Comment les équipes d'ingénierie et de sécurité peuvent répondre aux exigences techniques de DORA

Toute entité financière opérant dans l'Union européenne doit se conformer au Digital Operational Resilience Act (DORA). DORA se concentre sur la capacité des systèmes à résister, à réagir et à se remettre des perturbations liées aux TIC, et sur la possibilité de le démontrer par des preuves.

Pour les équipes d'ingénierie, de sécurité et de gestion des risques, cela introduit une exigence pratique. La résilience opérationnelle doit être observable dans les systèmes en production, testée en continu et traçable dans le temps.

Cet article explique les attentes techniques de DORA et comment Aikido Security soutient leur mise en œuvre.

TL;DR

DORA exige des entités financières de l'UE qu'elles démontrent leur résilience opérationnelle en pratique. Aikido Security soutient l'exécution technique de DORA en fournissant une visibilité continue des vulnérabilités, la validation de l'exploitabilité, des tests de résilience et des preuves prêtes pour la conformité à travers les environnements de code, cloud et d'exécution.

De quoi parle DORA

DORA s'applique depuis le 17 janvier 2025 aux banques, assureurs, sociétés d'investissement, prestataires de services de paiement et autres entités financières réglementées de l'UE.

Il a été introduit pour remédier aux perturbations TIC répétées causées par les vulnérabilités logicielles, les défaillances de tiers et la gestion incohérente des incidents entre les États membres. DORA établit un cadre unique, spécifique au secteur, axé sur des résultats mesurables.

Les régulateurs attendent des organisations qu'elles démontrent leur capacité à :

• Détecter rapidement les incidents TIC
  
• Réagir et se rétablir efficacement
  
• Fournir des preuves que les contrôles fonctionnent dans des conditions opérationnelles
  

Les cinq piliers de DORA

D'un point de vue technique, DORA est structuré autour de cinq piliers :‍‍

1. ‍Gestion des risques TIC : Savoir quels systèmes vous utilisez, où se trouvent vos risques et comment vous les gérez au quotidien.
2. Déclaration d'incidents : Détecter rapidement les incidents et les signaler dans des délais réglementaires stricts.
   
3. Tests de résilience opérationnelle numérique : Tester régulièrement la capacité de vos systèmes à résister et à se remettre des perturbations.
   
4. Gestion des risques liés aux tiers TIC : Comprendre et gérer les risques introduits par les fournisseurs, les prestataires et les dépendances.
5. Partage d'informations : Partager le renseignement sur les menaces pour renforcer la résilience de l'écosystème financier.

Chaque pilier a des implications directes sur la manière dont les systèmes sont construits, surveillés et testés.

Ce que DORA signifie pour les équipes d'ingénierie

Pratiques de développement sécurisé

L'article 9(4)(e) exige des organisations qu'elles documentent les pratiques de sécurité, suivent les vulnérabilités et démontrent comment la résilience est intégrée à la livraison de logiciels. Les contrôles de sécurité doivent être intégrés aux flux de travail de développement et aux pipelines CI/CD.

Responsabilité des dépendances

En vertu de l'Article 28, les dépendances tierces et open source relèvent entièrement du champ d'application. Si une dépendance provoque une perturbation ou une exposition, la responsabilité incombe à l'entité financière. Les équipes doivent savoir quelles dépendances sont utilisées, où elles s'exécutent et à quelle vitesse les problèmes peuvent être résolus.

Traçabilité et preuves

Les équipes d'ingénierie doivent être en mesure de démontrer ce qui a été déployé, quand il a été mis en production, quels contrôles de sécurité ont été effectués et qui a approuvé le changement. Les journaux de build, le contrôle de version et les outils de sécurité doivent produire une piste d'audit.

Ce que DORA signifie pour les équipes de sécurité et de gestion des risques

Visibilité continue des risques

DORA exige une connaissance continue de ce qui s'exécute en production, des vulnérabilités existantes et des risques exploitables à tout moment donné. Les évaluations périodiques sont insuffisantes.

Gestion automatisée des vulnérabilités

Le suivi manuel ne permet pas de passer à l'échelle. Les délais de détection, de priorisation et de remédiation doivent être pris en charge par des systèmes automatisés avec une attribution claire des responsabilités.

Documentation alignée sur la réalité

Lorsque des incidents surviennent, les organisations doivent démontrer quand le problème a été détecté, comment il a été évalué, qui l'a géré et avec quelle rapidité il a été résolu. Les preuves doivent refléter le comportement réel du système.

En quoi DORA se distingue des autres cadres

DORA ne remplace pas ISO 27001, NIS2 ou SOC 2. Il introduit des exigences plus strictes et spécifiques au secteur, axées sur les résultats opérationnels.

DORA agit comme lex specialis, ce qui signifie qu'en cas de conflit entre DORA et NIS2, par exemple, DORA prévaut. Les règles sont spécifiquement adaptées aux risques du secteur financier et sont plus strictes que celles que l'on trouve dans d'autres cadres réglementaires.

Pourquoi la conformité DORA est difficile en pratique

Les bases de code volumineuses et en évolution rapide rendent difficile le suivi de chaque modification et approbation. Les applications modernes dépendent de centaines de dépendances, souvent sans visibilité claire sur leur déploiement et leur exposition. Les outils de sécurité sont fragmentés, produisant des données à travers plusieurs systèmes qui doivent être corrélées lors des audits.

Comment Aikido prend en charge les exigences techniques de DORA

Aikido Security est une plateforme alimentée par l'IA qui centralise la visibilité de la sécurité sur le code source, les dépendances, l'infrastructure cloud, les conteneurs et les environnements d'exécution.

Aikido ne remplace pas les cadres de gouvernance, les procédures de réponse aux incidents ou les rapports réglementaires. Il fournit les signaux techniques et les preuves sur lesquels ces processus s'appuient.

Tests de résilience opérationnelle numérique et Aikido Security

DORA exige des organisations qu'elles testent la résilience opérationnelle dans des conditions réalistes. L'identification des vulnérabilités seule est insuffisante.

Aikido soutient les tests de résilience par :

• DAST continu sur les applications en production
  
• Tests de sécurité des conteneurs et Kubernetes
  
• Aikido Attack, qui utilise des tests d'intrusion basés sur l'IA pour simuler des chemins d'attaque réalistes et valider l'exploitabilité
  
• AutoFix et Auto Triage pour réduire le temps de remédiation et suivre l'efficacité de la récupération
  

Soutenir DORA en pratique

DORA exige une résilience opérationnelle démontrable, étayée par des preuves. Aikido Security fournit la visibilité technique, les capacités de test et les données prêtes pour l'audit qui aident les organisations à répondre à ces attentes sur l'ensemble de leurs systèmes en production.

La gouvernance, la réponse aux incidents et l'engagement réglementaire restent essentiels. Aikido garantit que ces processus sont fondés sur des données techniques précises et à jour.

Vous pourriez aussi aimer :

• Pourquoi les entreprises européennes choisissent Aikido comme partenaire en cybersécurité
• Se conformer au Cyber Resilience Act (CRA) en utilisant Aikido Security
• Comment Aikido et Deloitte apportent la sécurité axée sur les développeurs aux entreprises
• Comment se conformer à la loi britannique sur la cybersécurité et la résilience : Un guide pratique pour les équipes d'ingénierie modernes