Renforcez votre résilience opérationnelle numérique DORA.
Le règlement DORA (UE 2022/2554) impose au secteur financier un cadre harmonisé de résilience opérationnelle numérique. Entités financières et prestataires de services TIC doivent maîtriser le risque lié aux TIC, tester leur résilience et encadrer leurs prestataires tiers. CYBERACT structure votre démarche DORA dans une plateforme GRC souveraine hébergée en France.
Chaque exigence DORA, sa réponse CYBERACT.
Cadre de gestion du risque lié aux TIC
Les entités disposent d'un cadre de gestion du risque lié aux TIC solide, documenté et régulièrement révisé, couvrant identification, protection, détection, réponse et récupération.
Un cadre de gestion du risque TIC outillé
L'analyse de risques (EBIOS RM / ISO 27005) et le registre central vous permettent de construire et maintenir un cadre de gestion du risque TIC documenté, mesurable et révisable.
Notification des incidents majeurs liés aux TIC
Les entités classent les incidents selon leur gravité et notifient les incidents majeurs aux autorités dans les délais et selon les modèles définis par le règlement et ses standards techniques.
La notification des incidents majeurs séquencée
La gestion des incidents permet de qualifier la gravité, de classer les incidents TIC et de structurer leur notification, avec suivi des échéances et traçabilité.
Tests de résilience (dont TLPT)
Les entités réalisent un programme de tests, incluant pour les plus significatives des tests de pénétration fondés sur la menace (TLPT) afin d'éprouver leur résilience face à des scénarios réalistes.
Un suivi du risque prestataire
Le module TPRM aide à recenser vos prestataires TIC, à identifier ceux qui soutiennent des fonctions critiques, à les évaluer et à suivre le risque de concentration.
Risque lié aux prestataires TIC tiers
Les entités maîtrisent les risques liés à leurs prestataires TIC, encadrent contractuellement ces relations, évaluent le risque de concentration et conservent la maîtrise de leurs fonctions critiques.
Des audits et des preuves pour vos tests
Le module d'audit ISO 19011 et les référentiels pré-chargés organisent vos contrôles, documentent les résultats de vos tests et centralisent les preuves opposables.
Registre d'information des prestataires
Chaque entité tient à jour un registre recensant l'ensemble des accords contractuels avec ses prestataires TIC, en distinguant ceux qui soutiennent des fonctions critiques ou importantes.
Une veille sur les menaces
Le module Threat Intelligence alimente votre programme de tests et votre gestion des risques avec une connaissance actualisée des menaces.
Partage d'informations et gouvernance
DORA encourage le partage d'informations sur les cybermenaces et place la responsabilité du cadre de résilience au niveau de l'organe de direction, qui le définit, l'approuve et le supervise.
Un pilotage pour l'organe de direction
Les tableaux de bord consolident le risque TIC, les incidents et les relations prestataires pour la visibilité requise par DORA.
Quelles organisations sont concernées par DORA ?
DORA s'applique à un large éventail d'entités financières (banques, assurances, sociétés de gestion, prestataires de paiement, entreprises d'investissement) et aux prestataires de services TIC qui les soutiennent.
Qu'est-ce qu'un test TLPT, et CYBERACT le réalise-t-il ?
Un TLPT est un test de pénétration fondé sur la menace, exigé pour les entités les plus significatives. CYBERACT n'exécute pas les tests d'intrusion, mais vous aide à planifier votre programme, à documenter les résultats et à suivre la remédiation.
Comment tenir le registre d'information des prestataires ?
Le module TPRM recense vos accords contractuels avec vos prestataires TIC, identifie ceux qui soutiennent des fonctions critiques et en suit l'évaluation, en appui à votre registre d'information.
L'hébergement est-il compatible avec la souveraineté financière ?
CYBERACT est une plateforme GRC souveraine hébergée en France, avec une option d'IA souveraine, conçue pour la maîtrise et la localisation des données des entités financières.
NIS 2
La directive NIS 2 (UE 2022/2555) élargit considérablement le périmètre des organisations soumises à des obligations de cybersécur...
RGPD
Le RGPD (UE 2016/679) impose à tout organisme traitant des données personnelles des obligations strictes de documentation, de gest...
ISO 27001
ISO 27001:2022 concerne toute organisation qui veut certifier son système de management de la sécurité de l'information (SMSI). L'...
PCI-DSS
PCI-DSS v4.0 s'applique à toute entité qui stocke, traite ou transmet des données de cartes de paiement. L'enjeu est de tenir les ...
SOC 2
SOC 2 concerne les organisations de services qui doivent rassurer leurs clients sur la maîtrise de leurs systèmes. L'enjeu est de ...
Prêt pour DORA ?
On part de votre périmètre réel et on vous montre la couverture en 30 minutes.