Cet article publié sur le site SafeBreach explique les nouvelles exigences imposées par l’Acte de Résilience Opérationnelle Numérique (DORA) de l’Union Européenne, qui vise à renforcer la résilience opérationnelle des institutions financières contre les menaces cybernétiques. La mise en application complète de cette réglementation commence en janvier 2025.
DORA impose aux organisations de mettre en place des contrôles basés sur cinq piliers clés : la gestion des risques TIC, le rapport d’incidents, les tests de résilience opérationnelle, la gestion des risques tiers, et le partage d’informations. Ces mesures s’appliquent globalement, affectant toute entité fournissant des services TIC aux entreprises financières de l’UE.
Techniquement, DORA exige des implémentations dans divers domaines tels que la validation continue des contrôles, la simulation de brèches et d’attaques (BAS), les tests de pénétration dirigés par les menaces (TLPT), et les capacités de détection en temps réel. L’article 26.2 spécifie que les tests doivent être effectués sur des systèmes de production critiques et en direct, et non dans des environnements de laboratoire.
Les organisations doivent également mettre en œuvre des exercices basés sur des scénarios, maintenir des systèmes de rapport prêts pour les audits, et établir des cadres techniques pour la classification des incidents et la notification réglementaire dans un délai de quatre heures.
Cet article est une analyse technique qui vise à informer les institutions financières et leurs fournisseurs de services TIC des nouvelles obligations réglementaires et des mesures techniques nécessaires pour assurer la conformité avec DORA.
🔗 Source originale : https://www.safebreach.com/blog/dora-compliance-for-global-institutions/