DORA (Digital Operational Resilience Act)

Exigence DORA

Solution de Brainframe

Article 5 : Gouvernance et organisation

Cette section décrit les responsabilités de l'organe de direction des entités financières en ce qui concerne la gestion des risques liés aux TIC, y compris l'élaboration de politiques, la définition des rôles et des responsabilités et la mise en place d'accords de gouvernance..

• Choisissez parmi un certain nombre de modèles de politiques fournis par Brainframe et adaptez-les à vos besoins opérationnels.
• Attribuer des rôles et des responsabilités aux employés, y compris à la direction, et garantir leur participation directe en leur demandant d'examiner et d'approuver les documents.
• Fixez une date de révision récurrente pour chaque politique attribuée à un membre de la direction afin de la tenir à jour.
  

Article 6 : Framework de gestion des risques

L'article 6 définit la structure des cadres à mettre en œuvre pour DORA. Ces cadres doivent comprendre des stratégies, des politiques, des procédures, des protocoles TIC et des outils permettant d'atténuer les risques et de protéger les actifs TIC. Le cadre doit être documenté et révisé régulièrement. Il doit comprendre une stratégie de résilience.

• Brainframe aide à créer, stocker et gérer toutes les politiques, procédures et stratégies liées à DORA en un seul endroit, garantissant ainsi la cohérence et la conformité dans l'ensemble de l'organisation.
• Le logiciel permet d'identifier systématiquement les risques liés aux TIC et leur criticité, d'attribuer des contrôles appropriés pour atténuer ces risques et d'assurer l'alignement sur les exigences de DORA.
• Tous les frameworks et stratégies de résilience peuvent être documentés, suivis et régulièrement révisés par le biais de rappels et de flux de travail automatisés.
• Le logiciel facilite l'établissement de rapports complets et maintient des pistes d'audit, ce qui permet de prouver la conformité avec DORA lors d'examens internes ou d'audits externes.

Article 8 : Identification

Les entités financières doivent identifier, classer et documenter correctement les fonctions commerciales des TIC, les actifs informationnels, les rôles et les dépendances afin d'atténuer les risques liés aux TIC, et tenir un inventaire de tous leurs actifs et processus.

• Brainframe fournit un aperçu structuré et complet de tous vos actifs et processus que vous pouvez créer vous-même ou importer à partir d'un gestionnaire de documents existant (SharePoint), Monday.com,...).
• Vous pouvez classer les actifs en fonction de leur importance, configurer les risques auxquels ils sont soumis et relier les processus qui en dépendent.
• Brainframe vous permet de visualiser de manière claire et structurée les dépendances entre vos actifs et vos processus à l'aide d'un système de diagramme automatisé.

Article 9 : Protection et prévention

DORA définit des mesures relatives à l'élaboration et à la documentation de politiques en matière de sécurité de l'information, de gestion de l'infrastructure du réseau, de contrôle d'accès et de mécanismes d'authentification, ainsi que des politiques en matière de correctifs et de mises à jour. Ces politiques doivent être approuvées par la direction.

• Grâce aux modèles de politiques personnalisables de Brainframe, vous pouvez facilement et rapidement créer une politique adaptée à chaque besoin et l'envoyer pour examen et approbation aux parties prenantes concernées.
• Brainframe vous permet de suivre les étapes du cycle de vie de vos politiques, y compris les exigences en matière de correctifs et de mises à jour, afin de garantir que toutes les politiques sont régulièrement révisées et mises à jour pour rester conformes avec DORA.
• Utilisez le module de gestion des risques intégré à Brainframe pour suivre une approche basée sur les risques dans le développement de votre infrastructure réseau.

Article 10 : Détection

DORA doit mettre en place des mécanismes pour détecter rapidement les activités anormales, effectuer des tests réguliers, consacrer des ressources et des capacités suffisantes pour surveiller l'activité des utilisateurs et l'apparition d'anomalies dans les technologies de l'information et de la communication (TIC).

• Brainframe vous permet d'établir un processus de réponse à la détection en fonction du risque lié à l'actif qui déclenche une alarme. Grâce à nos modèles et à notre système de notification, vous pouvez immédiatement alerter les parties prenantes concernées de toute détection qui s'est produite.
• Déterminer les ressources à allouer à la détection de chaque actif selon une approche basée sur les risques grâce au module de gestion des risques de Brainframe.
• Suivez l'état d'un processus de détection et de signalement grâce à une traduction automatique vers un tableau Kanban pour une vue d'ensemble plus claire.

Article 11 : Réponse et récupération

Pour assurer la continuité de leurs opérations, les entités financières doivent mettre en place une politique globale de continuité des activités dans le domaine des TIC, des plans de réponse et de récupération des TIC et des plans de continuité des activités dans le domaine des TIC. Elles doivent réaliser des analyses annuelles de l'impact sur l'environnement et conserver des traces des activités menées pendant les interruptions.

• Utilisez les modèles intégrés de Brainframe pour créer de manière transparente une politique de continuité des activités et des plans de réponse et de reprise, personnalisables en fonction de vos opérations.
• Grâce au gestionnaire de tâches et à la fonction de chronologie, vous pouvez facilement suivre vos tâches de test et de BIA pour vous assurer que vous restez en conformité.
• Gardez une trace de vos activités pendant une interruption à l'aide de l'outil afin de pouvoir notifier les parties prenantes concernées et présenter les preuves requises pour les audits internes ou externes.

Article 12 : Politiques et procédures de sauvegarde, procédures et méthodes de restauration et de récupération

L'article 12 vise à garantir que les systèmes et les données TIC peuvent être restaurés avec un minimum de perturbations et de pertes en cas d'incident, en exigeant des entités financières qu'elles élaborent et documentent des politiques et des procédures de sauvegarde et de restauration, qui doivent être testées régulièrement.

• Utilisez les modèles de plans de reprise après sinistre disponibles et adaptez-les à votre organisation pour établir facilement une politique de sauvegarde et de restauration.
• Suivez l'état actuel de votre processus de récupération grâce à une traduction automatique vers un tableau Kanban pour une vue d'ensemble plus claire.
• Utilisez notre fonction de calendrier pour suivre efficacement vos responsabilités en matière de tests, en veillant à rester informé et préparé pour les processus à venir qui nécessitent des tests.

Article 13 : Apprendre et évoluer

Les entités financières doivent mettre en place des programmes de formation de sensibilisation à la sécurité des TIC pour leur personnel, et elles doivent régulièrement mettre à jour leur cadre de gestion des risques pour rester au fait des nouvelles cybermenaces.

• Brainframe vous permet de créer votre programme de formation de sensibilisation et de l'adapter aux besoins de vos organisations.
• Envoyez des documents de formation directement à votre personnel et à votre direction par l'intermédiaire de l'outil, en rationalisant le processus de distribution et en garantissant un partage efficace des connaissances et le respect des exigences en matière de formation.
• Notifiez votre personnel pour lui demander de suivre une formation et vérifiez s'il l'a suivie dans Brainframe.

Article 14 : Communication

Les entités financières doivent mettre en place des plans de communication de crise pour la divulgation aux clients et, le cas échéant, au public, des incidents majeurs liés aux TIC.

• Créez vos propres plans de communication de crise adaptés aux besoins de votre organisation à l'aide des modèles de Brainframe.
• Faciliter et suivre le processus de divulgation en utilisant Brainframe pour envoyer directement les résultats pertinents aux acteurs externes.

Exigence DORA

Solution de Brainframe

Article 17 : Processus de gestion des incidents liés aux TIC

DORA exige que vous établissiez un processus de gestion des incidents liés aux TIC, y compris la mise en place d'indicateurs d'alerte précoce, de procédures d'identification, de suivi, d'enregistrement et de classification des incidents liés aux TIC, l'attribution de rôles et de responsabilités en cas d'incidents, des plans de communication et de notification, et des procédures de réponse aux incidents liés aux TIC. Les incidents majeurs liés aux TIC doivent être signalés à la direction.

• Brainframe est livré avec des procédures configurables pour vous aider à créer un processus de gestion de vos incidents. Il vous permet d'enregistrer les incidents liés aux TIC dans un outil centralisé afin d'en assurer le suivi.
• Grâce au système de notification, vous pouvez rapidement alerter les parties prenantes concernées des incidents en cours et leur assigner des tâches. Pour les incidents majeurs liés aux TIC, vous pouvez utiliser Brainframe pour tenir les cadres supérieurs au courant.
• Suivez l'état d'avancement de votre processus de gestion des incidents grâce à une traduction automatique vers un tableau Kanban pour une meilleure vue d'ensemble.

Article 18 : Classification des incidents liés aux TIC et des cybermenaces

L'article 18 exige que les institutions financières classent les incidents liés aux TIC sur la base de critères tels que le nombre de clients affectés, la répartition géographique, le montant ou le nombre de transactions affectées, la durée de l'incident et les pertes de données qu'il entraîne.

• Brainframe fournit un modèle d'incident entièrement personnalisable que vous pouvez adapter à votre organisation et pré-remplir avec les valeurs requises par les ASE pour gagner du temps.
• Dès la publication du RTS sur la classification des incidents, vous aurez accès à un modèle adapté aux exigences de DORA en matière de classification des incidents.

Article 19 : Signalement des incidents majeurs liés aux TIC et notification volontaire des cybermenaces importantes

Les entités financières doivent signaler les incidents majeurs liés aux TIC à l'autorité compétente concernée dans un certain délai, qui peut être de quatre heures seulement après la détection de l'incident.

• Brainframe fournit des modèles de rapport d'incident que vous pouvez pré-remplir pour gagner du temps lorsque vous devez signaler un incident majeur.
• Dès la publication du RTS sur les rapports d'incidents, vous aurez accès à un modèle adapté aux exigences de DORA en matière de rapports d'incidents.

Exigence DORA

Solution de Brainframe

Article 24 : Exigences générales pour la réalisation des tests de résilience opérationnelle numérique

Les entités financières doivent établir et maintenir un programme solide et complet de tests de résilience opérationnelle numérique fondé sur le risque, comprenant une série d'évaluations, de tests, de méthodologies et d'outils.

• Créez et adaptez votre programme de test en utilisant les modèles de Brainframe.
• Définir les méthodologies de test en établissant les propriétés de chaque actif en fonction du niveau de risque qui leur est associé.
• Suivez l'évolution de vos tâches de test à l'aide de notre calendrier pour vous assurer de ne pas manquer une échéance de test.

Article 25 : Test des outils et systèmes TIC

DORA vous demande d'effectuer des tests adaptés à l'actif concerné, y compris des évaluations et des analyses de vulnérabilité, des analyses de sources ouvertes, des évaluations de la sécurité du réseau, des analyses des lacunes, des examens de la sécurité physique, des questionnaires, des solutions d'analyse, des examens du code source, des tests de scénario, des tests de compatibilité, des tests de performance, des tests de bout en bout et des tests de pénétration.

• Brainframe vous permet de planifier vos tests et de suivre les résultats dans un outil centralisé.
• Surveillez l'écart entre votre état de conformité actuel et celui exigé par DORA afin de rester à l'affût des vulnérabilités potentielles, de remédier aux lacunes de manière proactive et de garantir un alignement continu sur les normes réglementaires.
• Suivez l'état d'avancement de votre processus de test grâce à une traduction automatique vers un tableau Kanban pour une vue d'ensemble plus claire.

Article 26 : Tests avancés des outils, systèmes et processus TIC basés sur le TLPT

L'article 26 exige que les fonctions critiques ou importantes de l'entité financière soient testées à l'aide de tests de pénétration basés sur les menaces, et que les fournisseurs de services TIC tiers engagés par l'entité financière soient impliqués.

• Grâce aux capacités de classification de Brainframe permettant de définir la criticité et l'importance de chaque actif et processus, vous pouvez facilement déterminer ceux qui sont soumis au TLPT.
• Utilisez notre gestionnaire de tâches et nos fonctions de calendrier pour vous assurer de ne pas manquer une échéance importante.

Exigence DORA

Solution de Brainframe

Article 28 : Principes généraux

Les entités financières doivent gérer les risques liés aux TIC pour les tiers en tant que partie intégrante de leur cadre de gestion des risques liés aux TIC. Les entités financières doivent adopter et réviser régulièrement une stratégie sur le risque TIC pour les tiers et mettre à jour un registre d'informations concernant tous les accords contractuels avec les fournisseurs de services TIC pour les tiers.

• Brainframe vous permet d'inventorier et de gérer vos TIC tierces comme si elles faisaient partie de votre propre infrastructure.
• Visualisez comment vos processus dépendent des fournisseurs de services TIC tiers.
• Envoyez des documents directement depuis Brainframe à des parties externes pour examen et approbation, et assurez le suivi de vos fournisseurs de services tiers directement à partir de l'outil lui-même.

Article 30 : Disposition contractuelle clé

Les dispositions contractuelles relatives à l'utilisation des services TIC doivent inclure des informations telles que la description des fonctions, les lieux de traitement des données, les dispositions relatives à la sécurité des données, les niveaux de service, la disponibilité des données et l'assistance en cas d'incidents liés aux TIC, ainsi que les droits et conditions de résiliation.

• Avec le module "Formulaires" de Brainframe, vous pouvez demander toutes les informations nécessaires requises par le DORA à l'aide d'un modèle personnalisable, ce qui permet un processus d'intégration transparent.
• Vous pouvez mettre à jour votre profil de risque en fonction des réponses obtenues lors de l'évaluation des fournisseurs, directement dans l'outil.

Exigence DORA

Solution de Brainframe

Article 45 : Accords d'échange d'informations sur les informations et les renseignements relatifs aux cybermenaces

Il s'agit d'une section facultative qui encourage les institutions financières à échanger entre elles des informations et des renseignements sur les cybermenaces, dans le but de renforcer la résilience numérique du secteur financier.

• Créez un document d'information à l'aide de Brainframe et de ses modèles disponibles, résumant vos incidents et vos conclusions.
• Distribuer des documents à des acteurs externes, par exemple à votre autorité de contrôle, en utilisant Brainframe pour promouvoir le partage de renseignements.