Règlement DORA définit les services TIC critiques fournis aux institutions financières. Si une organisation est un prestataire de services TIC critiques à une institution financière, elle sera soumise à une surveillance réglementaire directe dans le cadre du Règlement DORA. Cela inclut, par exemple, les plateformes cloud et les services d’analyse de données.
Le Règlement DORA est entré en vigueur le 16 janvier 2023 et est assorti d’une période de mise en œuvre de deux ans. Les entités financières et leurs prestataires de services TIC et autres doivent se conformer au règlement d’ici au 17 janvier 2025.
Les entités qui enfreignent les dispositions du règlement sont passibles d’une amende pouvant atteindre 2 % de leur chiffre d’affaires annuel mondial total ou, dans le cas d’une personne physique, d’une amende d’un montant maximal de 1 000 000 d’euros. Le montant de l’amende dépendra de la gravité de la violation et de la coopération de l’entité financière concernée avec les autorités.
Learn how our data protection and access management solutions can help comply with DORA, NIS 2, GDPR, PCI DSS 4.0 and ISO 27001.
Le Règlement DORA définit des cadres et des lignes directrices concernant la gestion des risques afin de contribuer à la mise en place de programmes de gestion des risques matures et à l’amélioration de la résilience opérationnelle.
Article 8.1 :
« ...identifient, classent et documentent de manière adéquate les actifs informationnels... »
La solution CipherTrust Data Discovery and Classification identifie les données sensibles structurées et non structurées sur site et dans le cloud. Des modèles intégrés permettent une identification rapide des données réglementées, mettent en évidence les risques de sécurité et aident à détecter les lacunes en matière de conformité.
Article 9.2 :
« ...maintenir des normes élevées en matière de disponibilité, d’authenticité, d’intégrité et de confidentialité des données, que ce soit au repos, en cours d’utilisation ou en transit. »
Protection des données au repos :
La solution CipherTrust Data Security Platform offre de multiples fonctionnalités pour protéger les données au repos dans les fichiers, les volumes et les bases de données. Parmi elles, citons :
Protection des données en transit :
Les dispositifs de chiffrement à haut débit, ou High Speed Encryptors (HSE), de Thales offrent un chiffrement des données en transit indépendant du réseau (couches 2, 3 et 4), ce qui garantit la sécurité des données pendant leur transit d’un site à l’autre, d’une infrastructure sur site vers le cloud et inversement. Nos solutions de chiffrement réseau permettent aux clients d’améliorer la protection de leurs données, de leurs vidéos, de leurs fichiers audio et de leurs métadonnées contre les écoutes, la surveillance et l’interception, explicite et déguisée, le tout sans compromis sur les performances. Les HSE de Thales sont disponibles en tant qu’appliances physique et virtuelle, prenant en charge une vaste gamme de débits réseau de 10 Mb/s à 100 Gb/s.
Article 9.3, alinéa b :
« ...réduisent au minimum le risque de corruption ou de perte de données, d’accès non autorisé et de défauts techniques... »
Les produits et solutions de gestion des identités et des accès OneWelcome de Thales limitent l’accès des utilisateurs internes et externes en fonction de leur rôle et du contexte. Soutenues par une authentification forte (MFA), des politiques d’accès granulaires et des politiques d’autorisation fines permettent de s’assurer que le bon utilisateur a accès à la bonne ressource au bon moment, minimisant ainsi le risque d’accès non autorisé.
Article 9.4, alinéa c :
« ...mettent en œuvre des politiques qui limitent l’accès physique ou logique aux actifs informationnels et aux actifs de TIC, à ce qui est nécessaire pour les fonctions et les activités légitimes et approuvées, et... »
La plateforme de gestion des identités OneWelcome de Thales permet aux organisations de limiter virtuellement (ou logiquement) l’accès aux ressources confidentielles grâce à l’utilisation de l’authentification multifacteur (y compris l’authentification résistante aux tentatives de hameçonnage) et de politiques d’accès granulaires. Les cartes à puce SafeNet IDPrime peuvent être utilisées pour mettre en œuvre l’accès physique aux installations sensibles.
Le module de gestion du consentement et des préférences OneWelcome de Thales permet aux organisations de recueillir le consentement des consommateurs finaux afin que les institutions financières puissent avoir une visibilité claire des données consenties, leur permettant ainsi de gérer l’accès aux données qu’elles sont autorisées à utiliser.
Article 9.4, alinéa d :
« …mécanismes d’authentification forte… »
« ...mesures de protection des clés de chiffrement par lesquelles les données sont chiffrées... »
SafeNet Trusted Access est une solution de gestion des accès basée sur le cloud qui facilite la gestion des accès à la fois aux services cloud et aux applications d’entreprise avec une plateforme intégrée combinant l’identification unique, l’authentification multifacteur (AMF) et les politiques d’accès basées sur des scénarios.
Les offres de gestion des clés de Thales rationalisent et renforcent la gestion des clés dans les environnements cloud et d’entreprise sur un ensemble varié de cas d’utilisation.
Les modules de sécurité matériels (HSM) protègent les clés de chiffrement et fournissent un environnement renforcé et inviolable de type FIPS 140-2 de niveau 3 pour des opérations cryptographiques (traitement, génération et protection des clés, chiffrement, et bien d’autres) sécurisées.
Article 10.1 :
« ...détecter les activités anormales... surveiller l’activité des utilisateurs... »
Les journaux et les rapports de renseignements de sécurité de la solution CipherTrust Transparent Encryption rationalisent la génération de rapports de conformité et accélèrent la détection des menaces à l’aide des principaux systèmes de gestion des informations et des événements de sécurité (SIEM).
L’extension CipherTrust Transparent Encryption Ransomware Protection détecte les activités d’identification des rançongiciels (accès excessif aux données, exfiltration, chiffrement non autorisé ou usurpation d’identité avec des actions malveillantes).
SafeNet Trusted Access permet aux organisations de répondre au risque de violation des données et de le réduire en fournissant une piste d’audit immédiate et à jour de tous les événements d’accès à tous les systèmes.
Le Règlement DORA insiste sur la nécessité de gérer les risques liés aux prestataires tiers de services TIC et sur le besoin pour les entités financières d’avoir des « stratégies de sortie ».
Thales aide les organisations à réduire les risques liés aux prestataires tiers en s’appuyant sur la gestion des clés et le chiffrement pour appliquer une stricte séparation des tâches entre les institutions financières et les prestataires tiers et maintenir la portabilité des charges de travail vers d’autres prestataires si nécessaire.
Article 28.8 :
« Pour les [prestataires tiers de] services TIC qui soutiennent des fonctions critiques ou importantes, les entités financières mettent en place des stratégies de sortie. »
« ...mesures de protection des clés de chiffrement par lesquelles les données sont chiffrées... »
CipherTrust Cloud Key Manager peut réduire les risques liés aux prestataires tiers en maintenant sur place, sous le contrôle total de l’institution financière, les clés qui protègent les données sensibles hébergées par des fournisseurs de cloud tiers dans le cadre de systèmes « apportez vos propres clés » (BYOK).
CipherTrust Transparent Encryption offre une séparation complète des rôles administratifs où seuls les utilisateurs et les processus autorisés peuvent voir les données non chiffrées.
Les solutions de sécurité des données de Thales offrent la gamme la plus complète de protection des données, comme la protection des données à la demande (Data Protection on Demand - DPoD) de Thales, qui fournit une haute disponibilité et une sauvegarde intégrées à ses services HSM Cloud Luna et CipherTrust Key Management basés sur le cloud, jusqu’aux dispositifs de chiffrement de réseau HSE qui offrent des options de réduction à zéro.
Thales helps organizations comply with DORA by addressing essential requirements for risk management and managing third party risk. Thales helps organizations by: Identifying and classifying sensitive data for risk assessment Protecting data at rest, in use, and in motion...
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
Le RGPD est peut-être la norme de confidentialité des données la plus complète à ce jour. Elle concerne toute organisation qui traite les données personnelles des citoyens de l'UE - quel que soit le lieu du siège de l'organisation.
Toute organisation qui joue un rôle dans le traitement des paiements par carte de crédit et de débit doit se conformer aux exigences strictes de conformité PCI DSS pour le traitement, le stockage et la transmission des données de compte.
Partout dans le monde, des nouvelles exigences en matière de notification des brèches de données ont vu le jour suite à la perte d'informations personnelles. Elles varient selon les juridictions mais comprennent presque toutes une clause de "safe harbour".
