{"id":449972,"date":"2025-04-09T07:05:52","date_gmt":"2025-04-09T07:05:52","guid":{"rendered":"https:\/\/www.ninjaone.com\/?p=449972"},"modified":"2025-04-30T15:33:51","modified_gmt":"2025-04-30T15:33:51","slug":"5-piliers-dora","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/fr\/blog\/5-piliers-dora\/","title":{"rendered":"Quels sont les 5 piliers DORA\u00a0?"},"content":{"rendered":"

Le Digital Operational Resilience Act (DORA<\/a>) de l’Union europ\u00e9enne consolide les normes de s\u00e9curit\u00e9 num\u00e9rique pour les entit\u00e9s financi\u00e8res dans ses territoires membres. Ceux-ci sont principalement illustr\u00e9s par les initiatives cl\u00e9s de ce cadre, \u00e9galement appel\u00e9es les 5 piliers DORA<\/strong>\u00a0:<\/p>\n

    \n
  1. Gestion des risques li\u00e9s aux TIC<\/li>\n
  2. Rapport sur les incidents li\u00e9s aux TIC<\/li>\n
  3. Tests de r\u00e9silience op\u00e9rationnelle num\u00e9rique<\/li>\n
  4. Gestion des risques li\u00e9s aux tiers<\/li>\n
  5. Partage d’informations<\/li>\n<\/ol>\n

    DORA compl\u00e8te la directive renforc\u00e9e sur la s\u00e9curit\u00e9 des r\u00e9seaux et de l’information 2 (NIS2<\/a>). Toutefois, contrairement \u00e0 la norme NIS2, DORA est une r\u00e9glementation ex\u00e9cutoire similaire au r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD)<\/a> de l’UE. Si vous travaillez dans les secteurs de l’informatique et de la finance, voici tout ce que vous devez savoir sur les exigences DORA en mati\u00e8re de cybers\u00e9curit\u00e9.<\/p>\n

    Les 5 piliers de la r\u00e9glementation DORA<\/h2>\n

    Les institutions financi\u00e8res sont connues pour leurs infrastructures informatiques complexes. Ces technologies permettent aux entreprises d’optimiser les performances et les mesures de s\u00e9curit\u00e9 d’une nouvelle mani\u00e8re, mais n\u00e9cessitent \u00e9galement des solutions de gestion des risques plus efficaces.<\/p>\n

    La r\u00e9glementation DORA vise \u00e0 combler ces lacunes en introduisant une s\u00e9rie d’exigences qui rel\u00e8vent le niveau des normes en mati\u00e8re de technologies de l’information et de la communication (TIC) dans l’ensemble du secteur financier. Dans l’ensemble, la philosophie et la vision de cette r\u00e9glementation sont r\u00e9sum\u00e9es dans les piliers suivants\u00a0:<\/p>\n

      \n
    1. \n

      Gestion des risques li\u00e9s aux TIC<\/h3>\n<\/li>\n<\/ol>\n

      La gestion des risques informatiques<\/a>\u00a0est la base m\u00eame du cadre DORA. Cela comprend les strat\u00e9gies, les politiques et les outils n\u00e9cessaires pour prot\u00e9ger les donn\u00e9es et les actifs contre les d\u00e9fis importants li\u00e9s aux TIC.<\/p>\n

      Ce pilier garantit que les institutions financi\u00e8res et les diff\u00e9rentes parties prenantes surveillent, \u00e9valuent et ma\u00eetrisent rapidement et avec pr\u00e9cision les vuln\u00e9rabilit\u00e9s li\u00e9es aux TIC. Il couvre \u00e9galement la mani\u00e8re dont ils signalent ces incidents et y r\u00e9pondent. Les soci\u00e9t\u00e9s financi\u00e8res et leurs fournisseurs de services tiers doivent se pr\u00e9parer \u00e0 des audits et des \u00e9valuations de s\u00e9curit\u00e9 r\u00e9guliers.<\/p>\n

      Les responsables informatiques doivent \u00e9laborer un cadre complet de gestion des risques li\u00e9s aux TIC afin de r\u00e9pondre aux exigences de conformit\u00e9 DORA. Il peut s’agir de tirer parti des protocoles existants et de red\u00e9finir certains objectifs et r\u00f4les au sein de l’entreprise. Un plan d’action complet doit pr\u00e9senter une approche proactive et coh\u00e9rente de la gestion des risques.<\/p>\n

        \n
      1. \n

        Rapport sur les incidents li\u00e9s aux TIC<\/h3>\n<\/li>\n<\/ol>\n

        En vertu de la r\u00e9glementation DORA, les organisations doivent collaborer avec les autorit\u00e9s comp\u00e9tentes pour faire face aux incidents majeurs li\u00e9s aux TIC.<\/p>\n

        Les incidents doivent \u00e9galement \u00eatre imm\u00e9diatement class\u00e9s en fonction de leur impact et de leur capacit\u00e9 \u00e0 perturber les niveaux de service. Ils doivent \u00e9galement \u00eatre signal\u00e9s aux autorit\u00e9s comp\u00e9tentes selon les\u00a0d\u00e9lais de notification stricts de la r\u00e9glementation DORA<\/a>\u00a0et les mod\u00e8les standard.<\/p>\n

        Compte tenu de l’importance accrue accord\u00e9e \u00e0 la notification des incidents li\u00e9s aux TIC, les responsables informatiques devraient envisager de renforcer les proc\u00e9dures internes d’examen et de documentation. L’automatisation est l’un des moyens d’y parvenir.<\/p>\n

        Elle permet en effet d’impl\u00e9menter un plan de gestion des risques plus complet et mieux connect\u00e9. Pour commencer, un\u00a0logiciel de surveillance avanc\u00e9e<\/a>\u00a0peut aider les entreprises \u00e0 anticiper les probl\u00e8mes potentiels gr\u00e2ce \u00e0 la surveillance en temps r\u00e9el, \u00e0 la d\u00e9tection et \u00e0 la r\u00e9ponse aux menaces. Dans le m\u00eame temps, cette approche moderne peut renforcer les pratiques de sauvegarde et de r\u00e9cup\u00e9ration.<\/p>\n

          \n
        1. \n

          Tests de r\u00e9silience op\u00e9rationnelle num\u00e9rique<\/h3>\n<\/li>\n<\/ol>\n

          DORA pr\u00e9conise \u00e9galement de tester r\u00e9guli\u00e8rement les mesures de r\u00e9silience num\u00e9rique. En d’autres termes, les entreprise sont cens\u00e9es analyser l’impact de sc\u00e9narios sp\u00e9cifiques et de perturbations importantes sur leurs activit\u00e9s. Dans ce contexte, les grandes institutions peuvent \u00eatre tenues de suivre des protocoles de test plus complets et plus fr\u00e9quents.<\/p>\n

          Parmi les mesures proactives que les op\u00e9rateurs informatiques peuvent organiser, on peut citer les tests de s\u00e9curit\u00e9 du r\u00e9seau et diverses \u00e9valuations de la vuln\u00e9rabilit\u00e9. Vous devez \u00e9galement organiser des \u00e9valuations r\u00e9guli\u00e8res des menaces afin d’identifier les lacunes dans le processus et de renforcer les syst\u00e8mes de s\u00e9curit\u00e9 existants et les plans de rem\u00e9diation. Les entit\u00e9s financi\u00e8res doivent \u00e9galement inclure les TIC tiers dans les programmes de formation \u00e0 la r\u00e9silience en mati\u00e8re de cybers\u00e9curit\u00e9 dans le cadre des exigences.<\/p>\n

            \n
          1. \n

            Gestion des risques li\u00e9s aux TIC tiers<\/h3>\n<\/li>\n<\/ol>\n

            L’un des points essentiels du cadre DORA concerne la gestion des risques et de la conformit\u00e9 des tiers.<\/p>\n

            Dans une perspective plus large, elle actualise la responsabilit\u00e9 \u00e9largie des entreprises financi\u00e8res dans les territoires membres d’adh\u00e9rer aux dispositions et aux lois de l’UE en mati\u00e8re de TIC.<\/p>\n

            En vertu de cette ligne directrice, les entit\u00e9s financi\u00e8res doivent veiller \u00e0 ce que les contrats conclus avec les fournisseurs de services TIC tiers, m\u00eame ceux qui se trouvent en dehors de l’UE, d\u00e9finissent clairement et pr\u00e9cis\u00e9ment les obligations et les droits des deux parties. Elles doivent \u00e9galement contr\u00f4ler et \u00e9valuer r\u00e9guli\u00e8rement la conformit\u00e9 des tiers.<\/p>\n

            Les soci\u00e9t\u00e9s financi\u00e8res ne peuvent pas d\u00e9pendre fortement d’un seul fournisseur pour leurs fonctions essentielles et leurs infrastructures informatiques critiques. Elles doivent donc prendre l’initiative de diversifier les infrastructures informatiques et d’\u00e9laborer des protocoles stricts pour maintenir la conformit\u00e9 dans tous les domaines.<\/p>\n

            \u00c0 cet \u00e9gard, les prestataires de services TIC tiers charg\u00e9s d’op\u00e9rations essentielles ou cruciales seront \u00e9galement soumis \u00e0 la surveillance directe des autorit\u00e9s europ\u00e9ennes de surveillance (AES) comp\u00e9tentes.<\/p>\n

              \n
            1. \n

              Partage d’informations et de renseignements<\/h3>\n<\/li>\n<\/ol>\n

              Les institutions sont \u00e9galement encourag\u00e9es \u00e0 participer \u00e0 des initiatives d’\u00e9change d’informations afin de relever collectivement les normes du secteur. Outre l’am\u00e9lioration du processus d’\u00e9tablissement de rapports, de la documentation et de la collaboration interfonctionnelle au sein de l’entreprise, les op\u00e9rateurs TIC devraient tirer parti de la collaboration avec les autorit\u00e9s et les prestataires de services tiers.<\/p>\n

              Implications de la r\u00e9glementation DORA pour les entreprises<\/h2>\n

              DORA vise principalement \u00e0 renforcer la s\u00e9curit\u00e9 informatique et la r\u00e9silience op\u00e9rationnelle dans le secteur financier.<\/p>\n

              Les entreprises au c\u0153ur de cette initiative sont les \u00e9tablissements bancaires et de cr\u00e9dit, les soci\u00e9t\u00e9s d’investissement, les compagnies d’assurance et les fournisseurs de services de traitement des paiements.<\/p>\n

              De plus, les fournisseurs de services cloud et les soci\u00e9t\u00e9s d’analyse de donn\u00e9es qui g\u00e8rent des services essentiels pour les institutions financi\u00e8res peuvent \u00eatre class\u00e9s comme des fournisseurs tiers essentiels et \u00eatre soumis \u00e0 des dispositions et des lois rigoureuses similaires.<\/p>\n

              Pour se pr\u00e9parer \u00e0 l’impl\u00e9mentation de DORA, les entreprises doivent comprendre la port\u00e9e et les exigences de cette r\u00e9glementation pour elles-m\u00eames et leurs partenaires commerciaux. Elles b\u00e9n\u00e9ficieront \u00e9galement de la collaboration avec des fournisseurs de services tiers qui respectent d\u00e9j\u00e0 les directives NIS2, RGPD et DORA.<\/p>\n

              Pour les responsables et le personnel des TIC, la conformit\u00e9 doit \u00eatre trait\u00e9e comme un processus plut\u00f4t que comme un projet. Les protocoles TIC ajust\u00e9s doivent \u00eatre adaptables, en particulier lorsque de nouvelles informations sont disponibles. L’approche globale doit \u00eatre permanente et toutes les personnes concern\u00e9es doivent \u00eatre pr\u00eates \u00e0 collaborer et \u00e0 recevoir une formation r\u00e9guli\u00e8re.<\/p>\n

              Bonnes pratiques pour la mise en conformit\u00e9 DORA<\/h2>\n

              Diversifiez les infrastructures informatiques<\/h3>\n

              L’un des moyens de cr\u00e9er une infrastructure informatique solide est de la diversifier. Il existe de nombreuses fa\u00e7ons de r\u00e9aliser cette initiative, mais la plupart des entreprises peuvent d’abord envisager la modernisation de certains composants et\u00a0l’automatisation informatique<\/a>. La surveillance et la maintenance \u00e0 distance peuvent faire des merveilles en termes d’efficacit\u00e9<\/a> et de s\u00e9curit\u00e9 en temps r\u00e9el.<\/p>\n

              Renforcez les canaux internes pour la formation et la collaboration interfonctionnelles<\/h3>\n

              Les lacunes en mati\u00e8re de TIC ne concernent pas uniquement le d\u00e9partement informatique. L’entreprise a besoin d’une approche globale afin d’identifier les vuln\u00e9rabilit\u00e9s et de renforcer les protocoles. Les canaux de communication englobant diff\u00e9rents d\u00e9partements et unit\u00e9s commerciales sont importants pour sensibiliser l’ensemble de l’entreprise et assurer le respect des r\u00e8gles.<\/p>\n

              Collaborez avec les parties prenantes externes<\/h3>\n

              Les cinq piliers DORA soulignaient d\u00e9j\u00e0 l’importance de la collaboration, et nous insistons encore plus sur cet aspect. Votre entreprise doit maintenir une coop\u00e9ration avec les organismes de r\u00e9glementation afin d’obtenir l’interpr\u00e9tation la plus pr\u00e9cise et la plus actualis\u00e9e possible de la r\u00e9glementation DORA. De m\u00eame, vous devez exiger des fournisseurs qu’ils respectent les m\u00eames normes, en particulier ceux qui fournissent des services aux secteurs critiques de votre entreprise. Incluez-les dans les formations TIC et DORA, le cas \u00e9ch\u00e9ant.<\/p>\n

              Impl\u00e9mentez le principe GRC dans votre strat\u00e9gie<\/h3>\n

              Le principe GRC<\/a>, pour Gouvernance, Risque et Conformit\u00e9, peut aider \u00e0 positionner le personnel de mani\u00e8re \u00e0 ce qu’il se conforme DORA de mani\u00e8re collaborative. \u00c0 la base, ce principe supprime les barri\u00e8res traditionnelles entre les unit\u00e9s op\u00e9rationnelles, \u00e9limine les processus d\u00e9connect\u00e9s et les redondances, et aligne les technologies de l’information sur les objectifs de l’entreprise.<\/p>\n

              Il peut s’av\u00e9rer particuli\u00e8rement efficace pour respecter les r\u00e9glementations sectorielles et gouvernementales et g\u00e9rer les risques. Pour r\u00e9ussir, cette initiative a besoin d’un soutien fort de tous les secteurs, en particulier des d\u00e9cideurs. Trouvez le bon logiciel pour consolider les efforts de GRC peut \u00e9galement cr\u00e9er des d\u00e9fis uniques pour l’entreprise.<\/p>\n

              Pr\u00e9parer votre entreprise \u00e0 la conformit\u00e9 DORA<\/h2>\n

              la r\u00e9glementation DORA est relativement r\u00e9cente, mais ses dispositions sont pour la plupart unifi\u00e9es sur la base des\u00a0normes de conformit\u00e9 informatique<\/a>\u00a0existantes, comme la RGPD et la norme NIS2. Vous devez donc tirer parti de ces ressources pour renforcer et \u00e9tablir votre plan de gestion des risques, vos composantes informatiques et vos programmes de formation. Si les initiatives DORA posent de nombreux nouveaux d\u00e9fis, les responsables de la conformit\u00e9 et les professionnels de l’informatique devraient \u00e9galement y voir l’occasion d’harmoniser leur strat\u00e9gie en mati\u00e8re d’ITC et d’inciter les d\u00e9cideurs \u00e0 mettre \u00e0 niveau les infrastructures informatiques, avec des avantages et des ramifications aussi bien imm\u00e9diats qu’\u00e0 long terme.<\/p>\n","protected":false},"excerpt":{"rendered":"

              Le Digital Operational Resilience Act (DORA) de l’Union europ\u00e9enne consolide les normes de s\u00e9curit\u00e9 num\u00e9rique pour les entit\u00e9s financi\u00e8res dans ses territoires membres. Ceux-ci sont principalement illustr\u00e9s par les initiatives cl\u00e9s de ce cadre, \u00e9galement appel\u00e9es les 5 piliers DORA\u00a0: Gestion des risques li\u00e9s aux TIC Rapport sur les incidents li\u00e9s aux TIC Tests de […]<\/p>\n","protected":false},"author":161,"featured_media":444685,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4369,4355],"tags":[],"class_list":["post-449972","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-securite","category-it-ops"],"acf":[],"modified_by":"Laurie Mouret","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/posts\/449972","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/users\/161"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/comments?post=449972"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/posts\/449972\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/media\/444685"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/media?parent=449972"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/categories?post=449972"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/tags?post=449972"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}