Renforcer la sécurité et la résilience des établissements financiers au sein de l'UE avec la loi DORA

La loi sur la résilience opérationnelle numérique (DORA pour Digital Operational Resilience Act) de l’Union européenne vise à renforcer la cybersécurité et la résilience opérationnelle des établissements financiers au sein de l’UE. Ce règlement leur impose des pratiques de gestion des risques strictes, des tests et des contrôles réguliers, ainsi que le signalement des incidents importants aux autorités. DORA établit un cadre complet pour garantir que ces organisations peuvent résister, répondre et se remettre de perturbations opérationnelles, telles que des cyberattaques, des défaillances technologiques ou des catastrophes naturelles.

La loi DORA entrera en vigueur le 17 janvier 2025. Il ne va pas être simple d’être conforme à ces nouvelles exigences. Chaque structure va devoir anticiper ses besoins, et notamment analyser la gestion des risques liés aux TIC (Technologies de l’Information et de la Communication), revoir la gouvernance et les accords passés avec ses fournisseurs.

DEMANDER UNE DÉMO
COMMENCER

Gestion des Risques ICT

L’un des principaux défis auxquels les organisations sont confrontées pour être conformes à DORA est la mise en œuvre d’un cadre de gestion des risques ICT. Cela implique d’identifier, d’évaluer et de atténuer les risques associés aux technologies de l’information et de la communication. Les organisations doivent réaliser des évaluations de risques approfondies, établir des structures de gouvernance solides et développer des plans de réponse aux incidents efficaces. Garantir la sécurité et la résilience des systèmes ICT nécessite un investissement significatif en ressources, expertise et technologie, ce qui peut être une tâche ardue pour de nombreuses organisations.

Gestion des Risques des Tiers

Les exigences de DORA s’étendent aux prestataires de services tiers et aux fournisseurs d’informations critiques dans le secteur financier. Gérer les risques des tiers représente un défi énorme pour les organisations de services financiers. La gestion des risques des fournisseurs exige que ces entités évaluent les pratiques de sécurité de leurs fournisseurs, établissent des accords contractuels clairs et surveillent régulièrement leurs performances. Ce n’est qu’alors qu’elles peuvent s’assurer que leurs prestataires tiers respectent les mêmes normes élevées de sécurité et de résilience requises par DORA.

Rapport d’Incidents et Communication

Les entités financières doivent signaler rapidement les incidents significatifs liés aux ICT aux autorités compétentes. Ces organisations sont généralement confrontées à la difficulté d’établir des mécanismes efficaces de rapport d’incidents, de former les employés à identifier et signaler les incidents, et d’assurer une communication rapide avec les parties prenantes. Néanmoins, ces organisations de services financiers doivent avoir des processus bien définis pour détecter, enquêter et signaler les incidents, ainsi que pour communiquer efficacement avec les parties affectées et les régulateurs. Ne pas le faire peut entraîner une non-conformité et des pénalités potentielles.

Tests et Surveillance Continus

DORA souligne l’importance des tests et de la surveillance réguliers des systèmes ICT pour garantir leur résilience et leur sécurité. Les organisations doivent réaliser des évaluations rigoureuses des vulnérabilités, des tests de pénétration et des tests de résilience basés sur des scénarios. Cela nécessite une expertise spécialisée, des outils et des ressources, ce qui peut être difficile à acquérir et à maintenir pour les organisations. De plus, la nature en constante évolution des cybermenaces nécessite une surveillance continue et une mise à jour des mesures de sécurité, imposant un fardeau significatif aux organisations pour anticiper les risques potentiels.

Être conforme à la loi DORA avec Kiteworks

Améliorer la gestion des risques liés aux TIC

Kiteworks permet aux organisations de gérer efficacement les risques liés aux TIC et d’établir un environnement sécurisé. La plateforme offre des fonctions de sécurité avancées, comme le stockage et les transferts de fichiers sécurisés avec des mécanismes de chiffrement et de contrôle d’accès. La surveillance et les journaux d’audit en temps réel permettent de détecter rapidement les incidents de sécurité potentiels et d’y répondre. Kiteworks offre des contrôles d’accès granulaires qui aident à appliquer des politiques basées sur les rôles et à contrôler efficacement l’accès aux données. Les rapports de conformité facilitent la conduite des audits et le respect des exigences règlementaires de la loi DORA en matière de gestion des risques liés aux TIC.

Une protection totale contre les risques tiers

Avec Kiteworks, les entreprises sont capables de protéger leurs contenus sensibles (propriété intellectuelle, informations personnelles identifiables, informations médicales protégées et autres) sur tous les canaux de communication tiers. En effet, la plateforme fournit de la visibilité et un contrôle complets sur les contenus partagés par le biais de la messagerie électronique, du partage de fichiers, des appareils mobiles, des applications d’entreprise, des formulaires Web, du SFTP et du MFT. La surveillance et l’analyse continues des contenus sensibles, les politiques administratives granulaires et le chiffrement sont autant de garanties de cybersécurité pour travailler avec des tiers. En utilisant Kiteworks, les organisations peuvent atténuer efficacement les risques liés aux tiers et garantir la conformité à la loi DORA.

Suivi des incidents en temps réel

Kiteworks permet de suivre en temps réel et de conserver un historique détaillé de l’accès aux données, des transferts de fichiers et des activités de l’utilisateur. Ainsi, il est possible de détecter rapidement les incidents potentiels de sécurité et d’y répondre, d’établir des reportings dans la foulée et de prendre des mesures correctives. Kiteworks fournit un enregistrement fiable des activités qui peut être utilisé en cas d’incident pour notifier les autorités compétentes et les personnes concernées, conformément à la loi DORA. Les journaux d’audit complets de la plateforme fournissent des preuves précieuses lors des enquêtes et aident les organisations à prouver qu’elles appliquent bien les procédures de gestion des incidents.

Renforcer la résilience numérique grâce aux tests

Kiteworks s’engage à maintenir un environnement sécurisé et effectue des audits annuels complets pour garantir l’exécution correcte des contrôles et atténuer les risques de sécurité. Cela passe par des tests d’intrusion très poussés pour détecter les vulnérabilités sur Internet. Travailler avec Kiteworks facilite le travail de résilience numérique des établissements financiers. En effet, l’approche proactive de Kiteworks pour identifier et traiter les lacunes améliore la posture de sécurité globale de la plateforme et de ses utilisateurs.