Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Règlement européen En vigueur

DORA Réglementation

Le règlement européen établissant des exigences uniformes de gestion des risques informatiques pour le secteur financier, incluant la gestion des clés cryptographiques, la gouvernance des certificats et la supervision des tiers.

En bref

Statut
En vigueur
Type
Règlement européen
Portée
Informatique du secteur financier

Vue d'ensemble

Le Digital Operational Resilience Act (DORA) instaure un cadre complet de résilience opérationnelle numérique pour l'ensemble du secteur financier de l'UE. Il établit des exigences uniformes en matière de gestion des risques informatiques, de signalement d'incidents, de tests de résilience et de supervision des prestataires tiers.

L'article 9 impose aux entités financières de mettre en œuvre des politiques de contrôles cryptographiques et de gestion des clés dans le cadre de leur sécurité informatique. L'article 15 requiert des évaluations approfondies des risques informatiques englobant l'infrastructure de certificats et les actifs cryptographiques. Ces exigences font de la gouvernance PKI robuste une nécessité réglementaire.

DORA s'applique largement aux banques, assureurs, entreprises d'investissement, prestataires de services sur crypto-actifs et, de manière essentielle, aux prestataires tiers critiques de services informatiques tels que les services cloud et les fournisseurs d'infrastructure. Cette large portée signifie que les pratiques de gestion des certificats doivent être gouvernées non seulement en interne, mais aussi à travers l'ensemble de la chaîne d'approvisionnement.

Exigences clés

Cadre de gestion des risques informatiques (art. 6-16)

Les entités financières doivent établir et maintenir un cadre complet de gestion des risques informatiques, incluant des capacités d'identification, de protection, de détection, de réponse et de récupération.

Cycle de vie des clés cryptographiques (art. 9.4)

Les entités doivent mettre en œuvre des politiques et procédures pour la gestion des clés cryptographiques tout au long de leur cycle de vie, incluant génération, stockage, distribution, rotation et destruction.

Risques informatiques liés aux tiers (art. 28-44)

Les entités financières doivent gérer les risques liés aux prestataires tiers de services informatiques, incluant les exigences contractuelles relatives à la gestion des certificats, aux contrôles de sécurité et aux stratégies de sortie.

Signalement d'incidents (art. 17-23)

Les incidents informatiques majeurs — y compris les compromissions de certificats et les défaillances cryptographiques — doivent être classifiés, signalés et communiqués aux autorités compétentes dans des délais stricts.

Tests de résilience opérationnelle numérique (art. 24-27)

Les entités doivent effectuer des tests réguliers des systèmes informatiques, incluant des tests de pénétration fondés sur la menace (TLPT) pour les institutions importantes, couvrant l'infrastructure de certificats et les contrôles cryptographiques.

Partage d'informations (art. 45)

Les entités financières sont encouragées à participer à des dispositifs de partage de renseignements sur les cybermenaces, échangeant des informations sur les risques informatiques, les vulnérabilités et les indicateurs de compromission.

Jalons clés

20
2020

Proposé par la Commission européenne

La CE propose DORA dans le cadre du paquet Finance numérique, visant à harmoniser la gestion des risques informatiques dans le secteur financier.

22
2022

Adopté en novembre 2022

Le Parlement européen et le Conseil adoptent formellement le règlement (UE) 2022/2554, établissant un cadre complet de résilience numérique pour les entités financières.

24
2024

Publication des standards techniques

Les Autorités européennes de surveillance (AES) publient des Standards techniques de réglementation (RTS) et des Standards techniques d'exécution (ITS) détaillés pour la conformité à DORA.

25
2025 Actuel

Pleine application le 17 janvier 2025

DORA devient pleinement applicable dans toute l'UE. Les entités financières et les prestataires tiers critiques de services informatiques doivent se conformer à l'ensemble des exigences.

25+
2025+ Application

Cadre de supervision des prestataires informatiques critiques

Les AES commencent à exercer leurs pouvoirs de supervision sur les prestataires tiers critiques désignés, incluant les fournisseurs cloud et d'infrastructure.

Impact sur la PKI et les certificats

DORA élève la gestion des certificats et des clés d'un enjeu opérationnel à une exigence réglementaire pour le secteur financier. Voici les domaines critiques :
1

Gouvernance des certificats dans le cadre du risque informatique

Les certificats doivent être inventoriés et gouvernés au sein du cadre plus large de gestion des risques informatiques, avec une responsabilité, des politiques et des contrôles de cycle de vie clairs.

2

Gestion du cycle de vie des clés selon l'art. 9.4

La gestion des clés cryptographiques doit couvrir l'intégralité du cycle de vie — de la génération à la distribution, au stockage, à la rotation et à la destruction sécurisée — avec des politiques et procédures documentées.

3

Infrastructure de certificats dans la gestion des risques tiers

Les évaluations des prestataires tiers de services informatiques doivent inclure l'examen de leurs pratiques de gestion des certificats, des chaînes de confiance d'AC et des contrôles de sécurité cryptographique.

4

Réponse aux incidents pour les compromissions de certificats

Les compromissions de certificats, les violations d'AC et les défaillances cryptographiques doivent être classifiées et signalées comme incidents informatiques dans le cadre de signalement obligatoire de DORA.

Comment nous aidons

Evertrust & DORA

Inventaire complet des certificats pour la cartographie des actifs informatiquesDécouvrez et cataloguez tous les certificats à travers votre infrastructure financière, répondant aux exigences d'identification des actifs informatiques de DORA.

Cycle de vie automatisé pour la résilience opérationnelleÉvitez les interruptions liées aux certificats grâce au renouvellement et à la rotation automatisés, garantissant la résilience opérationnelle continue des systèmes financiers critiques.

Pistes d'audit pour le reporting réglementaireGénérez des journaux détaillés du cycle de vie des certificats et des rapports de conformité prêts à être examinés par l'autorité de surveillance dans le cadre des obligations de signalement de DORA.

Gouvernance multi-AC pour la supervision des tiersGérez les certificats provenant de multiples autorités de certification dans une vue unifiée, offrant une visibilité sur les pratiques de certificats des prestataires tiers de services informatiques.

Parler à un expert Découvrir Horizon
Retour au centre de conformité Bénéficiez de conseils d’experts