DORA détection des vulnérabilités avec PATROWL : au fait, en DORA dans le texte, on parle de quoi, exactement ?

«vulnérabilité» (définition article 3.22) Règlement UE DORA du 14 décembre 2022) :

« une faiblesse, une susceptibilité ou un défaut d’un actif, d’un système, d’un processus ou d’un contrôle qui peuvent être exploités« .

C’est bien, écrit, hein ? ça aide à comprendre, non ? 

Vous avez le droit de soupirer…

Mais si vous lisez ces quelques lignes, vous serez surement étonné(e) d’apprendre qu’il existe un tas de définitions légales dans DORA (65 pour être précis).

Je vous en livre quelques unes des plus croustillantes :

(DORA article 3.5) «risque lié aux TIC»: « toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique » 

(DORA article 3.8) «incident lié aux TIC»: « un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière » 

Allez, une dernière pour la route…

(DORA article 3.13) «cybermenace importante»: « une cybermenace dont les caractéristiques techniques indiquent qu’elle pourrait donner lieu à un incident majeur lié aux TIC ou à un incident opérationnel ou de sécurité majeur lié au paiement »