Visant à améliorer la résilience contre les cyberattaques imminentes dans le secteur financier, le Digital Operational Resilience Act (DORA) est une proposition législative qui est toujours en cours d'élaboration. Il est important de noter que cette loi ne remplace pas les réglementations existantes mais les complète plutôt en fournissant un cadre pour la gestion du risque opérationnel dans un environnement numérique.
L'objectif de la DORA est de faire en sorte que les institutions financières soient en mesure de résister aux cyberattaques en mettant en œuvre les meilleures pratiques telles que la protection des données et la planification de la réponse aux incidents. Cela signifie que les entreprises doivent avoir un plan en place en cas d'attaque afin de pouvoir maintenir leurs opérations tout en se remettant des dommages causés par une attaque.
Voir : Les nouvelles règles de Deloitte pour la conformité DORA
Que signifie la loi sur la résilience opérationnelle numérique (DORA) pour votre entreprise ?
La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA) apportera des changements significatifs à la manière dont les sociétés de services financiers gèrent leurs pratiques en matière de sécurité des données. En vertu de cette loi, toutes les institutions financières doivent mettre en œuvre un programme de cybersécurité comprenant des politiques, des procédures et des activités de gestion des risques. Ces politiques doivent être examinées chaque année par un régulateur financier tiers qui évaluera si elles sont adéquates au regard des normes du secteur.
Les institutions financières doivent également mettre en œuvre un plan de réponse aux incidents décrivant la manière dont elles réagiront lorsqu'une cyber-violation se produira ou lorsqu'il y aura des indications qu'une telle violation pourrait se produire dans un avenir proche. Ce plan doit inclure une stratégie pour faire face aux différents types d'attaques (par exemple, les escroqueries par hameçonnage), ainsi que des procédures pour se remettre d'une attaque.
La DORA décrit certains scénarios dans lesquels elle peut être applicable :
Par exemple, toutes les organisations qui travaillent directement avec les institutions et entreprises financières en tant que prestataires de services, sont soumises à la DORA en tant que contrainte et seraient directement supervisées par une autorité de régulation financière.
Il s'agit de déterminer si les protocoles et pratiques de sécurité du fournisseur sont conformes aux normes spécifiées par la DORA et s'ils sont capables de fournir un environnement sans risque pour le traitement des données financières sensibles.
Les organisations qui ne travaillent pas directement avec une institution financière peuvent choisir volontairement de se mettre en conformité avec la loi DORA par le biais d'un auditeur indépendant.
Afin de se conformer à la loi DORA, il est important que les organisations disposent d'un plan de sécurité et de gestion des risques bien défini. Ce plan doit comprendre des mesures telles que des évaluations régulières de la vulnérabilité, des plans d'intervention en cas d'incident et des programmes de formation des employés. Une proposition complète décrivant ces mesures et leur mise en œuvre peut aider les organisations à se conformer à la loi DORA et à s'établir en tant que fournisseurs de services dignes de confiance dans l'industrie financière.
La loi DORA : Principales conditions et objectifs
La loi sur la résilience opérationnelle numérique (DORA) garantit la capacité du secteur financier à fonctionner de manière sûre et résiliente. Les principales exigences de cette loi sont les suivantes :
- Les entreprises doivent disposer d'un plan d'intervention en cas d'incident qui comprend une description détaillée de ce qui constitue une cyberattaque, de la manière dont les employés doivent réagir et de la façon dont les opérations seront rétablies en cas de violation.
- Les entreprises doivent maintenir un programme de cybersécurité qui comprend une évaluation des risques posés par les cyberattaques et un plan d'action pour atténuer ces risques.
- Les entreprises doivent maintenir des contrôles de sécurité appropriés sur leur infrastructure numérique. Ces contrôles comprennent le cryptage, l'authentification, les contrôles d'accès, les pistes d'audit, les systèmes de surveillance, les systèmes de gestion des événements et les plans de réponse aux incidents.
- Les entreprises doivent signaler les incidents lorsqu'ils se produisent afin que les régulateurs puissent évaluer leurs vulnérabilités et formuler des recommandations pour améliorer leur dispositif de sécurité.
- Les entreprises doivent avoir un plan en place pour assurer la continuité du service pendant les perturbations qui pourraient survenir.
Un pas de plus vers la conformité DORA avec PowerDMARC
Les organisations renforcent leur dispositif de sécurité en raison de la loi DORA, qui exige une sécurité numérique, de réseau et d'informatique en nuage, ainsi qu'une sécurité du courrier électronique. Le courrier électronique étant à la base des communications d'aujourd'hui et constituant la plate-forme de communication centrale de la plupart des entreprises, la sécurisation de votre infrastructure de courrier électronique est cruciale pour assurer la conformité à la loi DORA.
PowerDMARC est une plateforme SaaS multi-tenant qui sécurise vos canaux de messagerie en s'appuyant sur une suite complète d'authentification des e-mails. Nous sommes conformes aux normes ISO 27001, SOC Type 2 et GDPR, et nous avons travaillé avec succès avec diverses organisations financières pour protéger leurs données et domaines de messagerie contre les risques de sécurité.
Nous vous aidons :
- Protégez vos courriels contre l'usurpation d'identité et l'usurpation d'identité avec DMARC
- Protégez-vous contre les cyber-écoutes et les attaques de type "man-in-the-middle" grâce à MTA-STS
- Surveillez les résultats de l'authentification de votre courrier électronique et résolvez les incidents médico-légaux grâce aux éléments suivants rapports DMARC
- Restez en dessous de la limite de consultation du FPS pour éviter les Permerrors avec l'aplatissement du FPS
Contactez-nous dès aujourd'hui pour assurer la conformité de vos courriels !
