DORA simplifiée

VOUS SOUHAITEZ PLUS DE RECOMMANDATIONS ? CONTACTEZ-NOUS !

Cliquez sur le tag pour accéder à la description et aux recommandations de WALLIX.

GOUVERNANCE ET ORGANISATION CADRE DE GESTION DES RISQUES LIÉS AUX TIC SYSTÈMES, PROTOCOLES ET OUTILS TIC IDENTIFICATION PROTECTION ET PRÉVENTION DÉTECTION RÉPONSE ET RÉCUPÉRATION APPRENDRE ET ÉVOLUER HARMONISATION DES OUTILS ET MÉTHODES, GESTION DES RISQUES LIÉS AUX TIC

Article 5.1

Gouvernance
& organisation

Points clés de l’article

Conformément à l’article 6, paragraphe 4, les entités financières établissent un cadre de gouvernance et de contrôle interne pour gérer efficacement et prudemment les risques liés aux TIC. L’objectif est d’assurer un niveau élevé de résilience opérationnelle numérique.

Recommandation de WALLIX

Le PAM (Privileged Access Management) joue un rôle essentiel dans le soutien d’un cadre efficace de gestion des risques liés aux technologies de l’information et de la communication (TIC), conformément à l’article 5, paragraphe 1.

Gestion centralisée : Le PAM centralise la gestion des comptes à privilèges et des droits d’accès, ce qui facilite l’identification, l’évaluation et l’atténuation des risques associés à ces comptes.
Réduction de la surface d’attaque : En limitant les accès à privilèges et en appliquant le principe du moindre privilège, le PAM réduit l’impact potentiel d’une compromission des identifiants à privilèges.
Amélioration de la surveillance et de la traçabilité : Les solutions de PAM offrent généralement une journalisation complète de l’activité des utilisateurs à privilèges, permettant de surveiller les comportements suspects et de détecter rapidement les menaces potentielles.
Renforcement de la responsabilisation : Le PAM offre une vision claire des accès à privilèges, renforçant ainsi la responsabilisation des utilisateurs et facilitant les enquêtes en cas d’incident de sécurité.

Article 5.2

Gouvernance
& organisation

Points clés de l’article

L’organe de direction de l’entité financière définit, approuve, supervise et assume la responsabilité de la mise en œuvre de toutes les dispositions relatives au cadre de gestion des risques liés aux TIC, conformément à l’article 6, paragraphe 1.
Il exerce ces responsabilités selon les principes et prérogatives suivants :

(a) assumer la responsabilité ultime de la gestion du risque TIC de l’entité financière ;
(b) mettre en place des politiques garantissant le maintien de normes élevées en matière de disponibilité, d’authenticité, d’intégrité et de confidentialité des données ;
(c) définir clairement les rôles et responsabilités de toutes les fonctions liées aux TIC et mettre en place des mécanismes de gouvernance favorisant une communication, une coopération et une coordination efficaces et opportunes entre ces fonctions ;
(d) assumer la responsabilité générale de la définition et de l’approbation de la stratégie de résilience opérationnelle numérique visée à l’article 6, paragraphe 8, y compris la détermination du niveau de tolérance au risque TIC de l’entité, conformément à l’article 6, paragraphe 8, point b) ;
(e) approuver, superviser et examiner périodiquement la mise en œuvre de la politique de continuité des activités en matière de TIC ainsi que les plans d’intervention et de rétablissement, visés respectivement à l’article 11, paragraphes 1 et 3, qui peuvent être intégrés à la politique globale de continuité des activités de l’entité ;
(f) approuver et examiner périodiquement les plans d’audit interne des TIC, les audits correspondants et les modifications importantes qui y sont apportées ;
(g) allouer et réexaminer périodiquement le budget nécessaire à la résilience opérationnelle numérique, couvrant notamment les programmes de sensibilisation à la sécurité des TIC, la formation à la résilience opérationnelle numérique (article 13, paragraphe 6) et le développement des compétences TIC du personnel ;
(h) approuver et revoir périodiquement la politique de l’entité concernant les accords relatifs à l’utilisation des services TIC fournis par des prestataires tiers ;
(i) mettre en place, au niveau de l’entreprise, des canaux d’information adéquats.

Recommandation de WALLIX

(a) Responsabilité ultime de la gestion des risques liés aux TIC :
Bien que le PASM (Priviledged Account and Session Management) ne traite pas directement de la responsabilité ultime, il constitue un outil essentiel pour la mise en œuvre des contrôles et l’amélioration de la posture de sécurité. Il permet ainsi à la direction de mieux s’acquitter de cette responsabilité.

(b) Politiques de sécurité des données :
Le PASM ne définit pas en soi de politiques de sécurité des données, mais en limitant l’accès aux informations sur la base du principe du moindre privilège, il facilite l’application des politiques existantes et réduit le risque d’accès ou de modification non autorisés.

(c) Rôles et responsabilités clairs :
Le PASM contribue à la définition de rôles clairement établis pour les utilisateurs disposant d’accès à privilèges, en leur attribuant des droits adaptés à leurs fonctions. Cette approche renforce la responsabilisation et réduit les risques d’accès inappropriés.

(d) Stratégie de résilience opérationnelle numérique :
Le PASM s’intègre pleinement dans la stratégie globale de résilience, en sécurisant les systèmes et les données critiques grâce à des contrôles d’accès à privilèges rigoureux.

(e) Plans de continuité et de reprise d’activité :
Bien qu’il ne gère pas directement ces plans, le PASM contribue à leur efficacité en limitant les risques de perturbations résultant de la compromission de comptes à privilèges.

(f) Plans d’audit interne des TIC :
Les journaux d’audit générés par le PASM constituent une source précieuse d’information pour les audits internes des TIC. Ils permettent d’évaluer l’efficacité des contrôles d’accès à privilèges et d’identifier d’éventuelles faiblesses.

(g) Allocation budgétaire :
Le coût de mise en œuvre et de maintenance d’une solution de PASM s’inscrit dans le budget global de la résilience opérationnelle numérique. Toutefois, cette solution peut également réduire les besoins d’investissements futurs en matière de sécurité, en atténuant les risques de manière proactive.

(h) Politique relative aux fournisseurs de services TIC tiers :
Le PASM peut être intégré à des solutions de gestion des accès destinées aux prestataires externes, garantissant ainsi des contrôles d’accès à privilèges cohérents et sécurisés pour les fournisseurs tiers.

(i) Canaux de reporting :
Les systèmes de PASM peuvent générer des rapports détaillés sur l’activité des utilisateurs disposant d’accès à privilèges. Ces rapports constituent un canal de reporting essentiel pour informer la direction des risques potentiels et des incidents liés aux accès à privilèges.

Article 6.1

Cadre de gestion des risques liés aux TIC

Points clés de l’article

Les entités financières disposent d’un cadre de gestion des risques liés aux technologies de l’information et de la communication (TIC) solide, exhaustif et bien documenté, intégré à leur système global de gestion des risques. Ce cadre leur permet de traiter efficacement et rapidement les risques liés aux TIC, tout en garantissant un niveau élevé de résilience opérationnelle numérique.

Recommandation de WALLIX

Cadre solide, complet et documenté :

Le PASM (Priviledge Account & Session Management) soutient une approche globale de la gestion des risques en se concentrant sur les accès à privilèges, une cible fréquente pour les hackers et un vecteur de risque majeur pour les systèmes TIC.
La documentation associée au PASM décrit en détail les contrôles d’accès à privilèges et les mesures de sécurité mises en œuvre, contribuant ainsi à un cadre de gestion des risques bien documenté et conforme aux exigences de résilience opérationnelle numérique.

Article 6.2

Cadre de gestion des risques liés aux TIC

Points clés de l’article

Le cadre de gestion des risques liés aux TIC comprend des stratégies, des politiques, des procédures, des protocoles et des outils TIC qui sont nécessaires pour protéger dûment et adéquatement tous les actifs des TIC. Cela comprend les logiciels, le matériel informatique et les serveurs. Ce cadre intègre aussi les composants et infrastructures physiques, tels que les locaux, les centres de données et les zones sensibles désignées, afin de garantir que tous les actifs d’information et les actifs TIC sont bien protégés contre les risques, y compris les dommages et l’accès ou l’utilisation non autorisé(e).

Recommandation de WALLIX

Protection des informations et des actifs TIC :

Le PASM contribue à la protection des informations et des actifs liés aux technologies de l’information et de la communication (TIC) en :

Restreignant les accès aux systèmes et aux données critiques conformément au principe du moindre privilège.
Surveillant et contrôlant l’activité des utilisateurs disposant d’accès à privilèges afin de détecter tout comportement suspect ou toute action non autorisée.

Article 6.4

Cadre de gestion des risques liés aux TIC

Points clés de l’article

Les entités financières, à l’exception des microentreprises, confient la responsabilité de la gestion et de la surveillance des risques liés aux technologies de l’information et de la communication (TIC) à une fonction de contrôle.
Elles veillent à garantir un niveau approprié d’indépendance de cette fonction afin d’éviter tout conflit d’intérêts.

Les entités financières doivent également assurer une séparation claire et une indépendance effective entre les fonctions de gestion des risques liés aux TIC, les fonctions de contrôle et les fonctions d’audit interne, conformément au modèle des trois lignes de défense ou à un modèle équivalent de gestion et de contrôle des risques internes.

Recommandation de WALLIX

Attribution des responsabilités et prévention des conflits :

Le PASM lui-même n’attribue pas de responsabilités mais s’intègre aux structures de gouvernance informatique existantes, soutenant le rôle de la fonction de contrôle dans la gestion des risques liés aux technologies de l’information et de la communication.

Article 6.5

Cadre de gestion des risques liés aux TIC

Points clés de l’article

Le cadre de gestion des risques liés aux TIC est documenté et réexaminé au moins une fois par an, ou périodiquement dans le cas des microentreprises, ainsi qu’en cas d’incidents majeurs liés aux TIC, et à la suite d’instructions des autorités de surveillance ou de conclusions tirées de tests de résilience opérationnelle numérique ou de processus d’audit pertinents. Il est amélioré en permanence sur la base des enseignements tirés de la mise en œuvre et du suivi. Un rapport sur l’examen du cadre de gestion des risques liés aux TIC est soumis à l’autorité compétente à sa demande.

Recommandation de WALLIX

Cadre documenté, examen et amélioration :

Les journaux de configuration et d’audit de PASM (Priviledge Account & Session Management) fournissent des données précieuses pour documenter le cadre, examiner son efficacité et identifier les domaines à améliorer en ce qui concerne les contrôles d’accès privilégiés.

Article 6.6

Cadre de gestion des risques liés aux TIC

Points clés de l’article

Le cadre de gestion des risques liés aux TIC des entités financières, autres que les microentreprises, fait l’objet d’un audit interne régulier par des auditeurs, conformément au plan d’audit de l’entité financière. Ces auditeurs doivent posséder des connaissances, des compétences et une expertise suffisantes en matière de risques liés aux TIC, ainsi qu’une indépendance appropriée. La fréquence et l’objet des audits des TIC sont proportionnels aux risques TIC de l’entité financière.

Recommandation de WALLIX

Audit interne par des auditeurs spécialisés dans les TIC :

Les journaux d’audit de PASM (Priviledge Account & Session Management) peuvent être utilisés par des auditeurs internes spécialisés dans les TIC pour évaluer l’efficacité des contrôles d’accès à privilèges et identifier les faiblesses potentielles.

Article 6.7

Cadre de gestion des risques liés aux TIC

Points clés de l’article

Sur la base des conclusions de l’examen de l’audit interne, les entités financières établissent un processus de suivi formel, comprenant des règles pour la vérification et la correction en temps utile des constatations critiques de l’audit des TIC.

Recommandation de WALLIX

Processus de suivi des constatations critiques :

PASM (Priviledge Account & Session Management) permet de traiter les constatations critiques liées aux accès à privilèges en fournissant des preuves d’activités suspectes et en facilitant les enquêtes.

Article 6.8

Cadre de gestion des risques liés aux TIC

Points clés de l’article

Le cadre de gestion des risques liés aux TIC comprend une stratégie de résilience opérationnelle numérique qui définit les modalités de mise en œuvre du cadre. À cette fin, la stratégie de résilience opérationnelle numérique comprend des méthodes pour faire face aux risques liés aux TIC et atteindre des objectifs spécifiques en matière de TIC :

expliquer comment le cadre de gestion des risques liés aux TIC soutient la stratégie et les objectifs commerciaux de l’entité financière ;
établir le niveau de tolérance au risque pour les TIC, conformément à l’appétit pour le risque de l’entité financière, et analyser la tolérance à l’impact des perturbations des TIC ;
définir des objectifs clairs en matière de sécurité de l’information, y compris des indicateurs de performance clés et des mesures de risque clés ;
expliquer l’architecture de référence des TIC et les changements nécessaires pour atteindre les objectifs spécifiques de l’entreprise ;
qui décrit les différents mécanismes mis en place pour détecter les incidents liés aux TIC, prévenir leur impact et assurer une protection contre ces incidents ;
la démonstration de la situation actuelle de la résilience opérationnelle numérique sur la base du nombre d’incidents majeurs liés aux TIC signalés et de l’efficacité des mesures préventives ;
mettre en œuvre des tests de résilience opérationnelle numérique, conformément au chapitre IV du présent règlement ;
définir une stratégie de communication en cas d’incidents liés aux TIC dont la divulgation est requise conformément à l’article 14.

Recommandation de WALLIX

Stratégie de résilience opérationnelle numérique :

Le PASM (Priviledge Account & Session Management) contribue à la stratégie de résilience opérationnelle numérique en :

Atténuant le risque d’incidents causés par la compromission d’identité et d’autorisation d’accès aux TIC;
Renforçant la résilience globale grâce à des contrôles des accès aux équipements via des accès à privilèges.

Dans l’ensemble, le PASM joue un rôle crucial dans le cadre de la gestion des risques TIC de DORA en sécurisant les accès à privilèges. Il aide les organisations à traiter un élément essentiel du risque TIC, contribuant ainsi à un environnement informatique plus sûr et plus résilient.

Note : Bien que le PASM n’aborde pas directement tous les aspects de l’article 6, il constitue un outil précieux pour la gestion d’un domaine de risque TIC spécifique et important, à savoir l’accès à privilèges.

Article 7

Systèmes, protocoles et outils TIC

Points clés de l’article

Afin de traiter et de gérer les risques liés aux TIC, les entités financières utilisent et maintiennent des systèmes, des protocoles et des outils TIC actualisés qui sont :

(a) adaptés à l’ampleur des opérations soutenant l’exercice de leurs activités, conformément au principe de proportionnalité visé à l’article 4 ;
(b) fiable ;
(c) dotés d’une capacité suffisante pour traiter avec précision les données nécessaires à l’exécution des activités et à la fourniture des services en temps voulu, et pour faire face aux pics de commandes, de messages ou de transactions, selon les besoins, y compris en cas d’introduction d’une nouvelle technologie ;
(d) résilientes sur le plan technologique afin de pouvoir répondre de manière adéquate aux besoins supplémentaires de traitement de l’information requis dans des conditions de marché tendues ou dans d’autres situations défavorables.

Recommandation de WALLIX

Le PAM (Privileged Access Management) s’aligne sur l’article 7 du règlement DORA en fournissant un système fiable, sécurisé et résilient sur le plan technologique pour la gestion des accès à privilèges.

Le chiffrement des protocoles d’accès mis en œuvre par le PAM renforce la posture de sécurité globale et contribue à la résilience de l’infrastructure TIC, aidant ainsi les entités financières à maintenir des niveaux de tolérance appropriés face aux perturbations potentielles.

Le PAM doit être adapté à la taille, à la complexité et aux besoins spécifiques de l’infrastructure informatique de chaque organisation en matière de gestion des accès à privilèges.

Les solutions de PAM doivent être fiables et garantir une haute disponibilité afin d’assurer une gestion cohérente et ininterrompue des accès à privilèges.

Le PAM doit intégrer des mécanismes de sécurité renforcés, notamment le chiffrement des protocoles d’accès aux systèmes cibles, afin de protéger les informations d’identification et les données sensibles en transit contre tout accès non autorisé ou toute interception. Des mises à jour régulières de la solution sont indispensables pour faire face à l’évolution des menaces et des vulnérabilités.

En minimisant le risque d’incidents liés à la compromission d’identifiants à privilèges, le PAM contribue directement au maintien de niveaux de perturbation tolérables et à la résilience opérationnelle des systèmes TIC.

Article 8.1

Identification

Points clés de l’article

Dans le cadre de la gestion des risques liés aux technologies de l’information et de la communication (TIC) visée à l’article 6, paragraphe 1, les entités financières identifient, classent et documentent de manière appropriée l’ensemble des fonctions opérationnelles, des rôles et responsabilités liés aux TIC, ainsi que les actifs TIC qui les soutiennent. Elles précisent également leurs interdépendances et leurs liens avec les risques liés aux TIC.

Les entités financières vérifient régulièrement, et au minimum une fois par an, la pertinence de cette classification ainsi que la mise à jour de toute documentation associée.

Recommandation de WALLIX

Les comptes à privilèges et leurs rôles :

Le PAM permet de créer un répertoire central des comptes à privilèges, ce qui facilite la documentation.

Systèmes et données auxquels accèdent les utilisateurs à privilèges : Ces informations peuvent être utilisées pour identifier les actifs informationnels et les actifs TIC nécessitant un contrôle d’accès.

Article 8.2

Identification

Points clés de l’article

Les entités financières identifient en permanence toutes les sources de risques liés aux TIC, en particulier les risques encourus par d’autres entités financières, et évaluent les cybermenaces et les vulnérabilités des TIC en rapport avec leurs fonctions commerciales, leurs actifs informationnels et leurs actifs liés aux TIC. Les entités financières examinent régulièrement, et au moins une fois par an, les scénarios de risque qui les concernent.

Recommandation de WALLIX

Ces risques liés aux TIC peuvent être des :

Droits d’accès excessifs attribués à des utilisateurs ou à des comptes de service.
Comptes à privilèges inactifs qui pourraient être exploités en cas de compromission.
Utilisateurs ayant accès à plus de systèmes ou de données qu’ils n’en ont besoin (violation du principe du moindre privilège).

Article 8.3

Identification

Points clés de l’article

Les entités financières, autres que les microentreprises, procèdent à une évaluation des risques lors de chaque changement majeur dans l’infrastructure du réseau et du système d’information, dans les processus ou les procédures affectant leurs fonctions commerciales, leurs actifs d’information ou leurs actifs TIC.

Recommandation de WALLIX

Le PAM peut être utilisé pour évaluer l’impact des changements majeurs sur les contrôles d’accès à privilèges.
Par exemple, l’introduction d’une nouvelle application peut nécessiter l’attribution d’accès à privilèges à certains comptes spécifiques.
Le PAM permet alors d’identifier les risques associés à ces changements et de définir des contrôles d’accès appropriés afin de garantir la sécurité et la conformité du dispositif.

Article 8.4

Identification

Points clés de l’article

Les entités financières identifient tous les actifs d’information et les actifs TIC, y compris ceux qui se trouvent sur des sites distants, les ressources du réseau et les équipements matériels, et dressent la carte de ceux qui sont considérés comme critiques. Elles cartographient la configuration des actifs d’information et des actifs TIC, ainsi que les liens et interdépendances entre les différents actifs d’information et actifs TIC.

Recommandation de WALLIX

Comptes à privilèges et leurs rôles : PAM permet de créer un répertoire central des comptes à privilèges, ce qui facilite la documentation.
Les systèmes et les données auxquels les utilisateurs privilégiés ont accès : Ces informations peuvent être utilisées pour identifier les actifs informationnels et les actifs TIC nécessitant un contrôle d’accès.

Article 8.5

Identification

Points clés de l’article

Les entités financières identifient et documentent tous les processus qui dépendent de prestataires de services TIC tiers. Elles répertorient aussi toutes les interconnexions avec les prestataires de services TIC tiers qui fournissent des services à l’appui de fonctions critiques ou importantes.

Recommandation de WALLIX

La solution de Gestion des Accès à Privilèges (PAM) constitue une passerelle centralisée pour tous les accès des tiers informatiques, avec les avantages clés suivants :

Identification unique : chaque prestataire et utilisateur tiers dispose d’une identité distincte, permettant une traçabilité complète
Traçabilité totale : toutes les connexions sont enregistrées dans un journal d’audit immuable et l’activité des sessions peut être enregistrée
Classification des risques : le modèle de classes de risques intégré identifie et catégorise les processus et actifs critiques, documentant formellement la criticité de chaque interconnexion tierce
Contrôles automatisés adaptés au risque : selon la classification, des politiques de sécurité spécifiques sont appliquées automatiquement (authentification multifacteur obligatoire, enregistrement des sessions, flux d’approbation)

La solution WALLIX garantit un modèle de contrôle documenté et basé sur les risques pour gérer toutes les dépendances avec les tiers.

Article 9.1

Protection et prévention

Points clés de l’article

Afin de protéger de manière adéquate les systèmes TIC et d’organiser des mesures de réaction efficaces, les entités financières surveillent et contrôlent en continu la sécurité et le fonctionnement de leurs systèmes et outils TIC.
Elles déploient des outils, politiques et procédures adaptés en matière de sécurité des TIC afin de réduire l’impact des risques TIC et de renforcer la résilience opérationnelle.

Recommandation de WALLIX

La solution PAM surveille en continu l’activité des utilisateurs à privilèges, permettant :

Détection proactive des menaces : identification des comportements suspects pouvant signaler des incidents de sécurité potentiels
Contrôle de conformité : repérage des écarts par rapport aux politiques de contrôle d’accès établies
Identification anticipée des vulnérabilités : détection préventive des failles liées aux accès à privilèges
Principe du moindre privilège : limitation des accès selon les rôles utilisateurs, réduisant ainsi l’impact des risques informatiques sur les systèmes critiques

En restreignant strictement les droits d’accès, WALLIX minimise les dommages potentiels en cas de compromission des identifiants à privilèges, protégeant ainsi les systèmes critiques de l’organisation.

Article 9.2

Protection et prévention

Points clés de l’article

Les entités financières conçoivent, achètent et mettent en œuvre des politiques, procédures, protocoles et outils de sécurité des TIC qui visent à garantir la résilience, la continuité et la disponibilité des systèmes TIC, en particulier pour ceux qui soutiennent des fonctions critiques ou importantes, et à maintenir des normes élevées de disponibilité, d’authenticité, d’intégrité et de confidentialité des données, qu’elles soient au repos, en cours d’utilisation ou en transit.

Recommandation de WALLIX

Notre solution de PAM s’intègre parfaitement aux politiques et procédures de sécurité existantes en matière de contrôle des accès.

En sécurisant les accès à privilèges, le PAM contribue à la résilience, à la continuité et à la disponibilité des systèmes TIC, en particulier de ceux qui soutiennent des fonctions critiques.

Le PAM participe également au maintien de normes élevées de sécurité des données (disponibilité, authenticité, intégrité et confidentialité) en :

Restreignant l’accès non autorisé aux données sensibles,
Réduisant le risque de violation de données résultant de la compromission d’identifiants à privilèges.

Article 9.3

Protection et prévention

Points clés de l’article

Les entités financières utilisent des solutions et des processus TIC qui sont appropriés conformément à l’article 4. Ces solutions et processus TIC doivent :

(a) assurer la sécurité des moyens de transfert des données ;
(b) minimiser le risque de corruption ou de perte de données, d’accès non autorisé et de défaillances techniques susceptibles d’entraver l’activité de l’entreprise ;
(c) prévenir le manque de disponibilité, l’atteinte à l’authenticité et à l’intégrité, les atteintes à la confidentialité et la perte de données ;
(d) veiller à ce que les données soient protégées contre les risques découlant de la gestion des données, notamment une mauvaise administration, les risques liés au traitement et l’erreur humaine.
(f) disposer de politiques documentées, appropriées et exhaustives, en matière de correctifs et de mises à jour.

Recommandation de WALLIX

La solution WALLIX d’accès à privilège (PAM) s’intègre parfaitement aux politiques et procédures de sécurité existantes en matière de contrôle des accès.

En sécurisant les accès à privilèges, le PAM contribue à la résilience, à la continuité et à la disponibilité des systèmes TIC, en particulier de ceux qui soutiennent des fonctions critiques.

Le PAM participe également au maintien de normes élevées de sécurité des données — disponibilité, authenticité, intégrité et confidentialité — en :

Restreignant l’accès non autorisé aux données sensibles ;
Réduisant le risque de violation de données résultant de la compromission d’identifiants à privilèges.

Article 9.4

Protection et prévention

Points clés de l’article

Dans le cadre de la gestion des risques liés aux TIC visée à l’article 6, paragraphe 1, les entités financières :

(a) élaborent et documentent une politique de sécurité de l’information définissant les règles destinées à protéger la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, des actifs d’information et des actifs TIC, y compris, le cas échéant, ceux de leurs clients ;

(b) mettent en place, selon une approche fondée sur les risques, une structure solide de gestion des réseaux et des infrastructures, en utilisant des techniques, méthodes et protocoles appropriés, pouvant inclure des mécanismes automatisés d’isolation des actifs d’information affectés en cas de cyberattaque ;

(c) mettent en œuvre des politiques limitant l’accès, physique ou logique, aux actifs d’information et aux actifs TIC, au strict nécessaire pour l’exécution de fonctions et activités légitimes et approuvées, et établissent à cette fin un ensemble de politiques, procédures et contrôles relatifs aux droits d’accès afin d’en garantir une administration rigoureuse ;

(d) appliquent des politiques et protocoles prévoyant des mécanismes d’authentification forte, fondés sur des normes reconnues et des systèmes de contrôle spécifiques, ainsi que des mesures de protection des clés cryptographiques utilisées pour chiffrer les données, conformément aux processus approuvés de classification des données et d’évaluation des risques TIC ;

(e) mettent en œuvre des politiques, procédures et contrôles documentés pour la gestion des changements TIC, incluant les modifications de logiciels, matériels, composants de microprogrammes, systèmes ou paramètres de sécurité.
Ces politiques reposent sur une approche d’évaluation des risques et s’intègrent au processus global de gestion des changements de l’entité financière, afin de garantir que tous les changements apportés aux systèmes TIC sont enregistrés, testés, évalués, approuvés, mis en œuvre et vérifiés de manière maîtrisée.

Recommandation de WALLIX

WALIX PAM s’aligne directement sur les objectifs de la politique de sécurité de l’information, en particulier sur la protection de la confidentialité des données, grâce à la limitation de l’accès aux informations sensibles selon le principe du moindre privilège.

Bien que le PAM ne gère pas directement l’ensemble de l’infrastructure réseau, il contribue à une structure de gestion robuste en permettant de :

Appliquer des contrôles d’accès limitant les mouvements latéraux des utilisateurs disposant d’accès à privilèges au sein du réseau,
S’intégrer à des outils de segmentation réseau, afin de restreindre davantage l’accès en fonction des zones de sécurité.

Le PAM joue un rôle central dans la mise en œuvre des politiques de contrôle d’accès, en permettant de :

Définir et gérer des droits d’accès granulaires pour les utilisateurs disposant d’accès à privilèges,
Appliquer le principe du moindre privilège, en limitant l’accès aux seuls systèmes et données nécessaires à l’exécution des fonctions autorisées.

Le PAM s’intègre généralement aux mécanismes d’authentification forte existants pour les accès à privilèges, tels que l’authentification multifacteur (MFA).

S’il ne gère pas directement le chiffrement des données, le PAM fonctionne en parallèle avec les solutions dédiées, en sécurisant l’accès aux données au repos et en transit via le contrôle des sessions à privilèges.

Enfin, le PAM peut être intégré aux processus de gestion du changement afin de garantir que toute modification des contrôles d’accès ou des autorisations des utilisateurs à privilèges est correctement examinée, approuvée et mise en œuvre de manière contrôlée.

Article 10.1

Détection

Points clés de l’article

Les entités financières mettent en place des mécanismes permettant de détecter rapidement les activités anormales, conformément à l’article 17, y compris les problèmes de performance des réseaux TIC et les incidents liés aux TIC, et d’identifier les points de défaillance uniques potentiels.

Tous les mécanismes de détection visés au premier alinéa sont régulièrement testés conformément à l’article 25.

Recommandation de WALLIX

Le PAM constitue un outil essentiel pour la détection des anomalies dans le cadre de la gestion des accès à privilèges. En fournissant une visibilité complète sur le comportement des utilisateurs et en permettant une surveillance en temps réel, le PAM soutient l’objectif de l’article 10 du règlement DORA, qui vise à détecter rapidement les activités anormales et les incidents liés aux TIC.

WALLIX PAM surveille les sessions des utilisateurs et peut identifier des activités s’écartant du comportement habituel, indiquant potentiellement :

l’utilisation d’identifiants compromis,
des tentatives d’accès inhabituelles à des systèmes ou à des données critiques,
des utilisateurs à privilèges dépassant leurs droits d’accès autorisés.

Article 10.2

Détection

Points clés de l’article

Les mécanismes de détection visés au paragraphe 1 permettent des niveaux de contrôle multiples, définissent des seuils d’alerte et des critères pour déclencher et initier des processus de réponse aux incidents liés aux TIC, y compris des mécanismes d’alerte automatique pour le personnel compétent chargé de la réponse aux incidents liés aux TIC.

Recommandation de WALLIX

WALLIX PAM s’intègre aux systèmes de gestion des informations et des événements de sécurité (SIEM), permettant de corréler les événements issus de différentes sources et d’établir plusieurs niveaux de contrôle pour la détection des anomalies.

Notre solution peut être configurée pour générer des alertes basées sur des seuils et critères prédéfinis liés à l’activité à privilèges. Ces alertes peuvent déclencher des flux de travail automatisés de réponse aux incidents et notifier le personnel concerné afin de permettre une investigation rapide et ciblée.

Article 10.3

Détection

Points clés de l’article

Les entités financières consacrent des ressources et des capacités suffisantes pour surveiller l’activité des utilisateurs, l’apparition d’anomalies dans les TIC et les incidents liés aux TIC, en particulier les cyberattaques.

Recommandation de WALLIX

WALLIX PAM fournit une plateforme centralisée pour surveiller toutes les sessions d’utilisateurs à privilèges, offrant ainsi une vue d’ensemble de l’activité des utilisateurs.

En détectant les activités suspectes, le PAM peut aider à identifier les cyberattaques potentielles ou d’autres incidents liés aux technologies de l’information et de la communication (TIC).

Article 11.1

Réponse et récupération

Points clés de l’article

Dans le cadre de la gestion des risques liés aux TIC visée à l’article 6, paragraphe 1, et sur la base des exigences d’identification énoncées à l’article 8, les entités financières mettent en place une politique globale de continuité des activités liées aux TIC, qui peut être adoptée en tant que politique spécifique dédiée, faisant partie intégrante de la politique globale de continuité des activités de l’entité financière.

Recommandation de WALLIX

WALLIX PAM joue un rôle de soutien essentiel dans le cadre de l’article 11 du règlement DORA, en fournissant des outils et des informations permettant de répondre efficacement aux incidents liés aux TIC et d’en accélérer le rétablissement. Un accès à privilèges sécurisé contribue à assurer la continuité des activités, en réduisant les dommages potentiels et en raccourcissant les délais de reprise.

WALLIX PAM s’inscrit ainsi dans l’objectif global de continuité opérationnelle, en sécurisant les accès à privilèges indispensables au maintien des fonctions critiques en cas d’incident.

Business performance monitoring concept, businessman using computer laptop Online survey filling out, digital form checklist, Quality control and accuracy Check, Assessment form, questionnaire.

Article 11.2

Réponse et récupération

Points clés de l’article

Les entités financières mettent en œuvre la politique de continuité des activités liées aux TIC au moyen d’arrangements, de plans, de procédures et de mécanismes dédiés, appropriés et documentés, visant à :

(a) assurer la continuité des fonctions critiques ou importantes de l’entité financière ;
(b) réagir rapidement, de manière appropriée et efficace, et résoudre tous les incidents liés aux TIC de manière à limiter les dommages et à donner la priorité à la reprise des activités et aux actions de rétablissement ;
(c) activer, sans délai, des plans spécifiques qui prévoient des mesures de confinement, des processus et des technologies adaptés à chaque type d’incident lié aux TIC et prévenir d’autres dommages, ainsi que des procédures d’intervention et de rétablissement adaptées, établies conformément à l’article 12 ;
(d) estimer les impacts préliminaires, les dommages et les pertes ;
(e) définir des actions de communication et de gestion de crise garantissant que des informations actualisées sont transmises à l’ensemble du personnel interne concerné et aux parties prenantes externes, conformément à l’article 14, et faire rapport aux autorités compétentes conformément à l’article 19.

Recommandation de WALLIX

WALLIX PAM facilite la gestion des incidents de sécurité grâce à trois points clés :

Réponse rapide : les journaux d’activité permettent d’identifier rapidement la cause des incidents et d’accélérer le rétablissement
Confinement immédiat : désactivation instantanée (temporaire ou définitive) des comptes compromis pour limiter l’impact de l’incident
Évaluation précise : les journaux d’audit aident à mesurer l’étendue des accès non autorisés et des violations de données potentielles

Article 13.1

Apprendre et évoluer

Points clés de l’article

Les entités financières disposent des moyens et du personnel nécessaires pour recueillir des informations sur les vulnérabilités et les cybermenaces, les incidents liés aux TIC, en particulier les cyberattaques, et pour analyser l’impact qu’ils sont susceptibles d’avoir sur leur résilience opérationnelle numérique.

Recommandation de WALLIX

Wallix PAM joue un rôle essentiel dans le cadre de l’article 13 du règlement DORA, en fournissant des données précieuses favorisant l’apprentissage et l’amélioration continue. En analysant les activités et les incidents liés aux accès à privilèges, les entités financières peuvent affiner en permanence leur posture de sécurité et renforcer leur résilience opérationnelle numérique.

Les journaux d’audit peuvent être exploités pour :

Identifier les vulnérabilités potentielles associées aux accès à privilèges,
Détecter les comportements anormaux ou suspects susceptibles d’indiquer des cyberattaques ciblant des comptes à privilèges,
Évaluer l’impact des incidents impliquant la compromission d’identifiants à privilèges.

University Library: Talented Caucasian Girl Sitting at the Desk,

Article 13.2

Apprendre et évoluer

Points clés de l’article

À la suite d’un incident majeur lié aux TIC ayant perturbé leurs activités essentielles, les entités financières réalisent une analyse post-incident afin d’identifier les causes de la perturbation et de déterminer les améliorations à apporter à leurs opérations TIC ou à leur politique de continuité des activités, conformément à l’article 11.

Cette analyse porte notamment sur :
(a) la rapidité de réaction face aux alertes de sécurité et la capacité à déterminer l’impact et la gravité des incidents liés aux TIC ;
(b) la qualité et la rapidité d’exécution des analyses médico-légales, le cas échéant ;
(c) l’efficacité de la remontée des incidents au sein de l’entité financière ;
(d) l’efficacité de la communication, tant interne qu’externe.

Recommandation de WALLIX

Les journaux d’historique du WALLIX PAM sont essentiels pour l’analyse post-incident, notamment en cas d’accès privilégié compromis.

Ils permettent d’identifier :

L’utilisation des identifiants compromis et leur impact sur les activités critiques
Les failles des contrôles d’accès à privilèges ayant contribué à l’incident

Article 13.7

Apprendre et évoluer

Points clés de l’article

Les entités financières, autres que les microentreprises, suivent en permanence les évolutions technologiques pertinentes, en vue également de comprendre l’impact possible du déploiement de ces nouvelles technologies sur les exigences de sécurité des TIC et la résilience opérationnelle numérique. Elles se tiennent informées des derniers processus de gestion des risques liés aux TIC, afin de lutter efficacement contre les formes actuelles ou nouvelles de cyber-attaques.

Recommandation de WALLIX

Les solutions d’accès à privilège telle que WALLIX PAM évoluent continuellement pour contrer les menaces émergentes.

Les avantages clés sont essentiellement :

Veille proactive : accès à l’expertise des fournisseurs et aux flux de renseignements sur les menaces ciblant les accès à privilèges,
Intégration optimale : compatibilité avec les cadres de sécurité et les meilleures pratiques du secteur
Conformité assurée : une solution PAM robuste et actualisée garantit l’alignement des contrôles d’accès avec l’évolution de la gestion des risques et des exigences réglementaires

Article 15

Poursuite de l’harmonisation des outils, méthodes, processus et politiques de gestion des risques liés aux TIC

Points clés de l’article

Les Autorités Européennes de Surveillance (AES) élaborent, par l’intermédiaire du Comité Mixte et en consultation avec l’Agence de l’Union Européenne pour la Cybersécurité (ENISA), des projets communs de Normes Techniques Réglementaires (NTR) afin de :

(a) Préciser les éléments à inclure dans les politiques, procédures, protocoles et outils de sécurité des Technologies de l’Information et de la Communication (TIC) mentionnés à l’article 9, paragraphe 2, en vue de :

garantir la sécurité des réseaux et des systèmes d’information ;
offrir des garanties adéquates contre les intrusions et l’utilisation abusive des données ;
préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données (y compris au moyen de techniques cryptographiques) ;
assurer une transmission exacte et rapide des données, sans perturbations majeures ni retards injustifiés.

(b) Développer les éléments complémentaires des contrôles d’accès et des droits de gestion visés à l’article 9, paragraphe 4, point c), ainsi que de la politique des ressources humaines associée, notamment en :

précisant les droits d’accès selon leur nature ;
définissant les procédures d’octroi, de révision et de révocation de ces droits ;
assurant une surveillance proactive des comportements anormaux liés aux risques TIC, à l’aide d’indicateurs pertinents (ex. : schémas d’utilisation du réseau, horaires atypiques, activité informatique inhabituelle, connexion de dispositifs inconnus).

Recommandation de WALLIX

WALLIX PAM répond directement aux exigences anticipées des normes DORA (RTS) :

Contrôles d’authentification et d’accès :

- - Authentification forte : WALLIX PAM intègre l’authentification multifacteur (MFA) et d’autres méthodes d’authentification robustes, conformément aux exigences d’accès à privilèges,
  - Principe du moindre privilège : contrôle granulaire garantissant que chaque utilisateur dispose uniquement des droits strictement nécessaires à ses fonctions,
  - Accès « Juste-à-temps » (JIT) : provisionnement temporaire des privilèges uniquement pour la durée ou la tâche requise, avec enregistrement et surveillance des sessions.

Sécurité et protection des données :

- - Chiffrement : WALLIX PAM s’intègre aux solutions de chiffrement existantes pour sécuriser l’accès aux données sensibles,
  - Gestion fine des autorisations : contrôle précis des systèmes, données et actions accessibles aux utilisateurs à privilèges.

Surveillance et détection :

- - Monitoring continu : audit et enregistrement complet de toutes les activités d’accès à privilèges,
  - Détection d’anomalies : identification automatique des comportements suspects et écarts par rapport aux schémas normaux, avec alertes immédiates aux équipes de sécurité.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Durée	Description
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Durée	Description
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

DORA simplifiée

Gouvernance
& organisation

Gouvernance
& organisation

Cadre de gestion des risques liés aux TIC

Cadre de gestion des risques liés aux TIC

Cadre de gestion des risques liés aux TIC

Cadre de gestion des risques liés aux TIC

Cadre de gestion des risques liés aux TIC

Cadre de gestion des risques liés aux TIC

Cadre de gestion des risques liés aux TIC

Systèmes, protocoles et outils TIC

Identification

Identification

Identification

Identification

Identification

Protection et prévention

Protection et prévention

Protection et prévention

Protection et prévention

Détection

Détection

Détection

Réponse et récupération

Réponse et récupération

Apprendre et évoluer

Apprendre et évoluer

Apprendre et évoluer

Poursuite de l’harmonisation des outils, méthodes, processus et politiques de gestion des risques liés aux TIC

Vous souhaitez obtenir davantage de recommandations sur DORA ? Contactez-nous !

PRODUITS

RESSOURCES

SUPPORT

À PROPOS

SUIVEZ-NOUS

DORA simplifiée

Gouvernance & organisation

Gouvernance & organisation

Cadre de gestion des risques liés aux TIC

Cadre de gestion des risques liés aux TIC

Cadre de gestion des risques liés aux TIC

Cadre de gestion des risques liés aux TIC

Cadre de gestion des risques liés aux TIC

Cadre de gestion des risques liés aux TIC

Cadre de gestion des risques liés aux TIC

Systèmes, protocoles et outils TIC

Identification

Identification

Identification

Identification

Identification

Protection et prévention

Protection et prévention

Protection et prévention

Protection et prévention

Détection

Détection

Détection

Réponse et récupération

Réponse et récupération

Apprendre et évoluer

Apprendre et évoluer

Apprendre et évoluer

Poursuite de l’harmonisation des outils, méthodes, processus et politiques de gestion des risques liés aux TIC

Vous souhaitez obtenir davantage de recommandations sur DORA ? Contactez-nous !

PRODUITS

RESSOURCES

SUPPORT

À PROPOS

SUIVEZ-NOUS

Gouvernance
& organisation

Gouvernance
& organisation