Le règlement (UE) 2022/2554 - Digital Operational Resilience Act (DORA) - est en vigueur depuis janvier 2025. Si vous êtes RSSI, responsable des risques informatiques ou architecte de la conformité au sein d'une entité financière réglementée, vous êtes déjà informé. La question à laquelle la plupart des entreprises n'ont pas encore répondu est faussement spécifique : qu'est-ce que demande d'intégrité des données vérifiable de votre pile TIC ? Une enquête a révélé que 96% des entreprises de la région EMEA considèrent que leur niveau actuel de résilience numérique est insuffisant.
Ici, vous pouvez renforcer et apprendre :
- ce que dit la norme d'intégrité du DORA - dans sa propre langue ;
- là où les systèmes standard ne sont pas à la hauteur ;
- ce à quoi ressemble un contrôle d'intégrité techniquement défendable ;
- et quels outils opérationnels répondent aux obligations de disponibilité et de continuité qui en découlent.
Ce que dit le DORA sur l'intégrité des données
DORA utilise l'intégrité comme une obligation spécifique et récurrente, et non comme un principe général. L'article 9, paragraphe 2, établit la base de référence :
"Les entités financières conçoivent, achètent et mettent en œuvre des politiques, des procédures, des protocoles et des outils de sécurité des TIC... pour maintenir des normes élevées de disponibilité, d'authenticité, d'intégrité et de confidentialité des données, qu'ils soient au repos, en cours d'utilisation ou en transit"."
L'article 12, paragraphe 7, fixe le plafond :
"Lorsqu'elles se remettent d'un incident lié aux TIC, les entités financières effectuent les contrôles nécessaires, y compris les contrôles multiples et les rapprochements, afin de garantir le maintien du plus haut niveau d'intégrité des données."
Cette obligation de rapprochement nécessite un point de référence fixe - une base d'intégrité vérifiable de manière indépendante par rapport à laquelle les données récupérées peuvent être vérifiées. L'article 18, paragraphe 1, point d), lie l'intégrité à la classification des incidents. L'article 30, paragraphe 2, point c), étend l'obligation aux contrats TIC conclus avec des tiers. L'intégrité des données est une exigence systémique pour l'ensemble de vos opérations et de votre chaîne d'approvisionnement..
L'écart que la plupart des entreprises n'ont pas nommé
La plupart des entités réglementées disposent déjà de SharePoint, Salesforce, Dynamics 365, Google Workspace, Microsoft 365 ou de plateformes équivalentes produisant des journaux d'accès, des historiques de versions et des horodatages. L'hypothèse est que cela constitue un contrôle d'intégrité adéquat. Ce n'est pas le cas.
ENISA'La cartographie des normes techniques de l'UE dans le cadre de la loi sur la cyber-résilience stipule que l'intégrité des données "doit être assurée en utilisant des technologies actuelles et non obsolètes" et que les systèmes doivent être conçus en gardant à l'esprit la "protection des preuves". si l'accès aux journaux est compromis, un attaquant peut effacer ses traces.
Un journal interne stocké dans le même système peut être modifié. Il n'est pas inviolable. Lorsqu'un régulateur vous demande de prouver qu'un fichier existait dans un état spécifique à un moment précis et qu'il n'a pas été modifié depuis, un horodatage interne ne répond pas à cette question de manière indépendante. GDPR Article 5(2) fait peser la charge de la preuve sur le responsable du traitement : démontrer la conformité, et non l'affirmer.
Ce qu'est l'intégrité vérifiable
La DORA ne prescrit pas de méthode technique. Elle prescrit un résultat : des données authentiques, traçables, inviolables et vérifiables de manière indépendante tout au long de leur cycle de vie.
L'ancrage par hachage cryptographique est une solution techniquement défendable. Une empreinte digitale du fichier est générée au moment de la création ou de la dernière modification autorisée et ancrée dans un registre public immuable. Le contenu du document n'entre jamais dans la chaîne - la confidentialité est préservée de par sa conception. Toute modification ultérieure produit un hachage différent. La divergence est mathématiquement certaine et vérifiable de manière indépendante sans accès au contenu sensible..
Le Document de la Banque d'Angleterre sur la stabilité financière en 2024 sur la résilience opérationnelle a noté que les entreprises financières "explorent le potentiel de la technologie du grand livre distribué pour améliorer l'efficacité des processus et des transactions financières... elle aura probablement aussi des applications dans le système financier traditionnel"."
Truth Enforcer rend cela opérationnel : ancrage du hash à une blockchain publique, détection instantanée des altérations, vérification indépendante sans exposition du contenu, et intégration avec les systèmes d'information de la SharePoint, Salesforce, Google Workspace, et autres. Il transforme l'obligation d'intégrité du DORA d'une déclaration de politique générale en un fait prouvable et vérifiable..
L'intégrité dans la résilience opérationnelle et la gouvernance des risques
L'article 5(2) de la loi DORA place la gouvernance des risques liés aux TIC au niveau du conseil d'administration. L'organe de direction doit approuver, superviser et réviser la politique de continuité des activités et les plans de reprise. Deloitte définit directement le mandatLes entreprises doivent démontrer qu'elles "peuvent résister, réagir et se remettre de tous les types de perturbations et de menaces liées aux TIC"."
Les enregistrements d'intégrité ancrés dans le hachage et les journaux de continuité de la synchronisation en temps réel ne sont pas des préférences technologiques. Ce sont des preuves documentées de la conformité avec les obligations que le conseil d'administration est légalement tenu de superviser. Le principe de responsabilité du GDPR clôt l'argument : la charge de la preuve incombe à votre organisation, qui doit survivre à un examen minutieux.
La norme d'intégrité de DORA est directe et déjà en vigueur. La plupart des institutions financières disposent de registres d'accès. La plupart d'entre eux ne disposent pas de registres d'intégrité vérifiables de manière indépendante et infalsifiables. C'est là que se situe l'écart.
Votre cadre de gestion des risques liés aux TIC doit être en mesure de produire un enregistrement d'intégrité vérifiable de manière indépendante pour un fichier spécifique à un moment précis, c'est le niveau standard que vous souhaitez - le plus élevé.
.
Contactez-nous pour la norme d'intégrité DORA: https://www.connecting-software.com/truth-enforcer-sign-up/
OU
Essayez-le GRATUITEMENT :
Vérificateur de vérité pour les créateurs de propriété intellectuelle : https://truth-verifier.com/landing
Vérificateur de vérité pour les journalistes : https://truthverifier.news/landing
.
Découvrez la synchronisation Microsoft pour la continuité des activités et la disponibilité : https://www.connecting-software.com/microsoft-synchronization/
Par Francisco RodriguesChef de produit
"J'écris sur la façon dont les intégrations logicielles peuvent s'adapter aux environnements commerciaux et répondre aux demandes spécifiques de l'industrie. Je veux montrer aux entreprises la voie à suivre pour rationaliser les processus, éliminer les goulets d'étranglement et garantir la conformité en dotant les équipes et les dirigeants des bons outils."
Lectures connexes
Intégrité des données DORA : Ce qu'exige le “standard le plus élevé” en réalité
Le problème de la modification : Règle 613 de la SEC - Conformité CAT avec des données dont vous pouvez prouver qu'elles n'ont jamais été touchées
Réforme du droit des testaments au Royaume-Uni en 2025 : Se préparer à la vérification numérique indépendante avant l'arrivée de la loi