DORA
Conformez-vous aux exigences du Digital Operational Resilience Act de l'UE avec CyberOrigen.
Vue d'Ensemble
DORA (Digital Operational Resilience Act) est un reglement de l'UE pour le secteur financier. Il etablit des exigences uniformes pour la gestion des risques TIC, la notification des incidents et la gestion des risques tiers.
Date d'Effet : 17 janvier 2025
Perimetre
Entites Concernees
- Etablissements de credit
- Etablissements de paiement
- Entreprises d'investissement
- Compagnies d'assurance
- Fonds de pension
- Prestataires de services sur crypto-actifs
- Prestataires de services TIC tiers
Domaines Cles
| Pilier | Description |
|---|---|
| Gestion des Risques TIC | Gouvernance et cadre de risque |
| Notification des Incidents | Mecanisme de notification unifie |
| Tests de Resilience | Exigences de tests reguliers |
| Risques Tiers | Surveillance des prestataires TIC |
| Partage d'Information | Echange de renseignement sur les menaces |
Cadre de Gestion des Risques TIC
Exigences Articles 5-16
| Article | Exigence |
|---|---|
| 5 | Cadre de gestion des risques TIC |
| 6 | Systemes et outils TIC |
| 7 | Identification |
| 8 | Protection et prevention |
| 9 | Detection |
| 10 | Reponse et reprise |
| 11 | Politiques de sauvegarde |
| 12 | Apprentissage et evolution |
| 13 | Communication |
| 14 | Tests avances |
Mappage CyberOrigen
| Article DORA | Fonctionnalite CyberOrigen |
|---|---|
| Art. 7 Identification | Decouverte d'actifs, analyse |
| Art. 8 Protection | Remediation des vulnerabilites |
| Art. 9 Detection | Surveillance continue |
| Art. 10 Reponse | Workflow de remediation |
| Art. 14 Tests | Support tests de penetration |
Pour Commencer
1. Activer le Referentiel
- Allez dans GRC → Referentiels
- Cliquez sur S'inscrire sur DORA
- Cliquez sur Activer
2. Evaluation des Risques TIC
Documentez votre cadre de risques TIC :
- Allez dans GRC → Registre des Risques
- Identifiez les risques lies aux TIC
- Evaluez l'impact sur les operations
- Documentez les controles
3. Inventaire des Tiers
Cataloguez les prestataires de services TIC :
- Allez dans GRC → Fournisseurs
- Ajoutez les prestataires TIC
- Classifiez par criticite
- Suivez les contrats
Exigences Cles
Classification des Incidents TIC
| Severite | Criteres | Notification |
|---|---|---|
| Majeur | Impact operationnel significatif | Autorite competente |
| Significatif | Impact operationnel materiel | Notification interne |
| Mineur | Impact limite | Journalisation uniquement |
Facteurs de Classification
- Nombre de clients affectes
- Duree de l'incident
- Etendue geographique
- Pertes de donnees
- Criticite du service
- Impact economique
Support CyberOrigen
- Detection d'incidents
- Classification de severite
- Collecte de preuves
- Documentation chronologique
Tests de Resilience
Tests de Base (Toutes Entites)
| Test | Frequence |
|---|---|
| Analyses de vulnerabilites | Continue |
| Evaluation securite reseau | Annuelle |
| Analyse des lacunes | Annuelle |
| Revue securite physique | Annuelle |
| Revue de code source | Selon besoin |
Tests Avances (Entites Significatives)
| Test | Exigence |
|---|---|
| TLPT | Threat-Led Penetration Testing |
| Frequence | Minimum tous les 3 ans |
| Perimetre | Fonctions critiques |
| Prestataire | Testeurs independants |
Analyse CyberOrigen
- Analyse continue de vulnerabilites
- Evaluation de configuration
- Tests des controles d'acces
- Verification du chiffrement
Gestion des Risques Tiers
Exigences Articles 28-30
| Exigence | Description |
|---|---|
| Due diligence | Evaluation pre-contractuelle |
| Evaluation des risques | Surveillance continue |
| Contrats | Clauses specifiques requises |
| Strategie de sortie | Plans de transition documentes |
Surveillance des Prestataires Critiques
Pour les prestataires de services TIC critiques :
- Fonction de surveillance dediee
- Due diligence renforcee
- Evaluation du risque de concentration
- Controles de sous-traitance
Fonctionnalites CyberOrigen
- Allez dans GRC → Fournisseurs
- Classifiez les prestataires TIC
- Suivez les questionnaires de securite
- Surveillez les termes contractuels
- Documentez les strategies de sortie
Partage d'Information
Exigences Article 45
Les entites devraient participer a :
- Partage de renseignement sur les menaces
- Divulgation de vulnerabilites
- Echange d'information sur les incidents
Integration CyberOrigen
- Renseignement sur les menaces MISP
- Correlation des vulnerabilites
- Benchmarking sectoriel
Mappage des Controles
DORA se mappe aux autres referentiels :
| Article DORA | ISO 27001 | NIST CSF |
|---|---|---|
| Art. 7 Identification | A.8.8 | ID.AM |
| Art. 8 Protection | A.8.24 | PR.DS |
| Art. 9 Detection | A.8.16 | DE.CM |
| Art. 10 Reponse | A.5.24 | RS.MI |
| Art. 28 Tiers | A.5.21 | ID.SC |
Collecte des Preuves
Preuves Automatisees
- Rapports d'analyse de vulnerabilites
- Evaluations de configuration
- Logs de detection d'incidents
- Audits des controles d'acces
Preuves Manuelles
- Politique de gestion des risques TIC
- Procedures de reponse aux incidents
- Contrats tiers
- Rapports de tests
- Reporting au conseil
Exigences de Notification
A l'Autorite Competente
- Notification d'incident majeur (initiale)
- Rapport d'incident (intermediaire)
- Rapport final (dans le mois)
A l'Organe de Direction
- Rapports reguliers sur les risques TIC
- Resumes des incidents
- Resultats des tests
- Evaluations des tiers
Calendrier
| Date | Jalon |
|---|---|
| Jan 2023 | DORA entre en vigueur |
| Jan 2025 | DORA devient applicable |
| En cours | Standards techniques reglementaires |
Lacunes Courantes
| Exigence | Lacune | Solution |
|---|---|---|
| Art. 5 | Pas de cadre TIC | Cadre documente |
| Art. 9 | Detection limitee | Implementation surveillance |
| Art. 14 | Pas de programme de tests | Calendrier de tests |
| Art. 28 | Surveillance fournisseurs faible | Programme de risques fournisseurs |