6 solutions pour vous aider à respecter la gestion des risques tiers de DORA au Royaume-Uni
Votre chaîne d’approvisionnement est-elle sécurisée ? C’est la grande question posée par le pilier de la gestion des risques tiers de DORA UK. En établissant des exigences strictes pour la contractualisation, la gestion et le rapportage contre les prestataires de services TIC, DORA rend les entreprises responsables de la mitigation des risques cyber pouvant être introduits par des fournisseurs tiers.
En résumé, il est essentiel que les entreprises britanniques utilisent des outils de communication de contenu conformes à DORA pour toute activité associée à l’UE. Dans cet article, nous décomposons la gestion des risques tiers de DORA et les six principaux outils que vous devriez introduire.
Comment la gestion des risques tiers affecte-t-elle les entreprises britanniques ?
« Les entités financières doivent gérer le risque tiers TIC comme une composante intégrale du risque TIC au sein de leur cadre de gestion des risques TIC et conformément aux principes suivants … » – Article 28
L’un des principaux objectifs de la régulation DORA de l’UE est le risque tiers. Dans ce pilier, l’acte aborde les risques cyber potentiels provenant des prestataires TIC tiers. Cela se réfère non seulement à la résilience de votre propre logiciel fourni de l’extérieur, mais aussi à ceux que vos partenaires utilisent pour communiquer, collaborer ou partager du contenu avec votre organisation.
Par exemple, les e-mails envoyés entre vous et votre chaîne d’approvisionnement sont-ils sécurisés ? Vos outils ou les leurs introduisent-ils des risques cyber ? Votre outil de partage de fichiers est-il conforme et pouvez-vous être sûr que vous n’envoyez pas de données vers un environnement tiers non sécurisé ?
En d’autres termes, les entreprises britanniques travaillant avec des partenaires de l’UE ou qui fournissent des services dans l’UE doivent prendre la responsabilité de la communication de contenu tiers sécurisée.
DORA est également plus prescriptif que la réglementation britannique sur la résilience opérationnelle et prévoit des sanctions plus élevées que le RGPD. Dans cet esprit, les entreprises britanniques ne peuvent pas compter sur leurs partenaires ou fournisseurs pour être responsables de la sécurité des données et du contenu. Elles ont besoin d’une approche proactive du risque et de la résilience des tiers, construite avec des solutions en lesquelles elles ont confiance.
6 solutions pour la gestion des risques tiers DORA au Royaume-Uni
1.Partage sécurisé de fichiers avec des tiers
Que les organisations partagent des fichiers pour des audits ou fournissent des services nécessitant le partage de fichiers dans l’UE, les entreprises doivent utiliser des outils de partage sécurisé de fichiers pour protéger ce contenu. Les outils de partage sécurisé de fichiers vous permettent de définir et d’appliquer des politiques depuis votre propre système. De cette façon, vous pouvez partager de grands volumes de données sensibles tout en étant confiant que la confidentialité des données est intacte.
2.Gestion des Droits Numériques (DRM)
Il y aura toujours des cas où vous aurez besoin de collaborer avec des partenaires, par exemple des fichiers partagés nécessitant une édition ou des commentaires conjoints. Sous DORA, les entreprises doivent maintenir un contrôle d’accès complet (et granulaire) dans ce processus.
Les solutions de gestion des droits numériques, comme Kiteworks SafeEDIT, permettent un accès aux fichiers modifiables sans renoncer au contrôle de la source. Vous pouvez partager des fichiers sur lesquels des organisations externes peuvent travailler sans qu’ils ne quittent jamais votre propre environnement numérique.
3.Chiffrement de bout en bout des e-mails
L’email traditionnel est souvent inadapté pour partager des données clients, des données de marché ou des données d’audit, par exemple. Pour gérer efficacement le risque tiers, les organisations devraient s’assurer que tout le contenu des e-mails est chiffré et ne peut être accédé que par le destinataire prévu.
Les outils d’email sécurisés et conformes à DORA de Kiteworks sont chiffrés de bout en bout. Cela signifie que tous les e-mails sensibles que votre organisation envoie sont entièrement sécurisés, pendant le transit et dans la boîte de réception du destinataire. De plus, les destinataires ne peuvent pas les transférer à des personnes non autorisées, vous pouvez donc être confiant que vous gardez toujours le contrôle.
4.Compatibilité avec les tiers
Il est important d’introduire des outils qui ne sont pas affectés par les systèmes tiers. Par exemple, un problème courant est que les destinataires sont obligés de télécharger des fichiers d’e-mails chiffrés pour pouvoir les consulter. Cela compromet la sécurité du chiffrement et introduit un risque inutile.
En revanche, le chiffrement des e-mails par Kiteworks utilise une passerelle compatible, de sorte que les destinataires peuvent toujours ouvrir les e-mails dans un environnement sécurisé.
5.Journaux d’audit complets
Pour DORA au Royaume-Uni, surveiller et suivre l’activité à travers votre communication avec les tiers sera essentiel. Là encore, l’utilisation d’une plateforme unique pour gérer tous les canaux réduira le risque et améliorera la visibilité.
Recherchez des solutions offrant des capacités complètes de journalisation et de reporting contre toute activité. Cela devrait inclure l’accès aux données, les transferts de fichiers, les connexions et plus encore. Cela vous permet de consigner toute la communication de contenu et, par conséquent, de prouver la conformité aux normes réglementaires de DORA au Royaume-Uni.
6.Mécanismes de contrôle d’accès
Les organisations peuvent gérer les risques potentiels introduits par les solutions TIC de tiers (et les partenaires) en utilisant des contrôles d’accès. Celles-ci peuvent être appliquées à la fois aux fichiers stockés et transférés, contrôlant qui peut accéder à quoi et dans quelle mesure.
Certaines solutions, comme Kiteworks, offrent des capacités de contrôle granulaire telles que les politiques basées sur les rôles. Cela réduit encore davantage le risque de violation ou d’accès non autorisé.
Une approche axée sur la conformité pour les exigences DORA au Royaume-Uni
Globalement, vos solutions de communication de contenu doivent refléter le règlement DORA de l’UE. Recherchez des fournisseurs qui promeuvent la conformité à DORA. Il est également judicieux de rechercher des solutions qui suivent les meilleures pratiques de l’industrie en matière de cybersécurité, telles que le cadre de cybersécurité du NIST.
Vous pouvez faire confiance à une solution conçue pour la conformité qui sera prête à être mise en œuvre, vous rendant conforme à DORA à temps pour janvier 2025. De plus, ces organisations travailleront de manière proactive pour maintenir vos outils à jour avec les normes réglementaires au fur et à mesure qu’elles évoluent.
Pour en savoir plus sur Kiteworks, planifiez une démo personnalisée dès aujourd’hui.
Ressources supplémentaires
- BrèveNaviguer dans la conformité DORA avec Kiteworks
- WebinaireÉvaluation de la maturité de la confidentialité et de la conformité des communications numériques dans les services financiers et FinTech
- Brève Assurer la conformité et gérer le risque dans les communications de contenu des services financiers
- BrèveKiteworks et la conformité FCA Sécuriser les données des clients et rationaliser la gestion des risques opérationnels
- Étude de casJaja Finance améliore la sécurité du contenu et l’efficacité opérationnelle à l’échelle de l’entreprise