Toutes les entités financières opérant dans l'Union européenne doivent se conformer à la loi sur la résilience opérationnelle numérique (DORA). La DORA vise à déterminer si les systèmes sont capables de résister aux perturbations liées aux TIC, d'y répondre et de s'en remettre, et si cela peut être démontré à l'aide de preuves.
Pour les équipes d'ingénierie, de sécurité et de gestion des risques, cela introduit une exigence pratique. La résilience opérationnelle doit être observable dans les systèmes en direct, testée en continu et traçable dans le temps.
Cet article explique les attentes techniques de DORA et comment Aikido soutient leur mise en œuvre.
TL;DR
La directive DORA exige des entités financières de l'UE qu'elles démontrent leur résilience opérationnelle dans la pratique. Aikido soutient la mise en œuvre technique de la directive DORA en fournissant une visibilité continue sur les vulnérabilités, une validation de l'exploitabilité, des tests de résilience et des preuves de conformité dans les environnements de code, cloud et d'exécution.
Qu'est-ce que DORA ?
La directive DORA s'applique depuis le 17 janvier 2025 aux banques, assureurs, sociétés d'investissement, prestataires de services de paiement et autres entités financières réglementées dans l'UE.
Elle a été introduite pour remédier aux perturbations informatiques répétées causées par les vulnérabilités logicielles, les défaillances de tiers et le traitement incohérent des incidents dans les États membres. La DORA établit un cadre unique, spécifique au secteur, axé sur des résultats mesurables.
Les organismes de réglementation attendent des organisations qu'elles démontrent leur capacité à :
- Détecter rapidement les incidents informatiques
- Réagir et se rétablir efficacement
- Fournir la preuve que les contrôles fonctionnent dans les conditions opérationnelles.
Les cinq piliers de DORA
D'un point de vue technique, DORA s'articule autour de cinq piliers :
- Gestion des risques liés aux TIC: connaître les systèmes que vous utilisez, identifier les risques et savoir comment les gérer au quotidien.
- Signalement des incidents: détecter rapidement les incidents et les signaler dans les délais réglementaires stricts.
- Test de résilience opérationnelle numérique: tester régulièrement la capacité de vos systèmes à résister aux perturbations et à s'en remettre.
- Gestion des risques liés aux tiers dans le domaine des TIC: comprendre et gérer les risques introduits par les fournisseurs, les prestataires et les dépendances.
- Partage d'informations : Partager renseignement sur les menaces renforcer la résilience de l'écosystème financier.
Chaque pilier a des implications directes sur la manière dont les systèmes sont construits, surveillés et testés.
Ce que signifie DORA pour les équipes d'ingénieurs
Pratiques de développement sécurisées
L'article 9(4)(e) exige des organisations qu'elles documentent leurs pratiques en matière de sécurité, suivent les vulnérabilités et démontrent comment la résilience est intégrée dans la livraison des logiciels. Les contrôles de sécurité doivent être intégrés dans les workflows de développement et les pipelines CI/CD.
Responsabilité en matière de dépendance
En vertu de l'article 28, les dépendances tierces et open source sont pleinement concernées. Si une dépendance entraîne une perturbation ou une exposition, la responsabilité incombe à l'entité financière. Les équipes doivent savoir quelles dépendances sont utilisées, où elles s'exécutent et dans quels délais les problèmes peuvent être résolus.
Traçabilité et preuves
Les équipes d'ingénieurs doivent être en mesure de montrer ce qui a été déployé, quand cela a été mis en service, quels contrôles de sécurité ont été effectués et qui a approuvé le changement. Les journaux de compilation, le contrôle des versions et les outils de sécurité doivent produire une piste auditable.
Ce que signifie la loi DORA pour les équipes chargées de la sécurité et des risques
visibilité des risques continue visibilité des risques
La DORA exige une vigilance constante quant aux processus en cours de production, aux vulnérabilités existantes et aux risques exploitables à tout moment. Des évaluations périodiques ne suffisent pas.
Gestion automatisée des vulnérabilités
Le suivi manuel n'est pas évolutif. Les délais de détection, de hiérarchisation et de correction doivent être pris en charge par des systèmes automatisés avec une responsabilité claire.
Documentation conforme à la réalité
Lorsque des incidents se produisent, les organisations doivent indiquer quand le problème a été détecté, comment il a été évalué, qui s'en est occupé et dans quels délais il a été résolu. Les preuves doivent refléter le comportement réel du système.
En quoi DORA diffère-t-il des autres cadres ?
La directive DORA ne remplace pas les normes ISO 27001, NIS2 ou SOC 2. Elle introduit des exigences plus strictes, spécifiques à chaque secteur, axées sur les résultats opérationnels.
La DORA agit comme une lex specialis, ce qui signifie que si la DORA et la NIS2 entrent en conflit, par exemple, la DORA prévaut. Les règles sont spécialement adaptées aux risques du secteur financier et sont plus strictes que celles que l'on trouve dans d'autres cadres réglementaires.
Pourquoi la conformité à la directive DORA est difficile à mettre en pratique
Les bases de code volumineuses et en constante évolution rendent difficile le suivi de chaque modification et approbation. Les applications modernes s'appuient sur des centaines de dépendances, souvent sans visibilité claire sur leur déploiement et leur exposition. Les outils de sécurité sont fragmentés, produisant des données sur plusieurs systèmes qui doivent être corrélées lors des audits.
Comment Aikido aux exigences techniques de DORA
Aikido est une plateforme alimentée par l'IA qui centralise la visibilité de la sécurité à travers le code source, les dépendances, cloud , les conteneurs et les environnements d'exécution.
Aikido remplace Aikido les cadres de gouvernance, les procédures de réponse aux incidents ou les rapports réglementaires. Il fournit les signaux techniques et les preuves sur lesquels ces processus s'appuient.
Tests de résilience opérationnelle numérique et Aikido
La directive DORA exige des organisations qu'elles testent leur résilience opérationnelle dans des conditions réalistes. Il ne suffit pas de se contenter d'identifier les vulnérabilités.
Aikido les tests de résilience grâce à :
- DAST continus DAST les applications en production
- Conteneur et sécurité Kubernetes
- Aikido , qui utilise des tests de pénétration basés sur l'IA pour simuler des chemins d'attaque réalistes et valider leur exploitabilité.
- AutoFix et Auto Triage pour réduire le temps de correction et suivre l'efficacité de la récupération
Soutenir DORA dans la pratique
La directive DORA exige une résilience opérationnelle démontrable, étayée par des preuves. Aikido fournit la visibilité technique, les capacités de test et les données prêtes à être auditées qui aident les organisations à répondre à ces attentes sur l'ensemble de leurs systèmes en production.
La gouvernance, la réponse aux incidents et l'engagement réglementaire restent essentiels. Aikido ces processus s'appuient sur des données techniques précises et actualisées.
Vous aimerez peut-être aussi :
- Pourquoi les entreprises européennes choisissent Aikido partenaire en matière de cybersécurité
- Conformité à la Cyber Resilience Act CRA) grâce à Aikido
- Comment Aikido Deloitte sécurité axée sur les développeurs l'entreprise
- Comment se conformer à la loi britannique sur la cybersécurité et la résilience : Un guide pratique pour les équipes d'ingénierie modernes
Sécurisez votre logiciel dès maintenant.
.avif)
