Le règlement DORA (Digital Operational Resilience Act) vise à renforcer la résilience numérique du secteur financier face aux risques informatiques.
Adopté en décembre 2022, entré en vigueur en janvier 2023, il est applicable depuis le 17 janvier 2025 dans l’ensemble de l’Union européenne.
Dans ce contexte, plusieurs exigences concernent directement le développement, la gestion et la sécurisation des applications. Les solutions proposées par ARCAD Software contribuent à répondre à ces exigences à travers plusieurs axes clés.
1. Sécurisation du cycle de développement logiciel (Secure SDLC)
Le règlement DORA impose aux institutions financières de mettre en place un cadre solide de gestion des risques liés aux systèmes d’information (ICT) afin de sécuriser leurs applications et leurs infrastructures informatiques.
« Les entités financières disposent d’un cadre de gestion du risque lié aux TIC solide, complet et bien documenté, faisant partie de leur système global de gestion des risques, qui leur permet de parer au risque lié aux TIC de manière rapide, efficiente et exhaustive et de garantir un niveau élevé de résilience opérationnelle numérique. »
— Article 6, règlement (UE) 2022/2554
Ces exigences conduisent les organisations à sécuriser l’ensemble du cycle de développement logiciel afin de limiter les risques liés aux modifications applicatives et aux déploiements.
➡️ Contribution ARCAD :
Nos solutions DevOps permettent d’automatiser et de sécuriser les processus de développement, de test et de déploiement des applications, tout en assurant une gestion rigoureuse des versions et des changements.
2. Gestion et traçabilité des changements (Audit trail)
DORA exige que les organisations puissent tracer précisément les modifications apportées à leurs systèmes informatiques, afin de garantir la transparence, la gouvernance des systèmes IT et la conformité réglementaire.
DORA impose également que les modifications des systèmes informatiques soient strictement encadrées :
« Les entités financières mettent en place des politiques, procédures et contrôles documentés pour la gestion des changements liés aux TIC, afin de garantir que les changements apportés aux systèmes TIC soient enregistrés, testés, évalués, approuvés et mis en œuvre de manière contrôlée. »
— Article 9, règlement (UE) 2022/2554
Les organisations doivent notamment :
- conserver l’historique des modifications
- identifier les utilisateurs ayant effectué les changements
- documenter les opérations réalisées sur les applications et les environnements informatiques
- le contrôle et la traçabilité des changements
➡️ Contribution ARCAD :
Nos solutions DevOps fournissent un audit trail complet, permettant de suivre l’ensemble des opérations réalisées sur les applications, depuis le développement jusqu’au déploiement en production.
3. Tests de résilience et de robustesse des systèmes
Le dispositif européen DORA impose aux institutions financières de tester régulièrement la robustesse de leurs systèmes afin de garantir leur résilience opérationnelle numérique face aux incidents informatiques.
« Les entités financières, autres que les microentreprises, définissent des procédures et des stratégies destinées à hiérarchiser, classer et résoudre tous les problèmes mis en évidence au cours des tests et élaborent des méthodes de validation interne pour veiller à ce que toutes les faiblesses, défaillances ou lacunes recensées soient entièrement corrigées. »
— Article 24, règlement (UE) 2022/2554
➡️ Contribution ARCAD :
Nos solutions DevOps facilitent l’automatisation des tests dans le cycle de développement, ce qui permet :
- de sécuriser les mises en production
- de réduire les risques liés aux changements applicatifs
- d’améliorer la qualité et la stabilité des applications.
4. Identification des systèmes critiques et cartographie applicative
La réglementation DORA exige que les organisations puissent identifier leurs systèmes critiques et comprendre les dépendances entre les applications et les infrastructures IT.
« Les entités financières […] répertorient la configuration des actifs informationnels et des actifs de TIC et les liens et interdépendances entre les différents actifs informationnels et actifs de TIC. »
— Article 8, règlement (UE) 2022/2554
Cette capacité est essentielle pour analyser l’impact potentiel d’un incident ou d’une modification sur l’ensemble du système d’information.
➡️ Contribution ARCAD :
Notre solution DISCOVER permet :
- d’analyser les programmes et bases de données
- de cartographier les dépendances applicatives
- d’identifier les impacts potentiels des modifications sur l’ensemble du système d’information
5. Maîtrise des déploiements et capacité de rollback
La réglementation européenne impose également aux institutions financières de garantir la continuité et la résilience de leurs systèmes informatiques, notamment en cas d’incident ou d’erreur lors d’une évolution applicative.
« Les entités financières mettent en place des systèmes de sauvegarde qui peuvent être activés conformément aux politiques et procédures de sauvegarde, ainsi qu’aux procédures et méthodes de restauration et de rétablissement. »
— Article 12, règlement (UE) 2022/2554
Dans ce contexte, les organisations doivent pouvoir maîtriser les déploiements logiciels, sécuriser les mises en production et restaurer rapidement une version stable en cas de problème, afin de garantir la continuité des services.
➡️ Contribution ARCAD :
La solution DROPS, outil de platform engineering, automatise et sécurise les déploiements applicatifs tout en garantissant la continuité de service. Elle permet notamment de gérer les versions et d’effectuer un rollback rapide vers une version stable en cas d’erreur, afin de limiter l’impact des incidents.
6. Qualité du code et détection précoce des vulnérabilités
Le cadre réglementaire DORA impose aux institutions financières d’identifier les faiblesses de leurs systèmes afin de renforcer leur résilience numérique.
« Afin d’évaluer l’état de préparation en vue du traitement d’incidents liés aux TIC, de recenser les faiblesses, les défaillances et les lacunes en matière de résilience opérationnelle numérique et de mettre rapidement en œuvre des mesures correctives, les entités financières établissent, maintiennent et réexaminent, en tenant compte des critères énoncés, un programme solide et complet de tests de résilience opérationnelle numérique. »
— Article 24, règlement (UE) 2022/2554
La qualité du code et la détection précoce des vulnérabilités permettent de réduire les coûts et les risques, d’améliorer la maintenabilité des applications et de sécuriser les développements, notamment lors de l’onboarding de nouveaux développeurs.
➡️ Contribution ARCAD :
La solution ARCAD CodeChecker analyse automatiquement le code pour détecter vulnérabilités, erreurs et mauvaises pratiques. Elle améliore la qualité du code et contribue à renforcer la résilience des systèmes informatiques, conformément aux exigences DORA.
En conclusion
DORA renforce les exigences en matière de sécurité des systèmes informatiques, de traçabilité des modifications et de résilience numérique dans le secteur financier.
Grâce à nos solutions ARCAD Software accompagne les organisations dans :
- la sécurisation du cycle de développement logiciel
- la traçabilité des modifications applicatives
- l’automatisation des tests et des déploiements
- la cartographie des systèmes et la compréhension des dépendances applicatives
Ces solutions contribuent ainsi à améliorer la résilience opérationnelle numérique et la conformité aux exigences du règlement DORA.
Par ailleurs, la gestion des environnements de test et la protection des données restent des enjeux clés dans le cadre de la conformité DORA. L’anonymisation des données, notamment avec DOT Anonymizer, permet de limiter les risques tout en facilitant les tests et les développements.
👉 Pour en savoir plus, consultez notre article dédié.
DEMANDEZ VOTRE DÉMO
Parlons de votre projet !
Nos experts vous conseillent