Icône du site PowerDMARC

Qu'est-ce que Dora ? Loi sur la résilience opérationnelle numérique pour les services financiers

Loi sur la résilience opérationnelle numérique | DORA Act

Visant à améliorer la résilience contre les cyberattaques imminentes dans le secteur financier, le Digital Operational Resilience Act (DORA) est une proposition législative qui est toujours en cours d'élaboration. Il est important de noter que cette loi ne remplace pas les réglementations existantes mais les complète plutôt en fournissant un cadre pour la gestion du risque opérationnel dans un environnement numérique. 

L'objectif de la DORA est de faire en sorte que les institutions financières soient en mesure de résister aux cyberattaques en mettant en œuvre les meilleures pratiques telles que la protection des données et la planification de la réponse aux incidents. Cela signifie que les entreprises doivent avoir un plan en place en cas d'attaque afin de pouvoir maintenir leurs opérations tout en se remettant des dommages causés par une attaque.

Voir : Les nouvelles règles de Deloitte pour la conformité DORA

Que signifie la loi sur la résilience opérationnelle numérique (DORA) pour votre entreprise ?

La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act, DORA) apportera des changements importants dans la manière dont les sociétés de services financiers gèrent leurs pratiques en matière de sécurité des données. En vertu de la loi DORA, toutes les institutions financières doivent mettre en œuvre un programme de cybersécurité comprenant des politiques, des procédures et des activités de gestion des risques. Ces politiques doivent être examinées chaque année par un organisme de réglementation financière tiers, qui évaluera si elles sont adéquates ou non en fonction des normes du secteur. 

Les institutions financières doivent également mettre en œuvre un plan de réponse aux incidents décrivant la manière dont elles réagiront lorsqu'une cyber-violation se produira ou lorsqu'il y aura des indications qu'une telle violation pourrait se produire dans un avenir proche. Ce plan doit inclure une stratégie pour faire face aux différents types d'attaques (par exemple, les escroqueries par hameçonnage), ainsi que des procédures pour se remettre d'une attaque. 

La DORA décrit certains scénarios dans lesquels elle peut être applicable : 

Par exemple, toutes les organisations qui travaillent directement avec les institutions et entreprises financières en tant que prestataires de services, sont soumises à la DORA en tant que contrainte et seraient directement supervisées par une autorité de régulation financière.

Il s'agit de déterminer si les protocoles et pratiques de sécurité du fournisseur sont conformes aux normes spécifiées par la DORA et s'ils sont capables de fournir un environnement sans risque pour le traitement des données financières sensibles.

Les organisations qui ne travaillent pas directement avec une institution financière peuvent choisir volontairement de se mettre en conformité avec la loi DORA par le biais d'un auditeur indépendant. 

La loi DORA : Principales conditions et objectifs 

La loi sur la résilience opérationnelle numérique (DORA) garantit la capacité du secteur financier à fonctionner de manière sûre et résiliente. Les principales exigences de cette loi sont les suivantes :

  1. Les entreprises doivent disposer d'un plan d'intervention en cas d'incident qui comprend une description détaillée de ce qui constitue une cyberattaque, de la manière dont les employés doivent réagir et de la façon dont les opérations seront rétablies en cas de violation.
  2. Les entreprises doivent maintenir un programme de cybersécurité qui comprend une évaluation des risques posés par les cyberattaques et un plan d'action pour atténuer ces risques.
  3. Les entreprises doivent maintenir des contrôles de sécurité appropriés sur leur infrastructure numérique. Ces contrôles comprennent le cryptage, l'authentification, les contrôles d'accès, les pistes d'audit, les systèmes de surveillance, les systèmes de gestion des événements et les plans de réponse aux incidents.
  4. Les entreprises doivent signaler les incidents lorsqu'ils se produisent afin que les régulateurs puissent évaluer leurs vulnérabilités et formuler des recommandations pour améliorer leur dispositif de sécurité.
  5. Les entreprises doivent avoir un plan en place pour assurer la continuité du service pendant les perturbations qui pourraient survenir.

Un pas de plus vers la conformité DORA avec PowerDMARC

Les entreprises renforcent leur dispositif de sécurité en raison de la loi DORA, qui exige une sécurité numérique, réseau et en nuage, ainsi qu'une sécurité de la messagerie électronique. Étant donné que le courrier électronique est à la base des communications d'aujourd'hui et qu'il constitue la plate-forme de communication centrale de la plupart des entreprises, il est essentiel de sécuriser votre infrastructure de messagerie pour être en conformité avec la loi DORA. 

PowerDMARC est une plateforme SaaS multi-tenant qui sécurise vos canaux de messagerie en s'appuyant sur une suite complète d'authentification des e-mails. Nous sommes conformes aux normes ISO 27001, SOC Type 2 et GDPR, et nous avons travaillé avec succès avec diverses organisations financières pour protéger leurs données et domaines de messagerie contre les risques de sécurité. 

Nous vous aidons : 

Contactez-nous dès aujourd'hui pour assurer la conformité de vos courriels !