Flux

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats d'entreprise & gestion
Horizon

CLM

Gestion du cycle de vie des certificats, découverte, gouvernance & automatisation
Parler à un expert Voir toutes les intégrations

Cas d’utilisation

Certificats TLS serveur

Sécuriser le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous les certificats

Certificats DevOps

Automatiser pour les pipelines CI/CD

Chiffrement des e‑mails

S/MIME pour les courriels d'entreprise
Voir tous les cas d'utilisation

Secteurs

de clients sur le secteur financier

Secteur public

Santé

Énergie & services publics

Aérospatiale & défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations de cybersécurité de l'UE

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique & confiance

RGPD

Protection des données & vie privée

Loi sur la résilience cyber

Réglementation de la sécurité des produits de l'UE
Voir toutes les réglementations
Parler à un expert

Apprendre

Guide

25 articles

Guides et tutoriels PKI approfondis

Glossaire

Plus de 50 termes

Terminologie PKI & cryptographie

Centre d'éducation

Vidéos et ressources d'apprentissage

Livres blancs

Ressources techniques approfondies

Outils & analyses

Décodeur Crypto

Gratuit

Décodez et validez les certificats

Blog & Analyses

Tendances et analyses en cybersécurité

Salle de presse

Actualités et mises à jour de l'entreprise

Événements & Communauté

Webinaires

Sessions dirigées par des experts sur PKI

Événements & Conférences

Rencontrez-nous partout dans le monde

Kit média

Logos et éléments de marque
Contacter les ventes Explorer toutes les ressources
Réglementation UE En vigueur

Opérationnel numérique Loi sur la résilience

Le règlement UE établissant des exigences uniformes de gestion des risques TIC pour le secteur financier, y compris la gestion des clés cryptographiques, la gouvernance des certificats et la supervision des tiers.

Faits rapides

Statut
En vigueur
Type
Réglementation UE
Portée
TIC du secteur financier
En vigueur
janv. 2025
Supervision
ESAs (EBA, ESMA, EIOPA)

Vue d'ensemble

Le Loi sur la résilience opérationnelle numérique (DORA) crée un cadre complet pour la résilience opérationnelle numérique dans l'ensemble du secteur financier de l'UE. Il établit des exigences uniformes pour la gestion des risques TIC, la déclaration d'incidents, les tests de résilience et la supervision des fournisseurs tiers.

L'article 9 impose aux entités financières de mettre en œuvre des contrôles cryptographiques et la gestion des clés des politiques dans le cadre de leur dispositif de sécurité TIC. L'article 15 exige des évaluations approfondies des risques TIC qui englobent l'infrastructure de certificats et les actifs cryptographiques. Ces exigences font de la gouvernance PKI robuste une nécessité réglementaire.

DORA s'applique largement aux banques, aux assureurs, aux sociétés d'investissement, aux fournisseurs de services d'actifs cryptographiques, et — de façon critique — fournisseurs tiers critiques de TIC tels que les services cloud et les fournisseurs d'infrastructure. Cette portée étendue signifie que les pratiques de gestion des certificats doivent être régies non seulement en interne mais aussi à travers l'ensemble de la chaîne d'approvisionnement.

Clé Exigences

Cadre de gestion des risques TIC (Art. 6-16)

Les entités financières doivent établir et maintenir un cadre complet de gestion des risques TIC, incluant les capacités d'identification, de protection, de détection, de réponse et de récupération.

Cycle de vie des clés cryptographiques (Art. 9.4)

Les entités doivent mettre en œuvre des politiques et procédures pour la gestion des clés cryptographiques tout au long de leur cycle de vie, y compris la génération, le stockage, la distribution, la rotation et la destruction.

Risque TIC des tiers (Art. 28-44)

Les entités financières doivent gérer les risques provenant des fournisseurs TIC tiers, y compris les exigences contractuelles en matière de gestion des certificats, de contrôles de sécurité et de stratégies de sortie.

Déclaration d'incident (Art. 17-23)

Les incidents majeurs liés aux TIC — y compris les violations liées aux certificats et les défaillances cryptographiques — doivent être classés, signalés et communiqués aux autorités compétentes dans des délais stricts.

Test de résilience opérationnelle numérique (Art. 24-27)

Les entités doivent effectuer des tests réguliers des systèmes TIC, y compris des tests d’intrusion dirigés par les menaces (TLPT) pour les institutions importantes, couvrant l’infrastructure de certificats et les contrôles cryptographiques.

Partage d’informations (Art. 45)

Les entités financières sont encouragées à participer à des dispositifs de partage de renseignements sur les menaces cybernétiques, échangeant des informations sur les risques TIC, les vulnérabilités et les indicateurs de compromission.

Clé Jalons

20
2020

Proposé par la Commission européenne

La CE propose DORA dans le cadre du paquet Finance numérique, visant à harmoniser la gestion des risques TIC dans le secteur financier.

22
2022

Adopté nov. 2022

Le Parlement européen et le Conseil adoptent formellement le règlement (UE) 2022/2554, établissant un cadre complet de résilience numérique pour les entités financières.

24
2024

Normes techniques publiées

Les autorités de surveillance européennes (ESA) publient des normes techniques réglementaires (RTS) détaillées et des normes techniques d'application (ITS) pour la conformité DORA.

25
2025

Application complète le 17 janvier 2025

DORA devient pleinement applicable dans l'ensemble de l'UE. Les entités financières et les fournisseurs tiers critiques de TIC doivent se conformer à toutes les exigences.

25+
2025+ Actuel

Cadre de supervision pour les fournisseurs critiques de TIC

Les AES commencent à exercer leurs pouvoirs de surveillance sur les fournisseurs de services tiers critiques en TIC désignés, y compris les fournisseurs de cloud et d'infrastructure.

Impact sur PKI & Certificates

DORA élève la gestion des certificats et des clés d'une préoccupation opérationnelle à une exigence réglementaire pour le secteur financier. Voici les domaines critiques:

1

Gestion des certificats dans le cadre du risque TIC

Les certificats doivent être inventoriés et gérés au sein du cadre plus large de gestion des risques TIC, avec une propriété claire, des politiques et des contrôles du cycle de vie.

2

Gestion du cycle de vie des clés selon l'art. 9.4

La gestion des clés cryptographiques doit couvrir l’ensemble du cycle de vie — de la génération à la distribution, le stockage, la rotation et la destruction sécurisée — avec des politiques et procédures documentées.

3

Infrastructure de certificats dans le risque des tiers

Les évaluations des fournisseurs TIC tiers doivent inclure l’examen de leurs pratiques de gestion des certificats, des chaînes de confiance des AC et des contrôles de sécurité cryptographique.

4

Réponse aux incidents pour les violations de certificats

Les compromissions de certificats, les violations d'AC et les échecs cryptographiques doivent être classés et signalés comme incidents TIC conformément au cadre de signalement obligatoire de DORA's.

Comment nous aidons

Evertrust & DORA

Inventaire complet des certificats pour la cartographie des actifs TIC — Découvrez et cataloguez tous les certificats de votre infrastructure financière, répondant aux exigences d'identification des actifs TIC de DORA.

Cycle de vie automatisé pour la résilience opérationnelle — Prévenez les pannes liées aux certificats grâce au renouvellement et à la rotation automatisés, assurant une résilience opérationnelle continue des systèmes financiers critiques.

Pistes d’audit pour les rapports réglementaires — Générez des journaux détaillés du cycle de vie des certificats et des rapports de conformité prêts pour l’examen de l’autorité de surveillance conformément aux obligations de reporting de DORA.

Gestion Multi-CA pour la supervision des tiers — Gérer les certificats provenant de plusieurs autorités de certification dans une interface unique, permettant une visibilité sur les pratiques de certificats des fournisseurs TIC tiers.

Parler à un expert Découvrez Horizon
Retour au Centre de conformité Obtenez des conseils d'expert