Skip to content
Conformité

DORA 2025 : le rôle de l’EASM dans la conformité du secteur financier

DORA est applicable depuis janvier 2025. Les banques, assurances et institutions financières doivent prouver leur résilience opérationnelle numérique. L'EASM est un outil clé pour répondre aux exigences de cartographie des risques ICT.

Thomas Leroy
Thomas Leroy
12 février 20257 min
DORA 2025 : le rôle de l’EASM dans la conformité du secteur financier

DORA 2025 : l'EASM au cœur de la conformité financière

Le règlement DORA (Digital Operational Resilience Act) est entré en application le 17 janvier 2025. Il impose aux acteurs du secteur financier un cadre strict de gestion du risque ICT. L'EASM joue un rôle central dans sa mise en œuvre.

Qui est concerné par DORA ?

  • Banques et établissements de crédit
  • Compagnies d'assurance et de réassurance
  • Sociétés de gestion d'actifs
  • Prestataires de services ICT tiers critiques

Les 5 piliers de DORA et l'EASM

Pilier 1 : Gestion des risques ICT

DORA exige un cadre de gestion des risques ICT comprenant l'identification et la classification de tous les actifs ICT, l'évaluation continue des risques associés, et des mesures de protection proportionnées. Rôle de l'EASM : Cartographier et inventorier en continu tous les actifs exposés sur Internet.

Pilier 2 : Gestion des incidents

Détection, classification et notification dans des délais stricts. Rôle de l'EASM : Détecter les expositions avant qu'elles ne deviennent des incidents.

Pilier 3 : Tests de résilience

Tests réguliers dont des TLPT (Threat-Led Penetration Testing) pour les entités significatives. Rôle de l'EASM : Scans automatiques récurrents qui complètent les tests TLPT ponctuels.

Pilier 4 : Risques tiers ICT

Inventaire de tous les prestataires ICT tiers avec évaluation et clauses contractuelles obligatoires. Rôle de l'EASM : Surveiller la surface d'attaque des prestataires critiques liés à votre périmètre.

Pilier 5 : Partage d'informations

DORA encourage le partage d'informations sur les cybermenaces entre acteurs financiers.

Calendrier de conformité DORA

ÉtapeDateAction
Application DORA17 jan. 2025Toutes exigences applicables
Premier rapport ICTMi-2025Rapport risques ICT aux autorités
TLPT (entités sig.)2025-2026Tests de pénétration avancés

Ce que les autorités vérifieront

  • La complétude de l'inventaire des actifs ICT
  • La fréquence et la qualité des tests de sécurité
  • La rapidité de détection et réponse aux incidents
  • La maîtrise des risques liés aux prestataires tiers

Conclusion

DORA représente une obligation légale ambitieuse mais aussi une opportunité de renforcer durablement la résilience du secteur financier. L'EASM est l'un des outils les plus efficaces pour répondre aux exigences de cartographie des risques ICT que DORA impose.

Mots-clés : DORA conformité 2025, DORA EASM banque, Digital Operational Resilience Act, risques ICT secteur financier, DORA tests résilience

← Retour au blog