La conformité DORA en toute simplicité
Tout ce dont vous avez besoin pour vous mettre en conformité avec la loi DORA.
La loi sur la résilience opérationnelle numérique : Une réponse au risque de tiers et à la perturbation globale.
Le QUOI
DORA vise à protéger les institutions financières de l'UE contre les cybermenaces, à renforcer leur résilience et à garantir une reprise rapide après une interruption des activités informatiques. Il établit des normes de sécurité numérique unifiées dans tous les États membres, renforçant ainsi la capacité du secteur à relever les défis liés aux TIC et favorisant une résilience opérationnelle de haut niveau dans l'ensemble de l'UE.
Le pourquoi
Le secteur financier est confronté à une vague de cyber-attaques sophistiquées, les pirates exploitant les vulnérabilités des fournisseurs tiers et des chaînes d'approvisionnement. Les organisations sont donc exposées à des risques de violations et de perturbations. L'Union européenne demande aux institutions financières de donner la priorité à la cyber-résilience.
Quelles sont les conséquences de la non-conformité ?
La loi DORA prévoit des sanctions sévères, qui sont appliquées par les autorités européennes de surveillance (AES). Ces sanctions peuvent inclure
Jusqu'à 2 % du chiffre d'affaires annuel mondial total
Amendes individuelles et sanctions pénales
Perte de confiance des consommateurs et atteinte à la réputation
Organisations touchées par DORA
La loi DORA affecte les organisations de services financiers opérant dans les États membres de l'UE et les fournisseurs de services tiers qu'elles utilisent. Même les entreprises basées aux États-Unis qui fournissent des services financiers ou informatiques dans l'UE doivent s'y conformer.
Banques, entreprises d'investissement
Établissements de crédit, Services de notation de crédit
Plateformes de crowdfunding
Analyse de données, services TIC tiers, fournisseurs de crypto-actifs
Quelles sont les applications qui relèvent de DORA ?
Les services de technologie de l'information et de la communication (TIC) dans le cadre de DORA comprennent, sans s'y limiter, les éléments suivants :
Machines virtuelles, instances, bases de données, etc.
Stockage de données sur site
Stockage de données en nuage
Sauvegarde des applications et systèmes bancaires de base
Applications "as-a-service" (CRM, ERPs, Analytics, etc.)
Applications SaaS départementales
Les six piliers de DORA
Mettre en œuvre un cadre solide de gestion des risques liés aux TIC, comprenant des stratégies, des politiques et des outils permettant d'identifier les risques liés aux TIC, de s'en protéger, de les détecter, d'y répondre et de s'en remettre.
Établir et mettre en œuvre un processus de gestion permettant de contrôler, d'enregistrer et de signaler aux autorités compétentes, dans les délais impartis, les incidents importants liés aux TIC.
Procéder à des tests réguliers de leurs systèmes et contrôles TIC, y compris des évaluations de la vulnérabilité, des tests de pénétration et des tests basés sur des scénarios.
Gérer les risques associés aux fournisseurs de services TIC tiers, y compris les fournisseurs essentiels, par le biais d'accords contractuels solides et d'une surveillance continue.
Partage de renseignements et d'informations sur les cybermenaces entre les entités financières afin d'améliorer la résilience de l'ensemble du secteur.
Les fournisseurs de services TIC critiques aux entités financières seront soumis à un cadre de surveillance afin de s'assurer qu'ils respectent certaines normes de résilience opérationnelle numérique.
Nouveautés : Liste de contrôle pour la sauvegarde et la restauration de DORA
- Développer un cadre pour identifier et évaluer tous les services TIC
- Aligner votre évaluation sur les cadres établis
- Désigner des parties prenantes chargées de gérer les opérations de protection des données et de contrôler en permanence les technologies de l'information et de la communication,
- Planifier des sauvegardes régulières
- Suivez la "règle des 3-2-1" et assurez-vous que les sauvegardes sont logiquement séparées du système source.
- Veiller à ce que les sauvegardes soient accessibles en cas de panne ou de cybermenace.
- Permettre l'immutabilité pour se protéger contre les ransomwares.
- Mettre en œuvre l'authentification multifactorielle, le cryptage et la segmentation du réseau
- Attribuer des accords de niveau de service (SLA) de récupération proportionnels à la nature critique de l'application.
- Élaborer et mettre à jour régulièrement des plans de reprise après sinistre
- Organiser des formations et des simulations périodiques afin d'améliorer la préparation du personnel à la réponse aux incidents.
- Maintenir la documentation et les registres pour démontrer la conformité
- Exploiter des outils avancés pour une surveillance continue et un rapport en temps réel des activités de sauvegarde et de récupération.
HYCU R-Cloud™ : La plus large couverture des TIC en matière de protection des données
Reconnaissant depuis longtemps le risque des services et applications tiers, HYCU a été le pionnier de la protection des TIC, où qu'elles se trouvent. HYCU R-Cloud™ offre une plateforme unifiée pour voir, gérer et protéger les applications et les données critiques dans l'ensemble de votre organisation.
Visualisez vos TIC, dévoilez les services non protégés
- Visualisez l'ensemble de votre patrimoine de données - applications et services dans toute votre organisation
- Exposer les TIC sans
- Politiques de sauvegarde
- Stockage hors site
- Récupération basée sur l'interface utilisateur
- Commencez immédiatement à protéger les applications et contrôlez visuellement la protection et la conformité.
Sauvegardes automatisées et conformes à DORA
HYCU offre une couverture 10 fois supérieure à celle de toute autre solution de sauvegarde d'entreprise. Conçue pour automatiser les opérations et fournir une assurance de sauvegarde, vous pouvez :
- Attribuer des sauvegardes en un clic
- Soyez rassuré grâce à des sauvegardes "fixes et oubliées" fonctionnant 24 heures sur 24 et 7 jours sur 7
- Modifier les fréquences de sauvegarde en fonction de la proportionnalité
- Soyez informé de toutes les activités et de tous les événements liés à la sauvegarde
Sauvegardes contrôlées par le client : Hors site et à l'abri des ransomwares
- Stocker automatiquement les sauvegardes dans un emplacement logiquement séparé et hors site.
- Stocker les données dans Amazon S3, Azure Blob, Google Cloud et d'autres cibles de stockage compatibles S3
- Activer les sauvegardes immuables à base de WORM
- Stocker des données de quelques jours à plusieurs années
Tests de récupération et de résilience démontrables
- Opérations de restauration des VM, des instances et des applications en nuage en un seul clic
- Reprise après sinistre intégrée, avec basculement dans le nuage et reprise interrégionale dans le nuage
- Restauration des fichiers et de la configuration dans les applications as-a-service
- Suivi complet des événements et journaux d'audit pour toutes les opérations de sauvegarde et de restauration