![\"Get](\"https:\/\/media.jfrog.com\/wp-content\/uploads\/2024\/07\/10120201\/DORA-863x300-1.png\")
<\/p>\n<\/p>\n
La conformit\u00e9 r\u00e9glementaire est un \u00e9l\u00e9ment courant et essentiel du paysage actuel des services financiers, qui \u00e9volue rapidement. Une nouvelle r\u00e9glementation \u00e0 laquelle les institutions financi\u00e8res de l’UE doivent se conformer est la loi sur la r\u00e9silience op\u00e9rationnelle num\u00e9rique (Digital Operational Resilience Act, ou DORA), promulgu\u00e9e pour am\u00e9liorer la r\u00e9silience op\u00e9rationnelle des services financiers num\u00e9riques. Le Rapport 2023 sur la r\u00e9silience de la cha\u00eene d’approvisionnement de la BCI<\/a> souligne que 45,7 % des organisations ont connu des perturbations de la cha\u00eene d’approvisionnement avec leurs fournisseurs les plus proches, ce qui repr\u00e9sente plus du double des niveaux ant\u00e9rieurs \u00e0 la pand\u00e9mie. Cela montre l’impact persistant des probl\u00e8mes de r\u00e9silience des technologies de l’information et de la communication (TIC) sur la continuit\u00e9 op\u00e9rationnelle.<\/p>\n La date limite de mise en conformit\u00e9 avec le r\u00e8glement DORA est imminente, puisqu’elle est fix\u00e9e au 17 janvier 2025<\/a>. Les TIC englobent un large \u00e9ventail d’outils et de ressources technologiques utilis\u00e9s pour la communication, la cr\u00e9ation de contenu, la diffusion, le stockage et la gestion de l’information. Ce terme g\u00e9n\u00e9rique englobe les appareils \u00e9lectroniques, les composants de r\u00e9seau et les applications logicielles qui facilitent diverses formes de communication num\u00e9rique et de traitement de l’information.<\/p>\n En ce qui concerne le secteur des services financiers, le r\u00e8glement DORA s’applique aux compagnies d’assurance, aux entreprises d’investissement, aux banques, aux fintechs et aux fournisseurs de TIC, qui doivent comprendre et respecter les exigences de la loi DORA pour garantir la r\u00e9silience op\u00e9rationnelle et \u00e9viter des amendes substantielles. Cet article traite des exigences essentielles en mati\u00e8re de d\u00e9veloppement de logiciels que les soci\u00e9t\u00e9s financi\u00e8res doivent respecter pour se conformer \u00e0 au r\u00e8glement DORA.<\/p>\n DORA est un r\u00e8glement introduit par l’Union europ\u00e9enne pour am\u00e9liorer la r\u00e9silience op\u00e9rationnelle num\u00e9rique des institutions financi\u00e8res, afin de garantir que les entit\u00e9s financi\u00e8res puissent r\u00e9sister et se remettre de tous les types de perturbations et de menaces li\u00e9es \u00e0 la technologie.<\/p>\n Le r\u00e8glement DORA vise \u00e0 renforcer la r\u00e9silience op\u00e9rationnelle dans l’ensemble du secteur financier, m\u00eame en cas de graves perturbations op\u00e9rationnelles. Le r\u00e8glement souligne la n\u00e9cessit\u00e9 pour les institutions financi\u00e8res de mettre en place des capacit\u00e9s solides pour renforcer les \u00e9l\u00e9ments suivants:<\/p>\n Le r\u00e8glement DORA s’applique \u00e0 un large \u00e9ventail d’organisations financi\u00e8res op\u00e9rant dans l’UE. On estime que plus de 22 000 entit\u00e9s sont concern\u00e9es par le r\u00e8glement DORA, ce qui rend la mise en conformit\u00e9 essentielle pour le respect de la r\u00e9glementation et la continuit\u00e9 des activit\u00e9s.<\/p>\n La conformit\u00e9 au r\u00e8glement DORA couvre de nombreux domaines. Nous souhaitons ici approfondir l’impact des directives \u00e9largies sur les op\u00e9rations et les processus de d\u00e9veloppement de logiciels. Pour passer de la th\u00e9orie \u00e0 la pratique, nous pr\u00e9sentons chacun des cinq piliers fondamentaux et sugg\u00e9rons les mesures \u00e0 prendre pour garantir la conformit\u00e9 du point de vue du d\u00e9veloppement logiciel.<\/p>\n Le respect d’autres r\u00e9glementations telles que le Cybersecurity Resilience Act (CRA) dans l’UE et le NIST SP 800-218 Secure Software Development Framework (SSDF), ainsi que l’EO 14028 Cybersecurity Executive Order des \u00c9tats-Unis exige que les pratiques en mati\u00e8re de s\u00e9curit\u00e9, de risque et de conformit\u00e9 soient suivies de la m\u00eame mani\u00e8re que le r\u00e8glement DORA. Comment traduire ces piliers DORA en pratiques concr\u00e8tes de d\u00e9veloppement de logiciels ? Voici quelques informations cl\u00e9s sur la mani\u00e8re d’y parvenir avec le r\u00e8glement DORA:<\/p>\n Les institutions financi\u00e8res qui ne se conforment pas au r\u00e8glement DORA s’exposent \u00e0 des sanctions s\u00e9v\u00e8res pouvant aller jusqu’\u00e0 un pour cent de leur chiffre d’affaires quotidien moyen au niveau mondial pour chaque jour de non-conformit\u00e9.<\/p>\n Les solutions de s\u00e9curit\u00e9 de JFrog<\/a> y compris JFrog Xray<\/a>, JFrog Advanced Security<\/a> et JFrog Curation<\/a> peuvent aider les soci\u00e9t\u00e9s de services financiers \u00e0 se conformer aux r\u00e9glementations DORA en mati\u00e8re de d\u00e9veloppement de logiciels. Les solutions de s\u00e9curit\u00e9 de JFrog offrent aux institutions financi\u00e8res une suite holistique d’outils de s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement logicielle et de conformit\u00e9, essentiels pour la conformit\u00e9 au r\u00e8glement DORA. La conformit\u00e9 est l’un des aspects les plus difficiles \u00e0 g\u00e9rer pour les institutions financi\u00e8res, car elles adh\u00e8rent \u00e0 des cadres r\u00e9glementaires stricts tels que OCC, GDPR, PCI DSS, SOX et NIST, qui imposent des pratiques de d\u00e9veloppement de logiciels s\u00e9curis\u00e9es et conformes, la confidentialit\u00e9 des donn\u00e9es et la gouvernance d’entreprise. La plateforme de la cha\u00eene d’approvisionnement logicielle de JFrog sert de base \u00e0 ces pratiques de s\u00e9curit\u00e9 et de conformit\u00e9 et est utilis\u00e9e par la majorit\u00e9 des grandes institutions financi\u00e8res \u00e0 travers le monde.<\/p>\n La plateforme JFrog<\/a> assure l’identification, la hi\u00e9rarchisation, le suivi, la surveillance, la gestion et les suggestions de rem\u00e9diation des vuln\u00e9rabilit\u00e9s potentielles tout au long du cycle de d\u00e9veloppement logiciel. La solution s’appuie sur des politiques configurables automatis\u00e9es<\/a> qui peuvent \u00eatre adapt\u00e9es pour faciliter la mise en conformit\u00e9 avec le r\u00e8glement DORA ou d’autres exigences r\u00e9glementaires sp\u00e9cifiques.<\/p>\n Par exemple, la conservation de biblioth\u00e8ques et de packages open source exempts de vuln\u00e9rabilit\u00e9, non malveillants et ne pr\u00e9sentant pas de risque op\u00e9rationnel peut contribuer \u00e0 la r\u00e9alisation des objectifs fondamentaux de s\u00e9curit\u00e9 et de r\u00e9duction des risques de DORA. L’approche holistique de la cha\u00eene d’approvisionnement logicielle de JFrog en mati\u00e8re de s\u00e9curit\u00e9 et de conformit\u00e9 la place dans une position privil\u00e9gi\u00e9e pour aider les institutions financi\u00e8res \u00e0 se conformer au r\u00e8glement DORA et peut \u00eatre appliqu\u00e9e aux futures r\u00e9glementations en mati\u00e8re de s\u00e9curit\u00e9 et de conformit\u00e9 des services financiers ou d’autres secteurs \u00e0 l’avenir.<\/p>\n Une nomenclature logicielle (SBOM)<\/a> est un outil essentiel pour comprendre les composants inclus dans votre version de production. La fonction de g\u00e9n\u00e9ration automatique de SBOM de JFrog fournit aux gestionnaires de versions, aux \u00e9quipes d’assurance qualit\u00e9 et de s\u00e9curit\u00e9 un inventaire d\u00e9taill\u00e9 de ce qui est pr\u00e9vu pour la production, y compris les vuln\u00e9rabilit\u00e9s identifi\u00e9es en mati\u00e8re de s\u00e9curit\u00e9 et les probl\u00e8mes de conformit\u00e9 aux licences. Les exportations SBOM de JFrog prennent en charge les formats standard de l’industrie tels que SPDX et CycloneDX (CDX), ainsi que le format VEX r\u00e9cemment introduit.<\/p>\n La plateforme JFrog aide \u00e0 briser les silos qui peuvent se former entre les \u00e9quipes de d\u00e9veloppement, de s\u00e9curit\u00e9 et d\u2019op\u00e9rations. JFrog peut faciliter un environnement DevSecOps<\/a> collaboratif o\u00f9 tout le monde est sur la m\u00eame longueur d’onde et o\u00f9 la s\u00e9curit\u00e9 est au premier plan.<\/p>\n Se conformer au r\u00e8glement DORA, ce n’est pas seulement r\u00e9pondre \u00e0 des exigences r\u00e9glementaires, c’est aussi favoriser un environnement num\u00e9rique r\u00e9silient et s\u00e9curis\u00e9 pour les op\u00e9rations financi\u00e8res. DORA met l’accent sur la r\u00e9sistance op\u00e9rationnelle des institutions financi\u00e8res aux perturbations des TIC et exige que les institutions financi\u00e8res \u00e9tablissent et maintiennent des cadres de gestion des risques li\u00e9s aux TIC et qu’elles testent r\u00e9guli\u00e8rement leur r\u00e9sistance.<\/p>\n En int\u00e9grant une solide gestion des risques, des pratiques de d\u00e9veloppement de logiciels s\u00e9curis\u00e9s et des tests continus dans le cycle de d\u00e9veloppement des logiciels, les soci\u00e9t\u00e9s financi\u00e8res peuvent s’assurer qu’elles sont bien pr\u00e9par\u00e9es \u00e0 relever les d\u00e9fis de l’\u00e8re num\u00e9rique. Rester inform\u00e9 et proactif est essentiel pour maintenir la r\u00e9silience op\u00e9rationnelle et pr\u00e9server l’int\u00e9grit\u00e9 des services financiers. DORA ne se contente pas de cocher des cases ; il s’agit de construire une base solide pour la stabilit\u00e9 de l’ensemble du syst\u00e8me des services financiers. N’oubliez pas qu’un code s\u00e9curis\u00e9 est la cl\u00e9 d’un avenir financier s\u00fbr !<\/p>\n R\u00e9servez une d\u00e9monstration<\/a> ou faites une visite guid\u00e9e du produit<\/a> pour voir par vous-m\u00eame comment JFrog peut vous aider \u00e0 rendre vos op\u00e9rations de d\u00e9veloppement logiciel pr\u00eates pour le r\u00e8glement DORA tout en vous pr\u00e9parant aux normes \u00e9mergentes \u00e0 venir.<\/p>\n Avis de non-responsabilit\u00e9 : Le contenu de cet article est fourni \u00e0 titre d’information g\u00e9n\u00e9rale uniquement et ne constitue pas un avis juridique. Le contenu peut ne pas refl\u00e9ter les d\u00e9veloppements juridiques actuels, n’est pas assur\u00e9 d’\u00eatre exact, complet, ou pertinent pour votre situation, et ne doit pas \u00eatre consid\u00e9r\u00e9 comme une r\u00e9f\u00e9rence fiable.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":" La conformit\u00e9 r\u00e9glementaire est un \u00e9l\u00e9ment courant et essentiel du paysage actuel des services financiers, qui \u00e9volue rapidement. Une nouvelle r\u00e9glementation \u00e0 laquelle les institutions financi\u00e8res de l’UE doivent se conformer est la loi sur la r\u00e9silience op\u00e9rationnelle num\u00e9rique (Digital Operational Resilience Act, ou DORA), promulgu\u00e9e pour am\u00e9liorer la r\u00e9silience op\u00e9rationnelle des services financiers num\u00e9riques. …<\/p>\n","protected":false},"author":590,"featured_media":136238,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[10736,10531,10153],"tags":[10737,10738,10739,10740,10741],"class_list":["post-148243","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-industries-fr","category-devops-fr","category-securite-et-devsecops","tag-dora-fr","tag-software-regulations-fr","tag-financial-sector-fr","tag-financial-institutions-fr","tag-compliance-fr"],"yoast_head":"\n![\"Get](\"https:\/\/media.jfrog.com\/wp-content\/uploads\/2024\/07\/10120145\/DORA-Logo.png\"){kind=logo}
<\/p>\nLe r\u00e8glement DORA, c\u2019est quoi ?<\/h2>\n
\n
Qui doit se conformer au r\u00e8glement DORA ?<\/h2>\n
![\"DORA](\"https:\/\/media.jfrog.com\/wp-content\/uploads\/2024\/07\/14131430\/DORA-5-Pillars_v2.png\")
Ces cinq piliers sont la cl\u00e9 pour se conformer aux r\u00e9glementations DORA<\/p>\nLes 5 principales exigences en mati\u00e8re de d\u00e9veloppement de logiciels<\/h2>\n
\n
\nLes entreprises financi\u00e8res doivent identifier et \u00e9valuer les vuln\u00e9rabilit\u00e9s potentielles de leurs syst\u00e8mes logiciels tout en mettant en \u0153uvre des strat\u00e9gies d’att\u00e9nuation pour r\u00e9duire l’impact des risques identifi\u00e9s<\/li>\n
\nIl s’agit de l’\u00e9change de renseignements sur les cybermenaces entre les organisations afin de renforcer la r\u00e9silience collective contre les cybermenaces et d’am\u00e9liorer la pr\u00e9paration globale du secteur et ses capacit\u00e9s de r\u00e9action.<\/li>\n
\nPour se conformer aux proc\u00e9dures de d\u00e9tection et de r\u00e9ponse rapide aux incidents, les \u00e9quipes DevOps doivent mettre en \u0153uvre des solutions de journalisation et de surveillance qui d\u00e9tectent les anomalies et pr\u00e9viennent les incidents de s\u00e9curit\u00e9 potentiels. En outre, les \u00e9quipes DevSecOps doivent \u00e9tablir un plan de r\u00e9ponse aux incidents clair qui d\u00e9crit les \u00e9tapes de confinement, d’\u00e9radication, de r\u00e9cup\u00e9ration et d’analyse post-incident.<\/li>\n
\nLes tests continus sont essentiels pour maintenir la r\u00e9silience des syst\u00e8mes logiciels financiers. Cela devrait inclure des tests de p\u00e9n\u00e9tration, des \u00e9valuations de la vuln\u00e9rabilit\u00e9 et des plans de reprise apr\u00e8s sinistre.<\/li>\n
\nLes soci\u00e9t\u00e9s financi\u00e8res font souvent appel \u00e0 des fournisseurs tiers pour les logiciels et les services technologiques. Pour \u00eatre en conformit\u00e9 avec le r\u00e8glement DORA, il est crucial d’effectuer une v\u00e9rification pr\u00e9alable des pratiques de s\u00e9curit\u00e9 de leurs fournisseurs, de stipuler l’adh\u00e9sion contractuelle aux normes de s\u00e9curit\u00e9 et de r\u00e9silience, et de surveiller les pratiques de s\u00e9curit\u00e9 des tiers.<\/li>\n<\/ol>\n![\"\"](\"https:\/\/media.jfrog.com\/wp-content\/uploads\/2024\/07\/14130515\/DORA-Diagram-v2.png\")
JFrog vous aide \u00e0 assurer la conformit\u00e9 au r\u00e8glement DORA de votre cha\u00eene d’approvisionnement logicielle (cliquez pour agrandir)<\/p>\nCodage dans le cadre de DORA : Passer \u00e0 la pratique<\/h2>\n
\n
Sanctions en cas de non-respect des r\u00e8gles<\/h2>\n
En quoi JFrog peut-il aider les institutions financi\u00e8res de l\u2019UE ?<\/h2>\n
Conclusion<\/h2>\n