/
  • Last updated
/
  • 12 min read

Tout ce que vous devez savoir sur la conformité DORA AWS

Tout ce que vous devez savoir sur la conformité DORA AWS

Dans ce guide, nous examinons les mécanismes de la conformité DORA d’Amazon Web Services (AWS) et la meilleure façon d’y parvenir, en particulier pour les entités de services financiers de l’Union européenne (UE) qui travaillent en étroite collaboration avec des fournisseurs de services d’information et de communication (TIC).

Ce guide est aussi succinct que possible et ne donne qu’un aperçu de la manière dont AWS peut se conformer à la réglementation DORA. Pour une discussion plus approfondie, nous vous recommandons de lire le guide AWS User Guide to the Digital Operational Resilience Act (DORA).

Qu’est-ce que DORA ?

DORA, ou Digital Operational Resilience Act, est un cadre législatif introduit par le règlement 2022/2554. Il vise à renforcer les stratégies de résilience opérationnelle et cybernétique, en particulier pour les institutions financières.

La loi énonce des exigences strictes pour les entreprises TIC tierces afin qu’elles se protègent et protègent leurs utilisateurs finaux contre les acteurs de la menace, en particulier pour résister, répondre et se remettre rapidement des cyberattaques courantes et des menaces en évolution. Il s’agit notamment d’allouer des capitaux pour couvrir les pertes potentielles. Nous avons également publié un guide intitulé « Qu’est-ce que la conformité DORA (Digital Operational Resilience Act) ». 

Pourquoi est-ce important ? Voici quelques statistiques clés tirées de l’étude du Forum économique mondial Global Cybersecurity Outlook 2025:

  • 49% des entreprises du secteur public déclarent ne pas disposer des ressources nécessaires pour atteindre leurs objectifs cybersécurité une augmentation inquiétante par rapport à seulement 33% en 2024.
  • 35% des petites entreprises estiment que leurs stratégies de cyber-résilience sont inadéquates, soit sept fois plus qu’en 2022.
  • 15% des personnes interrogées en Europe et en Amérique du Nord manquent de confiance dans la capacité de leur pays à répondre aux cyberattaques sophistiquées.
  • Un chef d’entreprise sur trois déclare que la perte de la propriété intellectuelle est sa principale préoccupation, qu’elle soit due à des acteurs extérieurs ou à des menaces internes.

DORA a exigé des institutions financières qu’elles se mettent en conformité avec la loi d’ici au 17 janvier 2025. Les entités financières et leurs tiers TIC respectifs (registres d’information) doivent faire rapport aux autorités compétentes afin de déterminer leur niveau de conformité actuel et la manière de l’améliorer ou de le maintenir. Le non-respect de ces exigences peut entraîner de lourdes sanctions financières et juridiques. (Une liste complète des mises à jour du DORA peut être consultée sur son site officiel).

Services AWS pour la conformité aux réglementations financières

En réponse, Amazon a publié une lettre détaillant la sécurité d’AWS pour les services financiers. AWS aide les entreprises à respecter ces normes réglementaires en offrant un large éventail d’outils de sécurité, de conformité et de résilience, y compris des tests de pénétration (TLPT) basés sur les menaces et des rapports d’incidents TIC.

Nous y reviendrons plus loin dans la section « Comment AWS prend en charge la conformité à DORA« .

Comprendre les exigences de conformité DORA

Nous avons rédigé un guide plus détaillé sur les 5 piliers de la réglementation DORA, mais en voici un résumé :

  1. Gestion des risques liés aux TIC : Les entreprises doivent élaborer un cadre solide de gestion des risques liés aux TIC comprenant des stratégies, des politiques et des outils pour sécuriser tous les actifs liés aux TIC, y compris les logiciels, le matériel informatique et les serveurs.
  2. Signalement des incidents : Les entreprises doivent signaler aux autorités compétentes tous les incidents majeurs liés aux TIC. Les entités financières doivent également tenir un registre détaillé de tous les incidents cybernétiques.
  3. Tests de résilience : Les entreprises doivent régulièrement tester la solidité de leurs systèmes TIC afin de garantir la continuité des activités et de maintenir l’efficacité opérationnelle.
  4. Gestion des risques des tiers : Les entités financières doivent s’assurer que leurs registres d’informations (RdI) satisfont aux exigences réglementaires DORA.
  5. Partage d’informations : Les entreprises sont encouragées à collaborer et à partager leurs stratégies de cybersécurité afin de renforcer la résilience collective.

Comment AWS soutient la conformité DORA

AWS fonctionne selon un modèle de responsabilité partagée, ce qui signifie que si AWS gère la sécurité de son infrastructure cloud, les clients sont responsables de la sécurisation de leurs propres données sur le cloud.

Bien que cela suive de près les exigences réglementaires DORA, cela signifie également que chaque institution financière et son RdI doivent procéder aux changements nécessaires. Les clients d’AWS sont invités à contacter leur équipe commerciale pour discuter de leurs besoins spécifiques en matière de conformité à la réglementation DORA.

  • TLPT : AWS peut aider les clients à répondre à leurs exigences en matière de TLPT pour DORA. Toutes les informations sensibles sont partagées avec les autorités compétentes sur la base du besoin de savoir.
  • Reporting d’incident TIC : AWS ne dispose pas d’une visibilité complète des données téléchargées sur le compte d’un client en raison de son modèle de responsabilité partagée. Néanmoins, AWS peut aider les clients à gérer en toute sécurité les informations sensibles et leurs rapports.

Il convient de noter que l’AWS est toujours en train d’affiner les exigences DORA avec les autorités européennes de surveillance (AES), car certaines dispositions doivent encore être précisées. Par exemple, l’équipe de direction d’AWS a suggéré de clarifier davantage la définition de « sous-traitant TIC » afin d’éviter les erreurs de communication et les sanctions injustifiées à l’encontre de milliers de sous-traitants.

Néanmoins, AWS propose plusieurs documents normatifs pour la préparation à DORA, tels que la formation des clients à l’élaboration d’un cadre de cycle de vie de la résilience.

💡AWS détient diverses certifications de sécurité et de conformité internationalement reconnues, notamment ISO 27001, SOC 2, et RGPD qui soutiennent toutes les exigences liées à DORA.

Services AWS pour la conformité DORA

La recherche de services d’aide avec « Digital Operational Resilience Act AWS » donne les résultats suivants :

Gestion des risques et résilience

  • AWS Security Hub fournit un emplacement central pour la gestion de la sécurité et de la conformité et aide les entreprises à détecter les vulnérabilités de sécurité en temps réel.
  • AWS Config suit en permanence les changements de configuration des ressources AWS.
  • AWS Backup permet d’automatiser les politiques de sauvegarde, améliorant ainsi la résilience contre la perte de données.

Rapport d’incident et surveillance

  • AWS CloudTrail enregistre les appels d’API AWS et vous aide à suivre les accès non autorisés et les modifications apportées aux environnements cloud.
  • Amazon GuardDuty utilise l’apprentissage automatique pour analyser les activités sur le cloud et détecter les comportements suspects.
  • AWS Audit Manager évalue votre niveau de conformité en automatisant la collecte de preuves et en optimisant les audits.

Test de résilience

  • AWS Resilience Hub aide les entreprises à identifier les faiblesses de leurs plans de sauvegarde et de reprise après sinistre .
  • AWS Fault Injection Simulator crée des expériences d’ingénierie du chaos contrôlé afin que vous puissiez tester la façon dont vos applications réagissent aux défaillances.

Gestion des risques liés aux tiers

  • AWS Marketplace peut vous aider à atteindre la conformité AWS DORA en fournissant une sélection de solutions de sécurité tierces approuvées.
  • AWS Control Tower peut vous aider à respecter les bonnes pratiques de sécurité tout en utilisant AWS à grande échelle.

Implémentation de la conformité DORA sur AWS

Les étapes recommandées ci-dessous montrent comment mettre en œuvre les exigences DORA dans le système AWS.

⚠️ Gardez à l’esprit qu’il n’y a pas encore de règles exactes à suivre car AWS est en train d’affiner les exigences de conformité DORA. Les étapes énumérées ci-dessous ne sont que des recommandations. Contactez votre gestionnaire de compte AWS pour obtenir des instructions plus précises. 

  1. Évaluer votre posture de sécurité actuelle : Effectuez une analyse complète des lacunes afin d’identifier les faiblesses en matière de sécurité et les lacunes réglementaires. Il est conseillé de comparer vos contrôles de sécurité existants aux exigences DORA.
  2. Implémenter les contrôles de sécurité nécessaires : AWS fournit plusieurs services pour vous aider à mettre en œuvre les contrôles de sécurité, tels que AWS Key Management Service et AWS Identity and Access Management. Pour renforcer encore la sécurité, nous recommandons de mettre en œuvre l’authentification multifactorielle (MFA) et d’appliquer les politiques d’accès du moindre privilège .
  3. Mettre en place une surveillance et un reporting des incidents : Utilisez AWS CloudTrail et Amazon GuardDuty pour surveiller en permanence votre environnement AWS. En automatisant les rapports d’incidents, vous garantissez le respect des délais stricts de DORA.
  4. Effectuer régulièrement des tests de résilience : Envisagez d’effectuer régulièrement des tests de pénétration, des exercices de reprise après sinistre et des mécanismes de basculement automatisés pour vous assurer que votre entreprise reste opérationnelle même en cas de cyberattaque ou de défaillance du système.
  5. Gérer les risques via un tiers : AWS Control Tower peut vous aider à normaliser les pratiques sur plusieurs comptes AWS, tandis qu’AWS Audit Manager peut optimiser et améliorer les audits tiers.
  6. Automatiser le contrôle de la conformité : Il est fortement recommandé de recourir à l’automatisation pour réduire la charge des contrôles de conformité manuels et garantir l’efficacité de vos contrôles de sécurité. Envisagez d’utiliser AWS Config et AWS Audit Manager pour vous aider à appliquer automatiquement les exigences réglementaires.

Défis en matière de conformité DORA AWS et de dépannage

Gérer les environnements multi-cloud et hybrides

De nos jours la plupart des entités financières utilisent une combinaison de fournisseurs de services cloud, d’infrastructures sur site et de solutions cloud hybrides, ce qui peut compliquer la gestion des risques liés aux TIC. Pour résoudre ce problème, nous recommandons de mettre en place des politiques de sécurité uniformes et des cadres de gouvernance standard sur toutes les plateformes.

Assurer des tests de résilience AWS de bout en bout pour DORA

Les tests de résilience doivent couvrir tous les aspects de l’ensemble de votre environnement TIC; cependant, la réalisation de ces tests sur plusieurs systèmes peut s’avérer complexe. Pour résoudre ce problème, il faut envisager de développer un cadre de sécurité structuré afin de simuler efficacement les perturbations. Vous pouvez également utiliser AWS Resilience Hub pour une approche unifiée des tests de résilience.

Gestion des risques des tiers

Une part importante des exigences réglementaires du DORA concerne les prestataires de services tiers. Cette segmentation des entités peut rendre difficile le respect de la conformité DORA. Nous vous recommandons d’utiliser AWS Audit Manager et AWS Marketplace pour vous aider à contrôler la conformité des tiers. Nous vous encourageons à procéder à des évaluations approfondies des risques liés aux fournisseurs afin de minimiser les risques de manière efficace.

Automatiser la conformité sans perdre le contrôle

Bien que l’automatisation puisse améliorer la conformité, il existe toujours un risque de négliger des failles de sécurité ou des configurations erronées, en particulier si votre entreprise s’appuie trop sur des outils automatisés. Il est judicieux d’adopter une approche à plusieurs niveaux, en combinant des contrôles de conformité automatisés et des audits de sécurité manuels. AWS Config et AWS Security Hub peuvent également s’avérer utiles.

Foire aux questions (FAQ)

1. AWS offre-t-il une conformité toute prête pour DORA ?

AWS ne dispose pas actuellement d’outils spécifiques à DORA, mais fournit de nombreux autres outils qui peuvent vous aider à améliorer votre posture de sécurité.

2. Comment AWS se situe-t-il par rapport aux autres fournisseurs de services en ligne en termes de conformité DORA ?

AWS est comparable à d’autres fournisseurs de services cloud. Comme indiqué précédemment, il offre une gamme étendue de services de sécurité et de conformité. AWS a fait des efforts considérables pour s’aligner avec DORA, tout comme d’autres fournisseurs de services cloud. Une comparaison dépendrait de services spécifiques, des besoins des clients et d’autres facteurs similaires.

3. Quelles sont les sanctions en cas de non-respect de DORA ?

La non-conformité peut entraîner des pénalités financières et des conséquences juridiques. Selon Infosecurity Europe, le non-respect du règlement DORA peut entraîner une amende pouvant aller jusqu’à 2 % du chiffre d’affaires annuel global ou 10 millions d’euros, le montant le plus élevé étant retenu.

Assurer la conformité DORA d’AWS

Les institutions financières opérant dans l’UE doivent se conformer à DORA. Cela dit, comme il s’agit d’un phénomène relativement nouveau, des incertitudes subsistent quant à la manière dont il affecte les utilisateurs d’AWS. Amazon Web Services dispose d’un ensemble d’outils performants qui peuvent vous aider à respecter ces dispositions de manière efficace, mais il est toujours recommandé de parler à votre équipe de compte dédiée pour savoir exactement ce qu’il faut faire pour construire un environnement cloud sécurisé et conforme.

Essai Gratuit

Vous pourriez aussi aimer

Responsable des achats informatiques : votre équipe en a-t-elle besoin ? image de bannière de blog

Responsable des achats informatiques : votre équipe en a-t-elle besoin ?

Structure des départements informatiques - Optimiser votre équipe informatique blog banner image

Structure du département informatique : optimisez votre équipe informatique en 2025

Image de l'article du guide des bonnes pratiques d'optimisation des coûts informatiques

Optimisation des coûts informatiques : Guide de bonnes pratiques pour 2025

Qu'est-ce qu'un image de bannière de blog

Qu’est-ce qu’un plugin ? Types et fonctionnement

Exemple de mise à jour des cas de force majeure pour votre contrat de services gérés

Exemple de mise à jour des cas de force majeure pour votre contrat de services gérés

Top 10 des meilleurs prompts chatgpt pour les informaticiens, avec exemples pour les techniciens IT

Les 10 meilleurs prompts ChatGPT pour les informaticiens, avec des exemples

Retour à la page d'accueil du blog
Prêt à simplifier les aspects les plus complexes de l'informatique et de la sécurité ?
Démarrer un essai gratuit
Demander une démo
×

Voir NinjaOne en action !

En soumettant ce formulaire, j'accepte la politique de confidentialité de NinjaOne.

Termes et conditions NinjaOne

En cliquant sur le bouton « J’accepte » ci-dessous, vous indiquez que vous acceptez les termes juridiques suivants ainsi que nos conditions d’utilisation:

  • Droits de propriété: NinjaOne possède et continuera de posséder tous les droits, titres et intérêts relatifs au script (y compris les droits d’auteur). NinjaOne vous accorde une licence limitée pour l’utilisation du script conformément à ces conditions légales.
  • Limitation de l’utilisation: Les scripts ne peuvent être utilisés qu’à des fins personnelles ou professionnelles internes légitimes et ne peuvent être partagés avec d’autres entités.
  • Interdiction de publication: Vous n’êtes en aucun cas autorisé à publier le script dans une bibliothèque de scripts appartenant à, ou sous le contrôle d’un autre fournisseur de logiciels.
  • Clause de non-responsabilité: Le texte est fourni « tel quel » et « tel que disponible », sans garantie d’aucune sorte. NinjaOne ne promet ni ne garantit que le script sera exempt de défauts ou qu’il répondra à vos besoins ou attentes particulières.
  • Acceptation des risques: L’utilisation du script est sous votre propre responsabilité. Vous reconnaissez qu’il existe certains risques inhérents à l’utilisation du script, et vous comprenez et assumez chacun de ces risques.
  • Renonciation et exonération de responsabilité: Vous ne tiendrez pas NinjaOne pour responsable des conséquences négatives ou involontaires résultant de votre utilisation du script, et vous renoncez à tout droit ou recours légal ou équitable que vous pourriez avoir contre NinjaOne en rapport avec votre utilisation du script.
  • EULA: Si vous êtes un client de NinjaOne, votre utilisation du script est soumise au contrat de licence d’utilisateur final qui vous est applicable (End User License Agreement (EULA)).
J'accepte