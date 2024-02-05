Le Règlement sur la résilience opérationnelle numérique (DORA) marque une étape importante dans les efforts de l’Union européenne (UE) pour renforcer la résilience opérationnelle du secteur financier à l’ère numérique. Conçu pour traiter de manière globale la gestion des risques liés aux technologies de l’information et de la communication (TIC) dans les services financiers, DORA vise à harmoniser les réglementations existantes entre les États membres de l’UE. Il exige que toutes les institutions financières relevant de son champ d’application développent la résilience opérationnelle numérique nécessaire, en mettant l’accent sur une approche personnalisée pour chaque organisation.
Pour appliquer efficacement le règlement DORA, les établissements financiers sont invités à se concentrer sur la maîtrise des capacités fondamentales dans quatre grands domaines : les données, les opérations, la gestion des risques, ainsi que l’automatisation et l’IA. En combinant stratégiquement les technologies dans ces domaines, les entreprises peuvent améliorer leur capacité à intégrer la sécurité, à réduire les risques, à permettre une surveillance continue, à garantir la continuité adaptative des activités, à favoriser l’interopérabilité et à rationaliser la gouvernance.
Bien que les établissements financiers soient confrontés à un contexte économique difficile, le règlement DORA n’est pas seulement une obligation coûteuse de plus. Au contraire, il constitue une opportunité de transformer les dépenses de conformité en investissements stratégiques visant à améliorer les performances de l’entreprise. Adopter cette mentalité leur permet de rechercher à la fois la conformité et la valeur à long terme de leurs investissements dans la résilience opérationnelle numérique.
Le confidential computing et le chiffrement des données jouent un rôle important dans la garantie totale de la confidentialité des données, leur protection lorsqu’elles sont utilisées, en mémoire, et l’extension de cette protection aux systèmes et aux administrateurs cloud, qui continueront à gérer l’infrastructure sans avoir accès aux données.
Ce point est également souligné dans le règlement DORA, dans les normes techniques réglementaires (RTS) présentées pour consultation publique (1, lien externe à ibm.com), à l’article 6, qui traite du chiffrement et des contrôles cryptographiques, et à l’article 7, qui traite de la gestion des clés cryptographiques.
Selon l’article 6 des RTS, le chiffrement des données est considéré comme essentiel tout au long de leur cycle de vie, qu’elles soient au repos, en mouvement ou en cours d’utilisation. Cela correspond parfaitement à l’idée selon laquelle la confidentialité totale des données, telle que requise par le règlement DORA, nécessite une approche globale du chiffrement, garantissant la protection des informations sensibles à chaque étape de leur existence.
En outre, l’article 6 des RTS souligne la nécessité de chiffrer l’intégralité du trafic réseau, tant interne qu’externe. Cette exigence renforce l’idée selon laquelle un canal de communication sécurisé et chiffré est primordial, ce qui fait écho à la nécessité d’une chaîne de confiance robuste et interconnectée, du matériel à la solution, comme mentionné dans le texte original.
L’article 7 des RTS traite de la gestion des clés cryptographiques, soulignant l’importance de la gestion du cycle de vie des clés cryptographiques. Cela correspond à l’idée selon laquelle les composants technologiques permettant le confidential computing doivent former une chaîne de confiance interconnectée. En garantissant l’immuabilité et l’authentification de l’environnement d’exécution de confiance, les établissements financiers peuvent répondre aux attentes du règlement DORA énoncées à l’article 7.
En conclusion, les principes du confidential computing et de la cryptographie, tels qu’énoncés dans le texte original, trouvent un écho dans les exigences spécifiques énoncées au sein des RTS. Le respect de ces normes réglementaires garantit non seulement la conformité avec le règlement DORA, mais établit également un cadre solide pour la protection des données financières sensibles grâce au chiffrement et à des pratiques efficaces de gestion des clés.
Afin de garantir une confidentialité totale des données, le confidential computing et la cryptographie constituent des éléments essentiels. Les composants technologiques permettant le confidential computing doivent former une chaîne de confiance interconnectée, du matériel à la solution, offrant un environnement d’exécution fiable, immuable et authentifié.
Une sécurité totale des données garantissant confidentialité, souveraineté et résilience numérique nécessite une protection de bout en bout tout au long du cycle de vie des données et de la pile technologique. Le confidential computing garantit que les fournisseurs de cloud n’accèdent pas aux données sur la base de la confiance, de la visibilité et du contrôle, mais plutôt sur la base de preuves techniques, du chiffrement des données et de l’isolation de l’exécution.
L’assurance technique est essentielle afin d’empêcher tout accès non autorisé aux données. Cela implique que les administrateurs cloud, les fournisseurs, les éditeurs de logiciels et les ingénieurs chargés de la fiabilité des sites ne peuvent pas accéder aux données lorsqu’elles sont utilisées. L’assurance technique garantit que le fournisseur de services cloud ne peut divulguer aucune donnée en cas de demande légale, empêchant ainsi toute violation des règles de protection des données, indépendamment de la législation et de l’application de la loi.
La protection des données avec une assurance technique favorise la souveraineté des données et la résilience numérique. Cela signifie que le contrôle total des données réelles appartient à l’utilisateur de cloud, et non au fournisseur de cloud. En s’appuyant sur le confidential computing et la cryptographie, les établissements financiers peuvent répondre aux exigences strictes du règlement DORA. Cela garantit le plus haut niveau d’assurance technique et protège leurs opérations numériques dans un paysage en constante évolution.
En conclusion, le règlement DORA n’est pas seulement une question de conformité, mais aussi une opportunité pour les établissements financiers d’investir stratégiquement dans la résilience opérationnelle numérique. En intégrant le confidential computing et la cryptographie dans leur stratégie, les entreprises peuvent surfer sur la vague numérique en toute confiance, en garantissant la confidentialité, la sécurité et le contrôle des données dans un paysage numérique en constante évolution.
