Le Règlement sur la résilience opérationnelle numérique, ou loi DORA, est un règlement de l’Union européenne (UE) qui crée un cadre complet pour la gestion des risques liés aux technologies de l’information et de la communication (TIC) dans le secteur financier de l’UE. La loi DORA établit un cadre d’exigences pour remédier aux lacunes, aux chevauchements et aux conflits entre les différentes réglementations, réduisant ainsi la charge de la conformité et renforçant la résilience du système financier de l’UE.
La loi DORA est entrée en vigueur le 17 janvier 2025.
Avant la loi DORA, les réglementations de l’UE se concentraient principalement sur le capital pour les risques opérationnels, sans aucune harmonisation des directives en matière de TIC et de sécurité entre les pays. La loi DORA vise à améliorer la gestion des risques liés aux TIC dans le secteur des services financiers et à harmoniser les réglementations entre les États membres de l’UE.
La loi DORA est complétée par un certain nombre de normes techniques de réglementation (RTS) et de normes techniques d’implémentation (ITS), toutes contraignantes, qui fournissent des normes harmonisées et des directives pratiques pour la mise en œuvre efficace des exigences réglementaires.
La loi DORA s’applique à un large éventail d’entités financières telles que les banques, les établissements de crédit et de paiement, les sociétés d’investissement, les plateformes de négociation et les dépositaires centraux de titres, ainsi qu’aux entités non traditionnelles, notamment les prestataires de services de crypto-actifs et les plateformes de financement participatif. Des exemptions existent pour les gestionnaires de fonds d’investissement alternatifs qui remplissent les conditions requises pour en bénéficier en vertu de l’article 3, paragraphe 2, de la directive AIFM, et pour les petites institutions non complexes qui atteignent certains seuils en fonction de leur taille, de leur profil de risque et de leur complexité opérationnelle.
L’une des particularités de la loi DORA importante à retenir est le fait qu’elle s’applique non seulement aux entités financières, mais aussi aux fournisseurs critiques de TIC qui fournissent des services au secteur financier, comme les fournisseurs de services cloud et les centres de données.
L’application de la loi DORA relève de la Banque centrale européenne (BCE) et des régulateurs désignés dans chaque État membre de l’UE, appelés « autorités nationales compétentes » ou ANC. La BCE et les autorités nationales compétentes peuvent exiger que les entités financières prennent des mesures de gestion des risques et de sécurité spécifiques et résolvent les vulnérabilités. Elles disposent également de pouvoirs d’exécution pour imposer des sanctions administratives et pénales aux entités qui ne respectent pas les attentes en matière de contrôle. Chaque État membre est habilité à exercer un pouvoir discrétionnaire dans la manière dont son autorité nationale compétente impose des sanctions.
Les fournisseurs de TIC considérés comme « critiques » dans le cadre de la loi DORA seront directement supervisés par les superviseurs principaux des autorités européennes de surveillance (AES). À l’instar des autorités nationales compétentes, les superviseurs principaux peuvent exiger que des mesures de sécurité préventives et curatives spécifiques soient prises pour remédier aux vulnérabilités et sanctionner les fournisseurs de TIC non conformes. La loi DORA permet aux superviseurs principaux d’infliger des amendes aux fournisseurs de TIC à hauteur de 1 % de leur chiffre d’affaires mondial quotidien moyen au cours de l’exercice précédent. Les fournisseurs peuvent être condamnés à une amende quotidienne sur une période pouvant aller jusqu’à six mois, jusqu’à ce qu’ils se mettent en conformité pour répondre aux attentes du superviseur principal.
La loi DORA établit des exigences techniques pour les entités financières et les fournisseurs de TIC dans quatre domaines :
- Gestion et gouvernance des risques liés aux TIC
- Réponse aux incidents et reporting
- Tests de résilience opérationnelle numérique
- Gestion des risques liés aux tiers
Un cinquième domaine concerne l’échange d’information, qui est encouragé mais facultatif, contrairement aux quatre autres domaines.
Les entités financières concernées par le règlement DORA sont invitées à participer activement à la gestion des risques tiers liés aux TIC. Quand les entités financières externalisent des fonctions critiques et importantes, elles doivent négocier des dispositions contractuelles spécifiques concernant les stratégies de retrait, les audits et les objectifs de performance pour l’accessibilité, l’intégrité et la sécurité des données, entre autres. Les entités ne sont pas autorisées à conclure un contrat avec des fournisseurs de TIC qui ne répondent pas à ces exigences. La BCE et les autorités nationales compétentes sont habilitées à suspendre ou à résilier les contrats non conformes. La Commission européenne étudie la possibilité de rédiger des clauses contractuelles standardisées que les entités et les fournisseurs de TIC pourront utiliser afin de s’assurer que leurs accords respectent la loi DORA.
Les entités financières doivent également cartographier leurs dépendances TIC à l’égard des tiers, et s’assurer que leurs fonctions critiques et importantes ne se concentrent pas de manière excessive chez un seul fournisseur ou un petit groupe de fournisseurs.
Les fournisseurs de services tiers essentiels dans le domaine des TIC seront soumis à une supervision directe de la part des AES concernées. La Commission européenne développe encore les critères qui visent à déterminer quels fournisseurs sont essentiels. Ceux qui satisfont aux normes se verront attribuer l’une des AES en tant que superviseur principal. En plus de faire appliquer les exigences de la loi DORA aux fournisseurs essentiels, les superviseurs principaux sont habilités à interdire aux fournisseurs de conclure des contrats avec des sociétés financières ou d’autres fournisseurs de TIC qui ne se conforment pas aux obligations de la loi DORA.
La loi DORA confie à l’organe de direction d’une entité la responsabilité de la gestion des TIC. Les membres du conseil d’administration, les dirigeants et les cadres supérieurs doivent définir des stratégies de gestion des risques appropriées, participer activement à leur application et actualiser leurs connaissances sur l’évolution des risques TIC. Les dirigeants peuvent également être tenus personnellement responsables de la non-conformité d’une entité.
Les entités concernées sont censées développer des cadres complets de gestion des risques TIC. Elles doivent cartographier leurs systèmes TIC, identifier et classer les actifs et les fonctions critiques, ainsi que documenter les dépendances entre les ressources, les systèmes, les processus et les fournisseurs. Elles doivent également effectuer des évaluations continues des risques sur leurs systèmes TIC, documenter et classer les cybermenaces, ainsi que documenter les étapes employées pour atténuer les risques identifiés.
Dans le cadre du processus d’évaluation des risques, les entités doivent effectuer des analyses d’impact métier pour évaluer la façon dont des scénarios spécifiques et des perturbations graves peuvent affecter l’entreprise. Les entités doivent utiliser les résultats de ces analyses pour définir des niveaux de tolérance aux risques et concevoir leur infrastructure TIC en connaissance de cause.Les entités doivent également mettre en œuvre des mesures appropriées de protection de cybersécurité (politiques de gestion des identités et des accès et politiques de gestion des correctifs) ainsi que des contrôles techniques (systèmes de détection et de réponse étendus, logiciels de gestion des informations et des événements de sécurité (SIEM), et outils d’automatisation et de réponse aux incidents (SOAR)).
Les entités doivent également établir des stratégies de continuité des activités et de reprise après incident pour divers scénarios de cyber-risques, notamment les défaillances de services TIC, les catastrophes naturelles et les cyberattaques. Ces stratégies doivent inclure des mesures de sauvegarde et de restauration des données, des processus de restauration du système et des stratégies de communication avec les clients, les partenaires et les autorités concernés.
Les entités concernées doivent établir des systèmes de surveillance, de gestion, d’enregistrement, de classification et de signalement des incidents liés aux TIC. Selon la gravité de l’incident, les entités peuvent avoir besoin d’effectuer des signalements auprès des régulateurs, mais aussi des clients et des partenaires concernés. Les entités devront remplir trois types de rapports différents pour les incidents critiques : un rapport initial pour informer les autorités, un rapport intermédiaire sur l’avancée de la résolution de l’incident et un rapport final analysant les causes de l’incident.
Les règles qui définissent la manière dont les incidents doivent être classés, quels incidents doivent être signalés et les échéances de déclaration seront bientôt disponibles. Les AES explorent également des moyens de rationaliser le reporting en établissant un hub central et des modèles de rapports communs.
Les entités doivent tester régulièrement leurs systèmes TIC pour évaluer l’efficacité de leurs protections et identifier les vulnérabilités. Les résultats de ces tests et les stratégies visant à remédier aux faiblesses constatées doivent être communiqués aux autorités compétentes pertinentes et validés par ces dernières.
Une fois par an, les entités doivent effectuer des tests, comme des évaluations de vulnérabilités et des tests basés sur des scénarios. Les entités financières dont le rôle est jugé essentiel au système financier devront également être soumises à des tests d’intrusion guidés par la menace (« threat-led penetration testing » ou TLPT) tous les trois ans. Les fournisseurs de TIC essentiels de l’entité devront également participer à ces tests de pénétration. Le 23 janvier 2025, le conseil d’administration de la BCE a approuvé la mise à jour du cadre d’exigences TIBER-EU (Threat Intelligence-based Ethical Red Teaming) pour le piratage éthique fondé sur les renseignements sur les menaces (« red-teaming ») afin de l’aligner entièrement sur les normes techniques réglementaires de la loi DORA sur les tests d’intrusion guidés par la menace en vue de l’entrée en vigueur de la loi DORA le 17 janvier 2025. Le cadre d’exigences TIBER-EU et les documents d’orientation mis à jour sont disponibles sur le site Web de la BCE.
Les entités financières doivent établir des processus permettant de tirer des enseignements des incidents internes et externes liés aux TIC. A cette fin, la loi DORA encourage les entités à s’inscrire dans des accords volontaires de partage de renseignements sur les menaces. Toute information partagée dans ce contexte doit toujours être protégée conformément aux directives applicables. Par exemple, les données personnelles sont toujours soumises au Règlement général sur la protection des données (RGPD).
IBM Cloud s’engage à aider ses clients à renforcer leur résilience opérationnelle numérique pour faire face aux perturbations et à se préparer à respecter leurs obligations DORA. Après des décennies à aider certaines des organisations de services financiers les plus connues au monde à se moderniser, nous sommes forts d’une longue histoire et d’une expertise approfondie. Nous nous engageons ainsi à aider nos clients à stimuler leur croissance tout en réduisant les risques et en s’adaptant à l’évolution de l’environnement réglementaire, notamment pour se conformer à la loi DORA.
En tant que fournisseur de service cloud (CSP), la loi DORA a un double impact sur IBM Cloud :
- Un impact indirect : IBM et ses clients du secteur financier sont tenus de prendre des mesures telles que la révision des politiques et procédures et l’adaptation des outils pour gérer la sécurité, la stabilité et la résilience des systèmes TIC, ainsi que le contenu et le traitement global des accords contractuels, à la fois entre les clients et IBM, et entre IBM et ses fournisseurs.
- Un impact direct : dans le cas où IBM et IBM Cloud seraient désignés comme fournisseur de services tiers critiques (CTPP) de TIC, cela nécessiterait une supervision, selon la loi DORA, où IBM Cloud fournit des services TIC aux clients FE.
À ce jour, IBM n’a pas été officiellement désigné comme fournisseur de TIC critique par les autorités de l’UE. IBM Cloud se prépare toutefois de manière proactive à répondre à d’éventuelles exigences directes, au cas où le groupe serait désigné comme fournisseur de services tiers critiques (CTPP) par les autorités compétentes.
IBM Cloud aide les clients à éclairer leur prise de décision fondée sur les risques. Notre documentation fournit des informations détaillées pour chaque service cloud afin de mettre en évidence les mesures de résilience de service intégrées et d’aider les clients dans leur conception pour faire face à des perturbations potentielles imprévues. Nous incluons une documentation de conformité détaillée pour prouver la robustesse de nos capacités. En outre, IBM Cloud Security and Compliance Center Workload Protection automatise les contrôles de conformité pour IBM Cloud Framework for Financial Services, DORA, PCI et de nombreuses autres normes liées aux secteurs ou aux bonnes pratiques, tant pour vos ressources IBM Cloud que pour celles d’un environnement multicloud.
IBM Cloud propose une plateforme robuste qui permet aux clients de concevoir une mise en œuvre résiliente la plus adaptée à leurs besoins. Nos régions multizones offrent un choix d’emplacements géographiques et des services mondiaux et interzones hautement disponibles, tels que la Gestion des identités et des accès, IBM Cloud Databases, les services de conteneurs (Kubernetes et Red Hat OpenShift), divers services de stockage et le cloud privé virtuel afin de répondre aux exigences de résilience et de conformité des applications pour les workloads les plus exigeantes. Il est en outre possible d’établir une reprise après sinistre interrégionale grâce à des architectures de référence et aux bonnes pratiques afin d’atténuer divers scénarios.
La stabilité est importante, c’est pourquoi IBM Cloud s’assure que les clients disposent des capacités de résilience dont ils ont besoin pour éviter les pannes imprévues, depuis l’approche « everything as code » et les architectures déployables, mises en œuvre via IBM Cloud Schematics, jusqu’à l’architecture réseau hautement disponible et à la solution IBM Cloud Monitoring à la pointe de la technologie. Les fonctionnalités de mise à l’échelle automatique de nombreux services, notamment Virtual Private Cloud, IBM Kubernetes Service, Red Hat OpenShift on IBM Cloud et IBM Cloud Databases, garantissent que les workloads ont une capacité suffisante pour gérer les pics, avec la possibilité d’équilibrer facilement la charge entre les zones ou même entre les régions. Parallèlement, les pratiques DevSecOps, mises en œuvre avec des chaînes d’outils de livraison continue, améliorent la gestion automatisée des versions et les pratiques de conception sécurisée.
La réglementation de la résilience opérationnelle est fondée sur l’idée que les interruptions et les incidents imprévus se produisent malgré les efforts de chacun : la manière dont nous les gérons en réduisant leur fréquence et leur impact est donc primordiale. Nous effectuons régulièrement des tests BCDR et nous veillons à ce que nos processus prennent en charge les objectifs de tolérance à l’impact des clients et à ce que les résultats soient pris en compte dans la formation des employés et l’amélioration continue. En cas d’incidents, nous envoyons des notifications aux clients concernés dans les plus brefs délais, puis nous effectuons une analyse de la cause racine dont nous partageons les conclusions, le cas échéant. De nombreux services IBM Cloud sauvegardent automatiquement les données des clients dans des compartiments Object Storage interrégionaux afin de faciliter la récupération dans une deuxième région en cas d’incident, conformément à notre modèle de responsabilité partagée.
IBM Cloud propose la gamme de services suivante qui vous aidera à répondre aux exigences spécifiques de la loi DORA et à accélérer votre parcours de conformité.
|
1. Gestion des risques liés aux TIC |
|---|
Cloud Pak for Security
Intégrez les outils de sécurité existants pour obtenir des informations plus profondes sur les menaces et les risques, orchestrer les actions et automatiser les réponses.
IBM Cloud Security and Compliance Center – Data Security Broker – Manager
Une solution de sécurité de la suite Security and Compliance Center offrant des politiques de chiffrement centralisées et l’audit des données au niveau des différentes sources de données.
IBM Cloud Security and Compliance Center – Workload Protection
Dans les architectures axées sur les conteneurs et les microservices, vous pouvez utiliser IBM Cloud Security and Compliance Center Workload Protection pour identifier et hiérarchiser les vulnérabilités logicielles, détecter les menaces et y répondre, et gérer les configurations, les autorisations et la conformité de la source à l’exécution.
IBM Key Protect for IBM Cloud
Le service IBM Key Protect for IBM Cloud vous aide à provisionner et à stocker des clés chiffrées pour les applications des services IBM Cloud, afin que vous puissiez voir et gérer le chiffrement des données et tout le cycle de vie des clés depuis un emplacement centralisé.
IBM QRadar Suite
IBM Security QRadar Suite est une solution modernisée de détection et de réponse aux menaces conçue pour unifier l’expérience des analystes de sécurité et leur permettre d’intervenir plus rapidement tout au long du cycle de vie des incidents. Le portefeuille intègre une IA et une automatisation de niveau entreprise afin d’augmenter considérablement la productivité des analystes, ce qui permet aux équipes de sécurité dont les ressources sont limitées de travailler plus efficacement sur les technologies de base. La suite propose des produits intégrés pour la sécurité des terminaux (EDR, XDR, MDR), le SIEM et le SOAR, le tout avec une interface utilisateur commune, des informations partagées et des workflows connectés.
IBM X-Force
X-Force peut vous aider à créer et à gérer un programme de sécurité intégré pour protéger votre organisation des menaces mondiales. Grâce à une compréhension approfondie de la façon dont les cybercriminels pensent, élaborent leurs stratégies et frappent, notre équipe vous aide à prévenir les incidents, mais aussi à les détecter, à y répondre et à récupérer pour vous permettre de vous concentrer sur les priorités de votre entreprise. Les services offensifs et défensifs de X-Force sont appuyés par des services de recherche sur les menaces, de renseignement et de résolution.
IBM Cloud Hardware Security Module
IBM Cloud Hardware Security Module (HSM) 7.0 de Gemalto protège l'infrastructure cryptographique en sécurisant la gestion, le traitement et le stockage des clés cryptographiques à l'intérieur d'un dispositif matériel inviolable. Il vous aide à résoudre les problèmes complexes de sécurité, de conformité, de souveraineté des données et de contrôle lors de la migration et de l'exécution des charges de travail sur le cloud.
Confidential computing
Protégez vos données au repos, en transit et en cours d’utilisation avec la plus large sélection de technologies de sécurité des données et de chiffrement d’IBM Z, d’IBM LinuxONE et d’Intel Xeon sur IBM Cloud.
IBM Security Guardium
IBM Security Guardium est une famille de logiciels de sécurité des données du portefeuille IBM Security qui identifie les vulnérabilités et protège les données sensibles sur site et dans le cloud.
Services de stockage IBM Cloud
Nos services de stockage cloud offrent un espace évolutif, sécurisé et rentable pour stocker vos données, tout en prenant en charge les workloads traditionnels et cloud natifs. Provisionnez et déployez trois types de stockage : objet, bloc et fichier, dont vous pouvez ajuster la capacité et optimiser les performances en fonction de l’évolution de vos besoins. Ainsi, vous payez uniquement pour le stockage cloud dont vous avez besoin.
IBM Cloud Backup
IBM Cloud Backup est un système complet de sauvegarde et de récupération de stockage avec agent, géré sur une interface web. Sauvegardez des données entre les serveurs IBM Cloud dans un ou plusieurs des centres de données mondiaux d’IBM Cloud.
Services IBM Cloud Database
Les services IBM Cloud Database-as-a-Service (DBaaS) libèrent les développeurs et l’informatique des tâches complexes et chronophages, notamment le déploiement des logiciels d’infrastructure et de base de données, les opérations d’infrastructure, les mises à jour logicielles des bases de données et la sauvegarde. IBM Cloud Database pour les PME permet de fournir et de gérer des instances de base de données prêtes à l’emploi et hautement disponibles, permettant aux développeurs et au personnel informatique de se concentrer sur d’autres priorités.
IBM Cloud Container Registry
Stockez et distribuez des images de conteneur dans un registre privé entièrement géré. Appuyez sur des images privées pour les exécuter facilement dans IBM Cloud Kubernetes Service et dans d'autres environnements d'exécution. Les images sont vérifiées pour détecter tout problème de sécurité afin que vous puissiez prendre des décisions éclairées concernant vos déploiements.
Gestion du cycle de vie d’une application DevSecOps
L’architecture déployable de gestion du cycle de vie des applications DevSecOps crée un ensemble de chaînes d’outils et de pipelines DevOps. DevSecOps utilise la livraison continue (CD) (Git Repos and Issue Tracking, Tekton Pipelines, IBM Cloud DevOps Insights et Code Risk Analyzer), Secrets Manager, IBM Key Protect, IBM Cloud Object Storage, IBM Cloud Container Registry et Vulnerability Advisor.
Solutions d’observabilité d’IBM Cloud
Observability offre une visibilité approfondie des applications distribuées modernes pour une identification et une résolution plus rapides et automatisées des problèmes.
|
2. Signalement des incidents |
|---|
IBM X-Force
X-Force peut vous aider à créer et à gérer un programme de sécurité intégré pour protéger votre organisation des menaces mondiales. Grâce à une compréhension approfondie de la façon dont les cybercriminels pensent, élaborent leurs stratégies et frappent, notre équipe vous aide à prévenir les incidents, mais aussi à les détecter, à y répondre et à récupérer pour vous permettre de vous concentrer sur les priorités de votre entreprise. Les services offensifs et défensifs de X-Force sont appuyés par des services de recherche sur les menaces, de renseignement et de résolution.
IBM QRadar Suite
IBM Security QRadar Suite est une solution modernisée de détection et de réponse aux menaces conçue pour unifier l’expérience des analystes de sécurité et leur permettre d’intervenir plus rapidement tout au long du cycle de vie des incidents. Le portefeuille intègre une IA et une automatisation de niveau entreprise afin d’augmenter considérablement la productivité des analystes, ce qui permet aux équipes de sécurité dont les ressources sont limitées de travailler plus efficacement sur les technologies de base. La suite propose des produits intégrés pour la sécurité des terminaux (EDR, XDR, MDR), le SIEM et le SOAR, le tout avec une interface utilisateur commune, des informations partagées et des workflows connectés.
IBM Security Guardium
IBM Security Guardium est une famille de logiciels de sécurité des données du portefeuille IBM Security qui identifie les vulnérabilités et protège les données sensibles sur site et dans le cloud.
Solutions d’observabilité d’IBM Cloud
Observability offre une visibilité approfondie des applications distribuées modernes pour une identification et une résolution plus rapides et automatisées des problèmes.
|
3. Tests de résilience opérationnelle |
|---|
IBM Cloud Security and Compliance Center – Workload Protection
Dans les architectures axées sur les conteneurs et les microservices, vous pouvez utiliser IBM Cloud Security and Compliance Center Workload Protection pour identifier et hiérarchiser les vulnérabilités logicielles, détecter les menaces et y répondre, et gérer les configurations, les autorisations et la conformité de la source à l’exécution.
IBM X-Force
X-Force peut vous aider à créer et à gérer un programme de sécurité intégré pour protéger votre organisation des menaces mondiales. Grâce à une compréhension approfondie de la façon dont les cybercriminels pensent, élaborent leurs stratégies et frappent, notre équipe vous aide à prévenir les incidents, mais aussi à les détecter, à y répondre et à récupérer pour vous permettre de vous concentrer sur les priorités de votre entreprise. Les services offensifs et défensifs de X-Force sont appuyés par des services de recherche sur les menaces, de renseignement et de résolution.
IBM QRadar Suite
IBM Security QRadar Suite est une solution modernisée de détection et de réponse aux menaces conçue pour unifier l’expérience des analystes de sécurité et leur permettre d’intervenir plus rapidement tout au long du cycle de vie des incidents. Le portefeuille intègre une IA et une automatisation de niveau entreprise afin d’augmenter considérablement la productivité des analystes, ce qui permet aux équipes de sécurité dont les ressources sont limitées de travailler plus efficacement sur les technologies de base. La suite propose des produits intégrés pour la sécurité des terminaux (EDR, XDR, MDR), le SIEM et le SOAR, le tout avec une interface utilisateur commune, des informations partagées et des workflows connectés.
IBM Security Guardium
IBM Security Guardium est une famille de logiciels de sécurité des données du portefeuille IBM Security qui identifie les vulnérabilités et protège les données sensibles sur site et dans le cloud.
Gestion du cycle de vie d’une application DevSecOps
L’architecture déployable de gestion du cycle de vie des applications DevSecOps crée un ensemble de chaînes d’outils et de pipelines DevOps. DevSecOps utilise la livraison continue (CD) (Git Repos and Issue Tracking, Tekton Pipelines, IBM Cloud DevOps Insights et Code Risk Analyzer), Secrets Manager, IBM Key Protect, IBM Cloud Object Storage, IBM Cloud Container Registry et Vulnerability Advisor.
|
4. Gestion des risques liés aux tiers |
|---|
IBM Cloud Security and Compliance Center – Workload Protection
Dans les architectures axées sur les conteneurs et les microservices, vous pouvez utiliser IBM Cloud Security and Compliance Center Workload Protection pour identifier et hiérarchiser les vulnérabilités logicielles, détecter les menaces et y répondre, et gérer les configurations, les autorisations et la conformité de la source à l’exécution.
|
5. Partage d’informations et de renseignements |
|---|
IBM X-Force
X-Force peut vous aider à créer et à gérer un programme de sécurité intégré pour protéger votre organisation des menaces mondiales. Grâce à une compréhension approfondie de la façon dont les cybercriminels pensent, élaborent leurs stratégies et frappent, notre équipe vous aide à prévenir les incidents, mais aussi à les détecter, à y répondre et à récupérer pour vous permettre de vous concentrer sur les priorités de votre entreprise. Les services offensifs et défensifs de X-Force sont appuyés par des services de recherche sur les menaces, de renseignement et de résolution.
Cloud Pak for Security
Intégrez les outils de sécurité existants pour obtenir des informations plus profondes sur les menaces et les risques, orchestrer les actions et automatiser les réponses.
IBM a mis à la disposition de ses clients des services financiers un certain nombre de ressources leur permettant de se préparer à se conformer à la loi DORA.
Ces ressources peuvent être utilisées lorsque les entités financières commencent à définir leurs expositions aux risques, à identifier les dépendances envers des tiers et à développer une approche de résilience opérationnelle numérique.