Skip to content
Se préparer à l'échéance de 2025 de la loi DORA

Ce blog a été publié pour la première fois en 2025 et a été mis à jour.

L'adoption par l'Union européenne de la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA) a marqué un tournant fondamental dans la manière dont les institutions financières doivent aborder la cybersécurité, la gestion des risques et la continuité opérationnelle. Pour la première fois, les régulateurs ne se sont pas contentés de mentionner la sécurité des identités en passant, ils l'ont directement intégrée dans le tissu de la conformité.

Cette évolution reconnaît une réalité que de nombreux professionnels de la sécurité connaissent depuis des années : l'identité est le fondement de la sécurité numérique et le pivot de la résilience opérationnelle. Voyons ce qui a changé, l'impact que la loi DORA aura sur la sécurité des identités, les défis auxquels les institutions financières sont confrontées et la manière dont les RSSI doivent se préparer pour s'assurer que leurs organisations répondent aux exigences de la loi DORA d'ici la date butoir de 2025.

La sécurité de l'identité n'est plus l'apanage des services informatiques

En vertu de la loi DORA, chaque opération numérique au sein d'une institution financière - des paiements à l'accueil des clients en passant par les systèmes de négociation - doit être sécurisée, résiliente et disponible en permanence. Cela place la sécurité de l'identité au premier plan. En effet, si vous ne pouvez pas vérifier qui accède à quoi, quand et d'où, votre stratégie d'identité s'effondre.

Dans la nouvelle réalité réglementaire de DORA, l'identité n'est plus une fonction informatique d'arrière-guichet. Il s'agit désormais d'un impératif stratégique qui relève à la fois des responsables des risques, des responsables de la conformité et des dirigeants d'entreprise.

L'impact de DORA sur la sécurité de l'identité

Plusieurs articles du DORA exigent, directement ou implicitement, de solides capacités de gestion des identités et des accès (IAM). Par exemple :

  • Contrôle d'accès et gouvernance: Le DORA impose aux institutions de gérer les droits d'accès des utilisateurs en temps réel et d'effectuer des contrôles d'accès réguliers afin d'éviter les usurpations de privilèges et les accès non autorisés.
  • Exigences en matière d'authentification: Les méthodes d'authentification forte, telles que l'authentification multifactorielle (AMF), sont censées protéger les systèmes contre les accès non autorisés.
  • Continuité opérationnelle: Les institutions doivent veiller à ce que les fonctions essentielles restent disponibles en cas d'incidents, de pannes ou de perturbations informatiques. Cela inclut le maintien des services d'identité sous la contrainte.
  • Surveillance et détection des anomalies: Les organisations doivent détecter les cyberincidents, y répondre et s'en remettre rapidement. Les anomalies liées à l'identité, telles que les schémas d'accès inhabituels, sont des indicateurs cruciaux.

Ces exigences soulignent la nécessité d'un programme de sécurité de l'identité moderne et conscient des risques.

L'année 2025 marque le passage de la conformité à l'étape de l'application, ce qui signifie que les organisations qui ne se conforment pas à la loi DORA s'exposent à des amendes de 2% du chiffre d'affaires mondial moyen ou de 1% du chiffre d'affaires journalier moyen, auxquelles s'ajoutent des amendes journalières imposées aux organisations non conformes jusqu'à ce qu'elles parviennent à se conformer à la loi. Les enjeux sont désormais considérables.

Défis en matière d'identité auxquels sont confrontées les institutions financières

Malgré des investissements accrus en matière de sécurité, de nombreuses institutions financières sont encore confrontées à des lacunes liées à l'identité dans leurs fonctions opérationnelles et de sécurité, notamment :

  • Anciens systèmes IAM qui manquent d'adaptabilité et de visibilité
  • Outils d'identité cloisonnés dans des environnements sur site et en nuage
  • Méthodes d'authentification faibles qui sont vulnérables à l'hameçonnage
  • Processus de gouvernance manuels qui rendent les rapports de conformité lents et sujets aux erreurs

Ces défis exposent les organisations, non seulement aux attaquants, mais aussi à la surveillance réglementaire et aux amendes de conformité.

Ce que cela signifie pour les RSSI

Les RSSI du secteur financier doivent prendre l'initiative d'aligner la stratégie d'identité sur DORA. Cela signifie que :

  • Adopter accès fondé sur le risque des modèles qui ajustent les contrôles en fonction du contexte et du comportement
  • Garantir continuité des activités avec basculement hybride pour l'authentification et l'accès
  • Renforcement gouvernance avec un provisionnement, des révisions et une certification d'accès automatisés
  • Embrasser authentification sans mot de passe éliminer les vecteurs d'attaque courants
Scénarios de mise en œuvre de DORA : exemples concrets

Le libellé réglementaire de la directive DORA est clair, mais sa mise en œuvre varie en fonction de la taille, de la structure et de la situation de départ de chaque organisation. Les scénarios suivants illustrent comment des organisations du secteur des services financiers aux profils variés abordent concrètement la mise en conformité avec la directive DORA.

Scénario n° 1 : Une grande banque européenne se prépare à la mise en œuvre de la directive DORA

Défi Une grande banque de détail de l'UE, présente dans douze pays, est confrontée à un problème courant : son infrastructure d'identité s'est développée au fil de décennies d'acquisitions, ce qui l'a laissée avec sept systèmes IAM distincts, des politiques d'authentification multifactorielle (MFA) incohérentes d'une unité opérationnelle à l'autre, et des cycles de révision des droits d'accès pouvant prendre jusqu'à trente jours. Au regard des exigences de l’article 9 du règlement DORA en matière de contrôle d’accès et de gouvernance continue, cette fragmentation constitue à la fois un manquement à la conformité et un risque opérationnel.

Exigences DORA applicables

  • Article 9 : Cadre de gestion des risques liés aux TIC, contrôle d'accès et application du principe du privilège minimal
  • Article 10 : Détection des activités anormales et des incidents liés aux TIC
  • Article 17 : Processus de gestion des incidents liés aux TIC

Étapes de mise en œuvre

  1. Regrouper les systèmes d'identité au sein d'une plateforme unifiée (RSA ID Plus) prenant en charge les environnements cloud, sur site et hybrides dans toutes les filiales.
  2. Déployer une authentification multifactorielle (MFA) résistante au phishing (Série RSA iShield Key 2) pour tous les comptes privilégiés et administratifs dans un délai de quatre-vingt-dix jours.
  3. Automatisez les processus de certification d'accès et de provisionnement à l'aide de Gouvernance et cycle de vie de l'ASR, remplaçant ainsi les vérifications manuelles effectuées à l'aide de tableurs.
  4. Activer RSA Risk AI pour l'analyse comportementale continue et la détection d'anomalies en temps réel.
  5. Mettre en place une piste d'audit centralisée pour la gestion des identités et des accès (IAM) qui alimente directement les tableaux de bord de reporting de conformité DORA.

Indicateurs de réussite

  • Le cycle d'examen des demandes d'accès a été ramené de trente jours à trois jours
  • 100% de comptes privilégiés ont été enregistrés dans le système d'authentification multifactorielle (MFA) résistant au phishing dans les soixante jours suivant le déploiement de la plateforme
  • Rapports de certification d'accès prêts pour l'audit, générés automatiquement tous les trimestres
  • Aucun incident lié à l'authentification n'a été signalé lors de la première inspection réglementaire menée dans le cadre de la DORA

Leçon clé La consolidation n'est pas seulement un projet de mise en conformité, c'est un projet de résilience. Une plateforme IAM unifiée élimine les angles morts qui existent aux jonctions entre des systèmes déconnectés, là où les attaquants cherchent précisément à exploiter les failles.

Scénario n° 2 : Entreprise de services financiers de taille moyenne gérant une infrastructure hybride

Défi Des systèmes de trading centraux sur site, des applications destinées aux clients hébergées sur Azure et un ensemble d’outils SaaS utilisés dans l’ensemble de l’entreprise. En cas de panne du cloud ou de perturbation du réseau sur site, des échecs d’authentification ont par le passé empêché le personnel d’accéder à des systèmes critiques pendant des heures, ce qui constituait une violation directe des exigences de continuité opérationnelle de la loi DORA prévues à l’article 11.

Exigences DORA applicables

  • Article 11 : Continuité des activités informatiques et reprise après sinistre
  • Article 9 : Contrôles d'accès au réseau et aux systèmes
  • Article 30 : Exigences contractuelles applicables aux prestataires de services tiers dans le domaine des TIC

Étapes de mise en œuvre

  1. Déployer RSA ID Plus Hybrid Failover (basculement hybride) pour garantir la disponibilité des services d'authentification en cas de défaillance des composants cloud ou sur site, grâce à un basculement automatique entre les environnements en moins de 60 secondes.
  2. Mettre en œuvre Serrure mobile RSA pour imposer des contrôles de l'état des appareils aux membres du personnel accédant aux systèmes de négociation depuis des appareils mobiles ou non gérés.
  3. Recenser toutes les dépendances en matière d'authentification par des tiers dans le domaine des TIC et vérifier la conformité contractuelle avec la directive DORA, conformément à l'article 30.
  4. Réaliser chaque trimestre des simulations de reprise après sinistre incluant des scénarios de défaillance du système d'authentification, et consigner les objectifs de délai de reprise (RTO) et les objectifs de point de reprise (RPO) en vue d'un examen réglementaire.

Indicateurs de réussite

  • La disponibilité de l'authentification en cas de pannes d'infrastructure est passée de 67% à 99,9%
  • Le délai de restauration des services d'identité (RTO) est passé de 4 heures à moins de 3 minutes
  • Tous les contrats conclus avec des tiers dans le domaine des TIC ont été mis à jour afin d'y inclure les dispositions relatives à la résilience imposées par la DORA, dans le délai de préparation de 12 mois
  • Les résultats de la simulation de remise en état ont été consignés et sont prêts à être examinés par l'autorité compétente

Leçon clé La continuité opérationnelle dans le cadre de la norme DORA ne se limite pas à la prévention des attaques : elle consiste également à maintenir le fonctionnement du système pendant ces attaques. Le basculement hybride pour l'authentification est tout aussi essentiel à la conformité à la norme DORA que l'authentification forte elle-même.

Scénario n° 3 : une société de gestion d'actifs face à un incident cybernétique dans le cadre de la directive DORA

Défi Un gestionnaire d’actifs basé dans l’UE, gérant 40 milliards d’euros d’actifs, est victime d’une attaque par usurpation d’identifiants visant sa plateforme d’administration de fonds. Une campagne de phishing de type “ adversary-in-the-middle ” compromet un compte de service, permettant ainsi un déplacement latéral au sein du réseau. Conformément au cadre de classification et de notification des incidents prévu par la directive DORA, l’organisation doit notifier l’autorité compétente dans les 24 heures suivant la classification de l’incident comme « majeur », et fournir un rapport intermédiaire dans les 72 heures ainsi qu’un rapport final dans un délai d’un mois.

Exigences DORA applicables

  • Article 17 : Gestion, classification et signalement des incidents liés aux TIC
  • Article 19 : Obligations et délais en matière de signalement des incidents majeurs
  • Article 9 : Authentification et contrôles d'accès devant rester opérationnels pendant l'incident

Chronologie des événements et mesures prises

  • Heure 0: Le module RSA Risk AI détecte un comportement d'authentification anormal : un compte de service se connectant depuis une localisation géographique atypique et accédant à des systèmes en dehors de son schéma d'accès habituel. Une suspension automatique de l'accès est déclenchée dans l'attente d'une enquête.
  • 2e heure: L'équipe de sécurité confirme la compromission. Le compte est désactivé via RSA ID Plus en moins de 60 secondes. La propagation latérale est maîtrisée.
  • 6e heure: La classification interne confirme que cet incident répond aux critères définissant un “ incident majeur ” selon la DORA, compte tenu de son impact sur la disponibilité des systèmes essentiels.
  • 18e heure: Notification initiale transmise à l'autorité compétente — dans le délai de 24 heures — précisant le type d'incident, les motifs de sa classification et les mesures immédiates de confinement mises en œuvre.
  • 60e heure: Rapport intermédiaire remis — dans le délai imparti de 72 heures — comprenant la chronologie complète de l'incident, l'analyse des causes profondes (authentification multifactorielle (MFA) susceptible d'être piratée sur le compte compromis), les systèmes affectés et les mesures correctives.
  • Semaine 4: Le rapport final d'incident a été établi ; il comprend l'analyse post-incident, les améliorations apportées aux mesures de contrôle (déploiement d'une authentification multifactorielle (MFA) résistante au phishing sur tous les comptes de service) et les modifications apportées aux seuils de surveillance.

Indicateurs de réussite

  • Incident maîtrisé dans les deux heures suivant sa détection
  • Les trois délais de déclaration DORA ont été respectés : 24 heures pour la déclaration initiale, 72 heures pour la déclaration intermédiaire et 1 mois pour la déclaration finale
  • Les services d'administration des fonds n'ont subi aucune interruption pendant l'incident grâce au basculement de l'authentification
  • Mesures correctives immédiates : 1 001 comptes de service (TP14T) ont été migrés vers un système d'authentification résistant au phishing dans les 30 jours suivant l'incident

Leçon clé Les exigences de DORA en matière de signalement des incidents récompensent les organisations qui ont déjà investi dans des systèmes de détection et de confinement rapides. RSA Risk AI L'analyse comportementale a permis de réduire le délai entre le début de l'attaque et sa maîtrise, le faisant passer d'une moyenne potentielle de 254 jours (la norme du secteur en cas de violation des identifiants) à moins de 2 heures, transformant ainsi le discours en matière de conformité : “ nous avons subi une violation ” est devenu “ nous avons détecté, maîtrisé et signalé l'incident dans le cadre de la directive DORA ”.”

L'approche de RSA en matière de sécurité de l'identité conforme à la loi DORA

Chez RSA, nous aidons les institutions financières à opérationnaliser l'identité en tant que pilier de la résilience. Notre plateforme d'identité axée sur la sécurité, RSA ID Plus, est conçu pour les environnements réglementés tels que la finance.

Ensemble, ces solutions fournissent les contrôles nécessaires pour s'aligner sur DORA - et renforcer votre organisation au-delà de la conformité.

DORA marque un tournant pour l'identité dans les services financiers. Elle fait passer la gestion des identités d'une préoccupation technique à un mandat réglementaire - et à un catalyseur stratégique de la résilience opérationnelle.

Les institutions financières qui adoptent des stratégies de sécurité axées sur l'identité ne se contenteront pas de répondre aux exigences de la loi DORA, elles bénéficieront également d'un avantage concurrentiel en matière de sécurité, d'agilité et de confiance des clients. Il est temps de repenser votre position en matière d'identité avant que l'application de la loi DORA ne commence.

Foire aux questions sur la conformité à la directive DORA
Quelle est la date limite exacte à laquelle les établissements financiers doivent se conformer à la directive DORA ?

La loi sur la résilience opérationnelle numérique (DORA) est entrée en vigueur le 16 janvier 2023 et est devenue pleinement applicable le 17 janvier 2025 — date à partir de laquelle toutes les entités financières concernées et tous les prestataires tiers de services TIC essentiels devaient se mettre en conformité, et à laquelle les pouvoirs d’exécution ont été activés dans l’ensemble des 27 États membres de l’UE. Il n’y a pas de délai de grâce pour les établissements qui ne se sont pas encore conformés aux exigences ; les autorités compétentes peuvent ouvrir des enquêtes et infliger des sanctions à compter de cette date.

Pour les établissements qui s’efforcent encore d’atteindre la conformité totale, la priorité consiste à démontrer qu’ils disposent d’un programme de conformité documenté et en constante évolution, en particulier pour les infrastructures d’identité héritées complexes qui ne peuvent être modernisées du jour au lendemain.

Quelles sont les sanctions spécifiques prévues en cas de non-respect de la loi DORA ?

La loi DORA met en place un régime de sanctions à deux niveaux. Entités financières s'exposent à des amendes pouvant aller jusqu'à 2% du chiffre d'affaires annuel total à l'échelle mondiale ou 1% du chiffre d'affaires quotidien moyen à l'échelle mondiale—selon ce qui s’applique d’après l’évaluation de l’autorité compétente—le montant journalier étant appliqué à titre d’amende continue jusqu’à ce que la mise en conformité soit effective. Les cadres supérieurs individuels jugés responsables d’infractions s’exposent à des amendes personnelles pouvant aller jusqu’à €1,000,000.

Fournisseurs tiers essentiels de technologies de l'information et de la communication (CTPP) désignées par les autorités européennes de surveillance sont exposées à des risques plus importants : jusqu’à €5,000,000 par infraction, avec des amendes pouvant aller jusqu'à €500,000, auxquelles s'ajoutent des pénalités journalières pouvant aller jusqu'à 1% du chiffre d'affaires quotidien moyen mondial pour une durée pouvant aller jusqu'à six mois. Outre les sanctions financières, les autorités compétentes peuvent rendre publiques les infractions à la loi DORA, ce qui engendre un risque pour la réputation qui, pour les établissements financiers réglementés, peut dépasser le coût financier de l'amende elle-même.

Quels sont les établissements financiers soumis aux exigences de la loi DORA ?

La directive DORA s'applique à la quasi-totalité du secteur financier de l'UE. Les entités concernées comprennent les établissements de crédit, les établissements de paiement et de monnaie électronique, les entreprises d’investissement, les prestataires de services liés aux crypto-actifs (CASP), les dépositaires centraux de titres, les contreparties centrales, les plateformes de négociation, les gestionnaires de fonds d’investissement alternatifs, les entreprises d’assurance et de réassurance, les agences de notation de crédit, les cabinets d’audit d’entités d’intérêt public et les prestataires de services de financement participatif.

Il est important de noter que le champ d’application de la DORA s’étend au-delà des institutions dont le siège social est situé dans l’UE. Les entités financières non européennes opérant au sein de l’UE, ainsi que les prestataires de services TIC tiers — y compris les fournisseurs de services cloud — qui fournissent des services à des entités financières relevant du champ d’application de la DORA, sont également soumis aux exigences de la DORA en vertu des dispositions contractuelles de l’article 30. Les entreprises de services financiers basées aux États-Unis qui exercent des activités dans l’UE ou qui ont des clients basés dans l’UE ne doivent pas considérer qu’elles ne relèvent pas de son champ d’application.

Quelles mesures de sécurité relatives à l'identité la loi DORA impose-t-elle précisément ?

La directive DORA n'impose pas de technologies spécifiques, mais ses exigences en matière de gestion des risques et de contrôle d'accès, énoncées aux articles 9 et 10, se traduisent directement par des capacités obligatoires en matière de gestion des identités et des accès (IAM). Les établissements financiers doivent mettre en œuvre les mesures suivantes :

  • Authentification forte Pour tous les systèmes : la mise en place de politiques et de protocoles relatifs à l'authentification multifactorielle (MFA) est expressément requise, et il est recommandé d'utiliser des méthodes résistantes au phishing pour les accès privilégiés et à haut risque.
  • Contrôle d'accès basé sur le principe du privilège minimal : Les utilisateurs et les systèmes ne doivent disposer que des droits d'accès nécessaires à l'exercice de leurs fonctions ; ces droits doivent faire l'objet d'un contrôle continu et être ajustés en temps réel.
  • Gouvernance de l'accès : Des contrôles réguliers et documentés des droits d'accès, ainsi que des cycles de certification, sont nécessaires, accompagnés d'un processus automatisé d'attribution et de retrait des droits d'accès afin d'éviter toute dérive des privilèges.
  • Détection des anomalies : La surveillance continue des processus d'authentification et des schémas d'accès permet de détecter toute activité inhabituelle pouvant indiquer une intrusion et d'y réagir.
  • Continuité opérationnelle des services d'identité : L'infrastructure d'authentification doit rester disponible en cas de cyberincidents et de pannes, et des objectifs de reprise doivent être définis et documentés.
  • Gestion de la piste d'audit : Des journaux complets et inviolables de tous les événements liés à l'identité et à l'accès doivent être disponibles pour les contrôles réglementaires et les enquêtes sur les incidents.

RSA ID Plus pour les services financiers correspond directement à chacune de ces exigences.

En quoi la directive DORA diffère-t-elle d'autres réglementations financières de l'UE telles que la directive PSD2 ?

La directive sur les services de paiement 2 (PSD2) mettait spécifiquement l’accent sur la sécurisation des paiements numériques et imposait aux prestataires de services de paiement de signaler les incidents majeurs aux autorités de régulation dans les deux heures suivant leur détection. La directive DORA remplace les règles de la PSD2 en matière de signalement des incidents pour toutes les entités soumises aux deux cadres réglementaires : l’Autorité bancaire européenne a officiellement abrogé ses lignes directrices relatives au signalement des incidents majeurs au titre de la PSD2 à compter du 17 janvier 2025, pour les remplacer par le cadre harmonisé de la directive DORA.

La principale différence réside dans le champ d’application : la PSD2 portait sur la sécurité des paiements ; la DORA couvre l’ensemble des risques liés aux technologies de l’information et de la communication (TIC) de toutes les entités financières, pour tous les incidents opérationnels et de sécurité — et pas uniquement ceux liés aux paiements. Le calendrier de signalement des incidents prévu par la DORA est également plus structuré : 24 heures pour la notification initiale, 72 heures pour un rapport intermédiaire, et un mois pour un rapport final. La directive DORA instaure également un pouvoir de contrôle direct sur les tiers essentiels du secteur des TIC, un mécanisme de responsabilité qui n'a pas d'équivalent dans la directive PSD2.

Que se passe-t-il si un établissement financier est victime d'un cyberincident au sens de la loi DORA ?

En vertu des articles 17 et 19 de la loi DORA, les institutions doivent suivre une procédure bien définie en matière de réponse aux incidents et de signalement. Tout d’abord, l’incident doit être détecté, consigné et classé — la loi DORA définit les critères permettant de déterminer ce qui constitue un incident “ majeur ” en fonction de son impact sur la disponibilité du service, du nombre de clients touchés, de son étendue géographique et de son impact économique. Une fois l’incident classé comme majeur, le délai de signalement commence à courir :

  1. Notification initiale à l'autorité compétente dans un délai de 24 heures de classification en tant qu'incident majeur
  2. Rapport intermédiaire à l'intérieur 72 heures avec un compte rendu détaillé de l'incident, des mesures de maîtrise mises en œuvre et une première analyse des causes profondes
  3. Rapport final à l'intérieur un mois du rapport intermédiaire, comprenant une analyse complète de l'incident, les mesures correctives définitives et les enseignements tirés

Tout au long de l'incident, les services d'identification et d'authentification doivent rester opérationnels. La directive DORA exige explicitement que les plans de continuité des activités couvrent l'infrastructure TIC, y compris les systèmes d'accès et d'authentification : les institutions ne peuvent pas invoquer un incident en cours pour justifier l'indisponibilité des systèmes d'authentification.

Les solutions d'identité basées sur le cloud peuvent-elles répondre aux exigences de la DORA ?

Oui, à condition que la solution basée sur le cloud et ses conditions contractuelles répondent aux exigences de la DORA relatives aux prestataires informatiques tiers, telles que définies à l’article 30. Les fournisseurs d’identité dans le cloud doivent offrir des garanties contractuelles concernant la disponibilité du service, les délais de notification des incidents, les droits d’audit et la portabilité des données. Les institutions qui s’appuient exclusivement sur un service d’authentification dans le cloud sans capacité de basculement hybride pourraient avoir des difficultés à démontrer la continuité opérationnelle exigée par le règlement DORA.

RSA ID Plus est spécialement conçu pour relever ce défi : il prend en charge l'authentification dans le cloud, en mode hybride et sur site à partir d'une seule et même plateforme, avec basculement hybride garantir que les services d’authentification restent disponibles en cas d’interruption de la connectivité au cloud. Cela permet de bénéficier des avantages de la gestion du cloud en matière de conformité — administration centralisée, mises à jour automatiques, évolutivité — sans s’exposer au risque de « point de défaillance unique » sur lequel les autorités de régulation se penchent avec attention.

Quels documents faut-il fournir pour prouver la conformité à la loi DORA ?

La loi DORA impose aux établissements financiers de conserver les documents suivants et d'être en mesure de les présenter sur simple demande :

  • Documentation relative au cadre de gestion des risques liés aux TIC—des politiques, procédures et contrôles alignés sur les exigences de la DORA, examinés et approuvés par l'organe de direction au moins une fois par an
  • Consulter les historiques d'accès— des cycles de certification d'accès documentés et horodatés, démontrant l'application du principe du « privilège minimal » ainsi que la suppression en temps opportun des droits d'accès des collaborateurs ayant quitté l'entreprise et des rôles ayant changé
  • Registres des incidents—un registre complet de tous les incidents liés aux TIC, avec leur classification, leur chronologie, les mesures de maîtrise mises en œuvre et leurs résultats
  • Rapports d'incidents majeurs— toutes les notifications enregistrées (initiales, intermédiaires, finales) concernant tout incident répondant aux critères de classification des incidents majeurs de la DORA
  • Contrats informatiques conclus avec des tiers— des accords conformes à l'article 30 conclus avec tous les prestataires de services TIC, y compris les fournisseurs de solutions d'authentification et de gestion des identités dans le cloud
  • Plans de continuité des activités et de reprise après sinistre—des plans documentés et testés portant sur la disponibilité du système d'authentification, accompagnés des résultats enregistrés des simulations concernant les objectifs RTO et RPO

Gouvernance et cycle de vie de l'ASR automatise la création et la mise à jour des registres de contrôle des accès et des rapports de conformité, ce qui permet de réduire le temps nécessaire à la production d'une documentation prête pour l'audit, passant de plusieurs semaines à quelques heures.

Vous pourriez également être intéressé par...

Demander une démonstration

Obtenir une démonstration