Akamai soutient et protège la vie en ligne. Les entreprises leaders du monde entier choisissent Akamai pour concevoir, diffuser et sécuriser leurs expériences digitales, et aident des milliards de personnes à vivre, travailler et jouer chaque jour. Akamai Connected Cloud, plateforme cloud massivement distribuée en bordure de l'Internet, rapproche vos applications et expériences des utilisateurs, tout en tenant les menaces à distance.
DORA est un règlement de l' UE qui concerne le secteur des services financiers. Il s'applique explicitement aux services financiers de l'UE et vise à assurer leur résilience en matière de cybersécurité.
Le règlement DORA est entré en vigueur le 16 janvier 2023 et s'appliquera à compter du 17 janvier 2025.
Fabio Panetta, de l'Union européenne (UE), décrit l'écosystème des cybermenaces de la manière suivante : « Les menaces deviennent de plus en plus complexes. Les attaques récentes appellent à une vigilance constante au niveau opérationnel et à une réévaluation permanente des cadres réglementaires et de surveillance afin de déterminer s'ils doivent être mis à jour ». Le règlement DORA vise à harmoniser les directives en matière de cybersécurité dans l'ensemble du secteur financier et à tenir compte de l'évolution de l'écosystème des menaces.
DORA et cyber-résilience dans les services financiers
À l'instar du RGPD, qui harmonise la réglementation sur la confidentialité des données, le règlement DORA consolide et améliore la gestion des risques liés aux TIC et des cyberrisques dans les services financiers.
DORA vise à atténuer les risques liés à la transformation digitale du secteur et à promouvoir la cyber-résilience dans l'écosystème des services financiers, en aidant les banques, le secteur financier et les systèmes financiers à prévenir les incidents de cybersécurité, à y remédier et à rétablir l'activité. Pour ce faire, le règlement DORA fixe des exigences uniformes concernant la sécurité des réseaux et des systèmes d'information soutenant les processus opérationnels des entités financières. Ces exigences comprennent la gestion des risques liés aux TIC, le signalement des incidents majeurs liés aux TIC, les tests de résilience opérationnelle digitale, le partage d'informations et les mesures et exigences liées à l'utilisation de services TIC tiers.
DORA est une mesure législative qui s'applique aux organisations financières exerçant des activités financières dans l'UE dans les 21 catégories incluses dans son champ d'application. Les organisations opérant dans les secteurs financiers concernés par le règlement DORA comprennent entre autres les suivantes :
- Établissements de crédit
- Établissements de paiement
- Établissements de monnaie électronique
- Entreprises d'investissement
- Fournisseurs de services d'actifs cryptographiques
- Fonds d'investissement alternatifs
- Gestionnaires d'assurance
- Fournisseurs de services TIC tiers
Comment les solutions Akamai peuvent aider votre entreprise
L'élément Zero Trust de la plateforme Akamai permet de visualiser en détail les ressources, les contrôles d'accès et les flux réseau, avec une application granulaire de la stratégie de sécurité. La visibilité d'Akamai sur vos ressources, vos accès et vos flux réseau est la pierre angulaire de votre stratégie de sécurité Zero Trust qui s'étend à la gestion des risques liés aux tiers dans le domaine des TIC. Notre équipe de lutte contre les menaces peut en outre vous aider à traquer les menaces les plus évasives et à limiter les mouvements latéraux en cas de violation.
La plateforme mondiale d'Akamai peut aider votre entreprise à détecter et à prévenir les menaces existantes et émergentes, et à s'adapter à l'évolution du paysage de la sécurité.
Comment le règlement DORA affecte-t-il votre entreprise ?
Les exigences du règlement DORA portent sur la cyber-résilience des systèmes TIC. Les points de référence du DORA sont les suivants :
- Des tests annuels de résilience et de vulnérabilité doivent être effectués par des tiers indépendants. Des tests de pénétration réalisés régulièrement en fonction des menaces sont également requis.
- Le règlement DORA exige des mesures de protection complètes et fondées sur les risques. Les mesures de sécurité du règlement DORA comprennent : l'adoption d'une approche basée sur les risques pour la gestion du réseau et de l'infrastructure ; la mise en œuvre de politiques appropriées et complètes pour les vulnérabilités telles que les correctifs et les mises à jour ; l'utilisation de mécanismes d'authentification robustes ; et la limitation de l'accès physique et virtuel aux ressources et aux données des systèmes TIC.
- Des procédures sont requises pour « détecter, gérer et notifier les incidents liés aux TIC et mettre en place des indicateurs d'alerte précoce ».
- Le signalement des incidents liés à la cybersécurité est facilité par l'existence de processus permettant de surveiller, de décrire et de signaler aux autorités compétentes en vertu du règlement DORA les incidents importants liés aux TIC.
- Les exigences du règlement DORA relatives à la gestion et à la responsabilité en matière de sécurité couvrent les aspects essentiels de la gestion et de la réponse en matière de cybersécurité pour le partage d'informations.
Règlement DORA et services financiers
Le Fonds monétaire international (FMI) appelle à prendre des mesures de protection urgentes dans le secteur financier après avoir révélé l'insuffisance des défenses des entreprises dans l'une de ses enquêtes. La Banque d'Angleterre abonde en ce sens, constatant dans son enquête sur le risque systémique du second semestre que 74 % des personnes interrogées considèrent les cyberattaques comme le risque le plus élevé pour le secteur financier.
Les cadres et les orientations tels que le règlement DORA sont essentiels pour aider les institutions financières et leurs fournisseurs associés, tels que les fournisseurs de TIC, à comprendre comment gérer les risques. Les recherches menées dans le cadre du Data Breach Investigations Report 2022 de Verizon (DBIR) ont recensé les cybermenaces les plus importantes dans le secteur financier, telles que les violations de données, les attaques DDoS et les ransomwares. Le rapport souligne que le vol d'informations d'identification fait partie intégrante du succès de la plupart des cyberattaques dans ce secteur. La Commodity Futures Trading Commission a récemment souligné qu'une enquête menée en 2022 auprès de 130 institutions financières mondiales a révélé que 74 % d'entre elles avaient subi au moins une attaque par ransomware au cours de l'année précédente.
Règlement DORA et fournisseurs de TIC
La gestion des risques liés aux tiers est un aspect essentiel du règlement DORA. Selon le rapport d'enquête 2022 de Verizon sur les compromissions de données [DBIR]), le secteur financier a été la deuxième cible la plus populaire des attaques de la chaîne d'approvisionnement. La conformité au règlement DORA vise à changer cette situation et à prévenir les cyberattaques contre les fournisseurs et les institutions financières. L' Agence de l'Union européenne pour la cybersécurité (AESRI) a fait état d'une sophistication et d'un volume accrus d'attaques contre la chaîne d'approvisionnement, les attaquants ciblant la chaîne d'approvisionnement pour voler des données et des actifs financiers. Le règlement DORA coordonne les exigences en utilisant les cadres existants, tels que les directives de l'Autorité bancaire européenne (ABE) sur l'externalisation.
Tout fournisseur de TIC désigné comme « critique » par une Autorité européenne de surveillance sera soumis à un cadre de surveillance assorti de règles strictes sous la supervision directe d'un superviseur principal désigné.
Les solutions Zero Trust offrent une visibilité sur l'ensemble du réseau étendu de fournisseurs, y compris les fournisseurs de TIC. L'application de mesures de sécurité, telles que le moindre privilège et le contrôle proactif des zones sensibles et des données, empêche les violations de données et les infections par ransomware.
Solutions Akamai
Akamai propose une gamme complète de solutions qui couvre certaines exigences pouvant aider les entreprises à atteindre la résilience opérationnelle dans le secteur financier. Les principales solutions de sécurité d'Akamai sont reconnues comme étant les meilleures de leur catégorie par nos clients qui utilisent Akamai pour protéger leurs actifs stratégiques. Notre portefeuille de produits de sécurité est passé d'un ensemble de solutions ponctuelles à une plateforme Zero Trust complète et performante. Les solutions de premier ordre d'Akamai fournissent les contrôles nécessaires pour répondre à des exigences strictes, y compris la gestion du risque des fournisseurs de TIC et la protection des actifs stratégiques. La sécurité Zero Trust d'Akamai offre le type de couverture complète nécessaire pour couvrir tous les types d'environnements informatiques, quels que soient le type d'actifs, le type de trafic (nord-sud, est-ouest) ou les terminaux utilisés. Akamai vous permet de visualiser en détail votre environnement informatique, vos ressources critiques, vos besoins d'accès et vos flux réseau sur l'ensemble de votre infrastructure.
Règlement DORA et AES
Le règlement DORA s'appuie sur les travaux antérieurs de l'Autorité européenne des assurances et des pensions professionnelles (AEAPP), de l'Autorité bancaire européenne et de l'Autorité européenne des marchés financiers, qui constituent les Autorités européennes de surveillance (AES). Le règlement DORA est important en raison de la transformation digitale de l'ensemble de la chaîne de valeur des secteurs de la finance et de l'assurance. Les exigences réglementaires de la loi DORA sont nécessaires pour gérer ces risques nouveaux et émergents et pour mettre en place le bon type de mesures et de sauvegardes afin de prévenir les cyberattaques.
Déclaration d'incidents dans le cadre du règlement DORA
Le signalement des incidents de cybersécurité par les entités couvertes est un aspect important du règlement DORA. Les entités couvertes doivent mettre en place des processus pour surveiller, décrire et signaler aux autorités compétentes les incidents importants liés aux TIC dans le cadre du règlement DORA.
En outre, les règles en matière de signalement pour les fournisseurs de TIC critiques sont strictes et comprennent l'envoi d'une notification initiale aux autorités, suivi d'un rapport intermédiaire sur la façon dont la résolution de l'incident progresse et d'un rapport final après analyse des causes profondes. Des directives concernant la classification des incidents, le signalement obligatoire des incidents et les délais de signalement sont en cours d'élaboration par les AES.
Analyse des lacunes du Digital Operational Resilience Act (DORA)
Le règlement DORA s'appliquera à partir du 17 janvier 2025. Par conséquent, durant cette période, les entités financières et les fournisseurs de services TIC tiers critiques devront se préparer à appliquer la législation. Pour assurer leur conformité avec le règlement DORA, les entités concernées devront réaliser une analyse des lacunes afin de déterminer si les mesures mises en place répondent à tout ou partie des exigences applicables.
Foire aux questions (FAQ)
DORA, ou Digital Operational Resilience Act, est un nouveau règlement de l'Union européenne qui concerne explicitement les services financiers de l'UE et vise à maintenir la résilience en matière de cybersécurité.
Non, DORA (Digital Operational Resilience Act) n'est pas le nom d'une agence gouvernementale. Il s'agit d'un règlement récent de l'UE qui vise à établir des normes pour les mesures liées à la résilience opérationnelle que les banques, les bourses et les autres infrastructures des marchés financiers doivent respecter.