Insights

Le règlement Digital Operational Resilience Act (DORA) marque une avancée décisive pour la résilience opérationnelle des institutions financières, en mettant l’accent sur la cybersécurité active plutôt que sur la simple gestion IT classique.

Avec l’entrée en vigueur du règlement DORA et la publication du règlement délégué (UE) 2025/1190 sur les Threat-Led Penetration Tests (TLPT), la cybersécurité financière entre dans une nouvelle phase : celle de la mise à l’épreuve réaliste, gouvernée et documentée de la résilience opérationnelle.

Avec la publication des RTS (Regulatory Technical Standard) en juin 2025, nous passons désormais de la théorie à la pratique : ces normes intègrent l’approche TIBER directement dans le cadre de DORA, applicable depuis le 17 janvier 2025, et deviennent obligatoires dans toute l’Union européenne vingt jours après leur publication.

Depuis la publication du règlement délégué (UE) 2025/1190, les RTS précisent non seulement qui est concerné par les TLPT, mais aussi comment ceux-ci doivent être conduits.

À partir de septembre 2026, le Cyber Resilience Act (CRA) imposera de nouvelles obligations de cybersécurité aux fabricants, importateurs et distributeurs de produits numériques connectés.

Découvrez la troisième édition de notre newsletter dédiée à la cybersécurité.

Retrouvez l’un des articles de notre 3ème newsletter cybersécurité, consacré au lancement de notre série sur la sécurité de l’AD

Retrouvez l’un des articles de notre 3ème newsletter cybersécurité, consacré au contrôle interne cyber.

Retrouvez l’un des articles de notre 3ème newsletter cybersécurité, consacré à la méthode DevSecOps.

Retrouvez l’un des articles de notre 3ème newsletter cybersécurité, consacré au RSSI interne ou externe.

Depuis l’avènement de la loi Sapin 2, fin 2016, les entreprises assujetties se sont progressivement lancées dans la mise en place de procédures d’évaluation de leurs tiers, qu’il s’agisse de leurs clients, fournisseurs ou des intermédiaires.

Le terme "zero day" caractérise une vulnérabilité de sécurité logicielle découverte puis exploitée par des cybercriminels avant que ses concepteurs (ou une communauté qui les soutient) n’aient connaissance de son existence. Corollaire, il n'existe pas de correctif ou de mesure palliative identifiée pour se prémunir d’une vulnérabilité zero day, ce qui rend les Systèmes d’Information (SI) affectés vulnérables et fatalement exposés à une exploitation immédiate par ceux qui en ont connaissance (qui se situent bien souvent du côté obscur de la force…).

Les réglementations européennes se précisent en cette rentrée 2024. Le framework TIBER-EU vient renforcer les attentes du Digital Operational Resilience Act (DORA), en proposant un cadre de mise en œuvre des tests d’intrusion basés sur la menace Threat-Led Penetration Testing (TLPT).

Dans le monde numérique, les acteurs malveillants ne sont malheureusement jamais en manque d’ingéniosité quand il s’agit d’atteindre une cible. L’histoire des attaques de cybersécurité contient de nombreux exemples, dont certains ne datent pas d’hier.

Pour garantir la confidentialité de ses données dans le monde professionnel comme dans la sphère privée, le chiffrement de disque dur est vivement recommandé. Pour cela, les utilisateurs de Windows bénéficient de la solution BitLocker, développée par Microsoft.

Publiée en février 2024, cette nouvelle version s'appuie sur le succès du cadre original en élargissant son champ d’application à toutes les organisations, et plus seulement aux infrastructures critiques. En outre, il met l'accent sur la gouvernance, soulignant l'importance de l'implication des dirigeants dans la cybersécurité.