Les principales obligations de la règlementation DORA 

Entrée en vigueur en 2023 mais avec une application en 2025, la réglementation DORA cherche à standardiser la gestion des risques informatiques dans le secteur financier, assurant la continuité opérationnelle et le fonctionnement efficace des services essentiels lors de significatifs incidents de sécurité informatique.  

L’objectif de DORA est de garantir que les entreprises financières dans l’Union européenne sont capables de résister et de répondre aux perturbations liées à la technologie, telles que les cyberattaques ou les pannes informatiques. En améliorant la gestion des incidents informatiques et en intégrant des procédures spécifiques pour détecter, gérer et rapporter ces incidents, DORA vise à renforcer la stabilité et la sécurité du secteur financier européen. 

Concernant les exigences de DORA, elles incluent le développement de systèmes robustes et bien documentés pour gérer les risques associés aux technologies de l’information et de la communication (TIC).  Les institutions financières doivent mettre en place des systèmes de surveillance pour détecter rapidement les incidents de sécurité et avoir des procédures en place pour gérer ces incidents de manière efficace.  La réglementation impose également la tenue d’un registre de tous les contrats avec les prestataires de services TIC, en distinguant ceux liés à des fonctions critiques, et l’exigence de conditions contractuelles minimales pour une surveillance efficace des risques liés aux prestataires. 

Les 5 principales obligations de DORA 

1. Gestion des risques TIC 

Les institutions financières doivent développer un système robuste et bien documenté pour gérer les risques associés aux technologies de l’information et de la communication (TIC). Cela inclut l’identification, l’évaluation et la mitigation des risques potentiels liés aux cybermenaces, aux pannes de système et aux vulnérabilités. 

2. Signalement des incidents 

DORA impose l’intégration de procédures spécifiques pour détecter, gérer et rapporter efficacement les incidents informatiques. Les institutions doivent mettre en place des systèmes de surveillance pour détecter rapidement les incidents de sécurité et avoir des procédures en place pour les gérer de manière efficace. Les incidents majeurs doivent être signalés aux autorités compétentes. 

3. Gestion des prestataires tiers 

Les institutions financières doivent tenir un registre de tous les contrats avec les prestataires de services TIC, en distinguant ceux liés à des fonctions critiques. Elles doivent également s’assurer que les contrats incluent des conditions minimales pour une surveillance efficace des risques liés aux prestataires. 

4. Échange d’informations 

DORA encourage le développement de systèmes pour échanger des informations sur les menaces cybernétiques afin d’améliorer les capacités de défense et de détection. Les institutions doivent partager des informations sur les menaces et les incidents avec d’autres entités financières et les autorités compétentes. 

5. Tests de résilience 

Les institutions financières doivent effectuer des tests réguliers de résilience pour évaluer la robustesse de leurs systèmes TIC. Cela comprend des tests de vulnérabilité et des exercices de simulation pour préparer les équipes à réagir efficacement en cas d’incident. 

L’apport de Semkel dans le contexte de la réglementation DORA 

Dans un environnement de plus en plus marqué par les cybermenaces, Semkel, société spécialisée en Cyber Threat Intelligence (CTI), se distingue par sa capacité à fournir des solutions robustes répondant aux exigences de la réglementation DORA.  

1. Gestion des risques TIC et cyber 

DORA impose des exigences strictes en matière de gestion des risques TIC, incluant la surveillance des prestataires tiers de services TIC et la résilience opérationnelle des systèmes informatiques. Semkel, en fournissant des informations détaillées sur les acteurs de la menaces cyber, leurs tactiques, leur procédé et leur indice de compromission, aide les institutions financières à identifier et à atténuer les risques, en améliorant ainsi leur résilience opérationnelle et leur capacité à réagir aux incidents de sécurité. 

2. Surveillance et échange d’informations 

DORA nécessite la surveillance continue des risques liés aux prestataires TIC tiers ainsi que l’échange d’informations sur les cybermenaces. Les services de Semkel permettent de surveiller en temps réel les menaces sur le deep / dark web et de partager des renseignements avec les entités financières, contribuant à une meilleure coordination et à une réponse rapide aux incidents. À savoir :  

  • Identification de vulnérabilité de sécurité identifiée 
  • Identification de noms de domaine imitant le vôtre 
  • Identification de fuite d’identifiants avec mots de passe 
  • Identification de credential 
  • Identification de fuite de données 
  • Observation de l’activité réseau (dont trafic Darkweb) 
  • Détection de malware 
  • Surveillance de ransomware 
  • Mention sur des marketplaces / forums et groupes Telegram  

3. Tests de résilience opérationnelle 

DORA prévoit des tests réguliers de résilience, incluant des tests avancés pour évaluer la robustesse des systèmes TIC. Semkel peut offrir des évaluations de la vulnérabilité, permettant aux entités de vérifier l’efficacité de leurs mesures de sécurité et de se préparer à divers scénarios de cyberattaques. Ainsi que des exercices de résilience avec des exercices anti-phishing et des formations. 

4. Conformité et reporting 

DORA exige le reporting des incidents TIC majeurs aux autorités compétentes. Les solutions de Semkel facilitent la collecte, l’analyse et la communication des données sur les incidents, assurant que les entités financières peuvent répondre aux exigences de reporting. 

En fournissant des services de renseignement sur les menaces, des outils de surveillance, des exercices, des formations et des solutions de reporting, Semkel aide les institutions financières à renforcer leur résilience numérique et à se conformer aux exigences de DORA. 


Vous souhaitez en savoir plus ? Contactez nos experts !