Cyera : Votre guide pour simplifier la conformité DORA

Janvier 2025 marque un moment clé dans l'évolution de la sécurité de l'information. À partir du 17 janvier 2025, le Digital Operational Resilience Act (DORA) de l'Union européenne entre officiellement en vigueur. Ce règlement historique vise à renforcer la sécurité informatique et la résilience opérationnelle des institutions financières — y compris les banques, les sociétés d'investissement, les prestataires de services de paiement et les tiers critiques — à travers l'UE.

Pour de nombreuses organisations, DORA représente un changement majeur, imposant des cadres solides pour la gestion des risques, la réponse aux incidents, la gouvernance et la résilience informatique. Satisfaire à ces exigences strictes peut sembler intimidant, mais avec les bons outils, l’alignement devient beaucoup plus facile à gérer.

Chez Cyera, nous nous engageons à aider nos clients à travers la région EMEA à répondre facilement aux exigences fondamentales de conformité et de résilience de DORA.

Connaissez vos données

DORA commence par une base essentielle : comprendre et protéger vos données. Les institutions financières doivent identifier et sécuriser leurs actifs les plus sensibles.

Avec Cyera, nos clients peuvent automatiser la découverte et la classification des données sensibles et réglementées à travers leurs environnements SaaS, IaaS, DBaaS et sur site. Grâce à une précision de 95 % des plateformes, nous les aidons à s'assurer qu'ils savent quelles données critiques existent, où elles se trouvent, comment elles sont utilisées et à quels risques elles sont actuellement exposées.

Gérez de manière proactive les risques liés aux données

DORA impose une gestion proactive des risques liés aux données, exigeant que les institutions réalisent des évaluations régulières des risques et traitent les vulnérabilités.

Le service d’évaluation des risques liés aux données de Cyera évalue les capacités actuelles de sécurité des données du client par rapport à 31 cadres de référence reconnus dans l’industrie. L’équipe du service collabore ensuite avec les clients pour déterminer leur surface d’attaque liée aux données et développer des méthodes pour réduire les risques. Dans le cadre de cette prestation, le client reçoit des recommandations et des analyses exploitables concernant les mauvaises configurations actuelles des données, la dérive des données existante, les problèmes de conformité et les accès trop permissifs accordés aux employés, aux tiers et même aux copilotes IA comme Microsoft Teams.

Comme Cyera analyse en continu les données et surveille activement les événements liés aux données, le client bénéficie d'un support pour la surveillance des risques en temps réel afin de garantir le respect continu de la norme DORA, et non seulement à un moment donné.

Détection des incidents de données et accélération du temps de réponse

Il n'est pas surprenant que la détection, la gestion et le signalement des incidents soient des composantes essentielles de la conformité DORA.

Cyera est conçue pour fournir des informations critiques en matière d’intelligence des données, particulièrement utiles en cas d’incident actif impliquant des données. Par exemple, la plateforme permet une détection précoce des événements en surveillant l’utilisation des données, les identités ayant accès, ainsi que le contexte dans lequel l’utilisateur accède aux données (c’est-à-dire comportement anormal, utilisateur fantôme accédant aux données, MFA désactivée, etc.) afin d’identifier tout comportement suspect à la source. La plateforme agit comme un cerveau d’intelligence des données et transmet des signaux à d’autres solutions de sécurité telles que les SIEM (par exemple Splunk) pour fournir des alertes enrichies de contexte et accélérer les réponses nécessaires. La plateforme conserve un journal d’audit des événements de données pertinents pour faciliter la génération de rapports, rendant ainsi la conformité aux exigences de réponse aux incidents de DORA plus aisée.

Le besoin de gouvernance des données et de préparation à l'audit DORA

Une gouvernance efficace est au cœur de DORA. Les institutions doivent démontrer leur conformité à travers des cadres de gouvernance, des examens périodiques et, bien sûr, des rapports réglementaires.

Avec Cyera, les clients peuvent consulter des tableaux de bord et des analyses détaillées adaptées aux normes réglementaires. Ces données sont essentielles pour faciliter les audits continus sur l’utilisation des données concernées, leur posture de sécurité et les actions correctives à entreprendre. Cyera gère cela automatiquement, contrairement à une documentation manuelle requise par le client, allégeant ainsi la charge de conformité.

Gestion des risques liés aux données des tiers

DORA a clairement indiqué que la gestion des risques liés aux tiers doit devenir une priorité renforcée pour les institutions financières opérant depuis l’UE. Ces organisations doivent évaluer et surveiller les risques posés par les prestataires de services tiers, s’assurer que ces prestataires n’ont accès aux données que strictement selon le principe du besoin d’en connaître, veiller à ce que ces parties disposent de capacités de réponse aux incidents intégrées aux propres plans de réponse aux incidents de l’institution, et que ces parties respectent les principes de minimisation des données tout au long du cycle de vie des données.

Cyera commence par cartographier tous les actifs de données gérés par des prestataires tiers en identifiant et en catégorisant les données réglementées stockées ou traitées par des tiers afin d’assurer la conformité. Le module Identité de la plateforme analyse quels tiers disposent d’un accès excessif aux données sensibles et avertit le client des potentielles violations impliquant des identités tierces. Cette corrélation entre données et identités permet une remédiation rapide et proactive des problèmes liés aux données. La solution de prévention des pertes de données de Cyera peut exploiter les informations issues de la Classification, suivre la précision des politiques DLP existantes associées à ces données, et utilise l’IA pour recommander des politiques DLP encore plus précises. En cas d’incident impliquant des données, Cyera offre une visibilité sur l’implication des tiers, ce qui aide à ajuster l’ampleur du problème et à faciliter toute collaboration nécessaire entre le client et le tiers concerné. Un autre point important à mentionner est le rôle de Cyera dans l’identification des données redondantes, obsolètes ou triviales (ROT) utilisées par des tiers, contribuant ainsi à garantir que les tiers respectent les politiques de conservation et de suppression des données.

Minimisation des données (données ROT) et gestion du cycle de vie

Dans le cadre de DORA, les institutions sont tenues de protéger l'intégrité et la confidentialité des données tout au long de leur cycle de vie. Et comme vous l'avez peut-être deviné maintenant, Cyera peut vous aider.

Comme mentionné précédemment, Cyera identifie les données ROT. Cela permet non seulement d'assurer le respect des principes de minimisation des données, mais aide également nos clients à réduire les coûts de stockage des données et à diminuer leur exposition aux risques en réduisant leur surface d'attaque potentielle. Après tout, moins de données signifie une surface d'attaque réduite

Quelques considérations clés lors de l'évaluation des plateformes de sécurité des données pour vous aider dans votre conformité DORA

À mesure que l'adoption de DORA progresse au sein des institutions financières de l'UE et qu'elles cherchent à s'adapter à cette nouvelle réglementation, il ne fait aucun doute que plusieurs fournisseurs proposeront leur soutien. Je souhaitais donc vous laisser quelques principes directeurs à garder à l'esprit lors de vos évaluations.

‍Donnez la priorité à une couverture complète : Vos données existent dans des environnements multi-cloud et hybrides. Assurez-vous que les fournisseurs que vous évaluez prennent en charge l’ensemble de vos environnements de données clés et offrent à la fois une grande fidélité et une grande précision dans les analyses de données fournies.

Demandez des informations sur la gestion proactive des risques : Les bonnes analyses de données en temps réel vous permettront de résoudre les problèmes avant qu'ils ne conduisent à des incidents.

Conformité simplifiée : Assurez-vous que la plateforme dispose d’un moyen pour vous aider à automatiser les principaux flux de travail liés à la conformité. Cela réduira les efforts manuels de votre côté et allégera la charge de conformité pour votre équipe.

Ne lésinez pas sur l’évolutivité : L’architecture est essentielle lorsqu’il s’agit des plateformes que vous envisagez. La plateforme doit non seulement pouvoir évoluer pour répondre à vos besoins en matière de données, mais cette évolutivité garantira également que la plateforme pourra s’adapter à mesure que vous grandissez et que vos obligations réglementaires évoluent.

DORA est là pour protéger les données. Ainsi, même si cela entraînera un travail supplémentaire pour les institutions financières de l’UE, c’est une avancée monumentale pour notre secteur. DORA servira de phare pour la résilience financière mondiale – inspirant d’autres pays à travers le monde et menant à davantage de réglementations visant à protéger la ressource la plus précieuse au monde : les données.

Chez Cyera, nous sommes là pour vous aider. Si vous avez besoin de conseils ou de soutien, n'hésitez pas à nous contacter.