DORA

Résilience opérationnelle pour l'IA et les données des services financiers

DORA fait de la résilience TIC une obligation au niveau du conseil d'administration pour les entités financières. Les pistes d'audit, les valeurs par défaut fail-closed et le déploiement souverain et self-hosted de Scrydon réduisent le risque de concentration et donnent aux superviseurs quelque chose à inspecter.

De quoi s'agit-il

Digital Operational Resilience Act (DORA)

Le Digital Operational Resilience Act (règlement (UE) 2022/2554) crée un cadre uniforme pour la résilience opérationnelle numérique du secteur financier de l'UE. Il impose aux entités financières de gérer le risque TIC, de classifier et de notifier les incidents majeurs liés aux TIC, de tester leur résilience opérationnelle numérique et de gérer les risques liés aux prestataires tiers de services TIC — y compris le risque de concentration et les garanties contractuelles. Les prestataires tiers de services TIC critiques relèvent d'un régime de supervision européen dédié. DORA s'applique depuis janvier 2025.
En bref
Juridiction
Union européenne
S'applique à
Les entités financières dans toute l'UE — banques, assureurs, entreprises d'investissement, prestataires de services de paiement et de crypto-actifs, et d'autres — ainsi que les prestataires tiers de services TIC qui les servent.
Contactez-nous
Comment nous aidons

Comment Scrydon vous aide à vous conformer

Les contrôles sont intégrés au runtime : la conformité est donc quelque chose que vous pouvez démontrer avec des preuves issues de la plateforme elle-même — plutôt que reconstituées après coup.

Gestion du risque TIC dès la conception

Des valeurs par défaut fail-closed, un service mesh mTLS et une autorisation policy-as-code vous donnent une architecture résiliente et à moindre privilège pour vos charges de travail IA et données. Les contrôles sont appliqués de manière cohérente dans le plan applicatif comme dans le plan de données, ce qui soutient le cadre de gestion du risque TIC que DORA attend des entités financières.

Journal d'audit et traçabilité des incidents

Le journal d'audit immuable et interrogeable capture les acteurs, les adresses IP et les décisions avec des contrôles de conservation, fournissant la traçabilité nécessaire pour détecter, classifier, investiguer et notifier les incidents majeurs liés aux TIC et pour démontrer la résilience aux superviseurs et aux auditeurs.

Réduction du risque lié aux tiers et du risque de concentration

Le déploiement self-hosted et souverain signifie que les charges de travail critiques n'ont pas à dépendre d'un unique hyperscaler externe, ce qui répond directement à la préoccupation de DORA quant au risque de concentration sur les prestataires tiers de services TIC. Les fournisseurs d'IA externes étant opt-in, la chaîne d'approvisionnement reste explicite et sous votre contrôle.

Tests de résilience et continuité

Parce que la plateforme peut s'exécuter dans votre propre environnement avec une configuration reproductible et gouvernée par des politiques, vous pouvez l'inclure dans vos tests de résilience opérationnelle numérique et dans votre plan de continuité, et éprouver le basculement et la reprise sur une infrastructure que vous maîtrisez.

Evidence packs par cadre

Les evidence packs relient les contrôles de la plateforme aux thèmes de résilience et de risque TIC de DORA, aux côtés d'ISO 27001 et de SOC 2, et donnent à vos équipes risque, conformité et audit un point de départ documenté pour le registre d'informations et les échanges avec les superviseurs.

Exigences clés

DORA : ce qui vous est demandé

  • Exploiter un cadre complet de gestion du risque TIC placé sous la responsabilité de l'organe de direction.
  • Détecter, classifier et notifier les incidents majeurs liés aux TIC dans les délais impartis.
  • Réaliser régulièrement des tests de résilience opérationnelle numérique.
  • Gérer le risque lié aux prestataires tiers de services TIC, y compris les garanties contractuelles et les stratégies de sortie.
  • Surveiller et atténuer le risque de concentration TIC sur les prestataires critiques.
  • Tenir un registre d'informations sur les accords contractuels avec les prestataires tiers de services TIC.
  • Partager les informations et le renseignement sur les cybermenaces lorsque cela est pertinent.
FAQ

Questions fréquentes

Comment Scrydon soutient-il la conformité DORA des entités financières ?+
Scrydon fournit les fondations techniques sur lesquelles DORA met l'accent : une architecture résiliente, fail-closed et sécurisée par mTLS pour la gestion du risque TIC, un journal d'audit immuable pour la détection et la notification des incidents, et un déploiement souverain self-hosted qui réduit la dépendance à un prestataire externe unique. Les evidence packs relient ces éléments aux thèmes de DORA. Nous parlons d'alignement et des contrôles qui vous aident à respecter vos obligations ; classifier les incidents, les notifier à votre autorité compétente et piloter votre programme de résilience global restent votre responsabilité.
Comment la plateforme réduit-elle le risque de concentration sur les prestataires tiers de services TIC ?+
DORA est explicite sur le risque systémique d'une dépendance excessive à quelques prestataires TIC. Comme Scrydon peut être déployé dans votre propre environnement ou sur une infrastructure souveraine plutôt que de verrouiller vos charges de travail critiques chez un seul hyperscaler, vous pouvez diversifier et garder la maîtrise de vos systèmes IA et données les plus importants. Les fournisseurs d'IA externes étant opt-in, toute dépendance à un tiers reste explicite et gouvernable.
Scrydon aide-t-il à détecter et à notifier les incidents majeurs ?+
Le journal d'audit immuable et interrogeable enregistre l'acteur, l'adresse IP, la décision et l'activité des agents avec des contrôles de conservation, ce qui soutient la détection, la classification et l'investigation des incidents liés aux TIC et aide à rassembler les informations nécessaires au reporting réglementaire. La plateforme fournit la traçabilité ; les seuils de classification et les notifications à votre autorité compétente restent à votre charge.
Scrydon peut-il faire partie de nos tests de résilience opérationnelle numérique ?+
Oui. Comme la plateforme s'exécute avec une configuration reproductible et gouvernée par des politiques sur une infrastructure que vous maîtrisez, vous pouvez éprouver le basculement, la reprise et les contrôles d'accès dans le cadre de votre programme de tests de résilience, et l'inclure dans vos tests de scénarios et votre plan de continuité.
Scrydon est-il un prestataire tiers de services TIC critique au sens de DORA ?+
La désignation en tant que prestataire tiers de services TIC critique est faite par les autorités européennes de surveillance selon des critères définis, et non auto-déclarée par un fournisseur. Indépendamment de cette désignation, déployer Scrydon de manière souveraine et self-hosted maintient vos charges de travail les plus critiques sous votre contrôle direct et vous aide à gérer le risque lié aux tiers dans le cadre de votre dispositif DORA.