DORA · Règlement (UE) 2022/2554

Surveillez vos prestataires sur le dark web.

Voyez quelles exigences DORA OwlyScan couvre, avec des preuves à l’appui.

Hébergé en UE · Rapports prêts pour l’audit · Vérification gratuite

OwlyScan

Qu’est-ce qu’OwlyScan ?

OwlyScan est une plateforme de veille du deep et du dark web. Elle indexe les documents, tous formats et toutes langues, surveille votre entreprise et vos fournisseurs, et transforme les signaux en alertes et rapports prêts pour l’audit.

  • Veille continue sur vous, vos fournisseurs et leurs sous-traitants
  • Identifiants, contrats, code source, bases de données, mentions, et plus
  • Alertes et rapports exploitables par l’audit, les clients et les équipes IR

Comment OwlyScan répond aux exigences

  1. 01

    Nommez la chaîne TIC dont vous dépendez

    Votre entité, vos prestataires de services TIC critiques et les tiers de confiance entrent dans la liste de veille, pas seulement les hyperscalers.

  2. 02

    Exercez une due diligence cyber continue

    OwlyScan indexe les sources clandestines et fait remonter identifiants, contrats et documents qui exposent votre entité ou vos prestataires.

  3. 03

    Gardez la preuve pour la résilience et l’audit

    Alertes et rapports prêts pour l’audit montrent que la veille d’exposition des tiers fonctionne dans le temps.

OwlyScan couvre certaines mesures par la veille externe et la preuve. Ce n’est pas une certification, et cela ne remplace pas votre programme de conformité complet.

Les exigences couvertes par OwlyScan

Là où OwlyScan couvre l’exigence

Réf. Domaine Ce que le référentiel demande Couverture Comment OwlyScan aide
Art. 28 Risque lié aux prestataires de services TIC Gérer le risque lié aux prestataires de services TIC : identifier, évaluer et suivre les risques découlant de ces prestataires, y compris la concentration et les prestataires critiques. Couvert Veille continue deep et dark web sur les prestataires TIC et fournisseurs clés nommés, avec alertes et rapports pour les dossiers de risque tiers.
Arts. 28–30 Suivi des prestataires · due diligence cyber Suivi et due diligence continus des arrangements avec les prestataires de services TIC au-delà de la signature du contrat. Couvert Surveille ce qui circule sur les prestataires (identifiants, contrats, dumps, mentions) ; preuve que la veille de due diligence cyber est opérationnelle dans le temps.
Art. 28 Couvert
Risque lié aux prestataires de services TIC

Gérer le risque lié aux prestataires de services TIC : identifier, évaluer et suivre les risques découlant de ces prestataires, y compris la concentration et les prestataires critiques.

Veille continue deep et dark web sur les prestataires TIC et fournisseurs clés nommés, avec alertes et rapports pour les dossiers de risque tiers.

Arts. 28–30 Couvert
Suivi des prestataires · due diligence cyber

Suivi et due diligence continus des arrangements avec les prestataires de services TIC au-delà de la signature du contrat.

Surveille ce qui circule sur les prestataires (identifiants, contrats, dumps, mentions) ; preuve que la veille de due diligence cyber est opérationnelle dans le temps.

Là où OwlyScan appuie l’exigence

Réf. Domaine Ce que le référentiel demande Couverture Comment OwlyScan aide
Arts. 9–10 Détection et réponse Détecter les activités anormales et répondre aux incidents liés aux TIC. Partiel Signal externe précoce quand des identifiants ou documents apparaissent sur les canaux clandestins. Pas de détection d’anomalies internes ni d’outil de confinement.
Art. 17 Gestion des incidents liés aux TIC Détecter, gérer et notifier les incidents liés aux TIC via des processus définis. Partiel Alertes et mode investigation pour cadrer ce qui circule sur les canaux clandestins ; la propriété du processus reste à l’entité.
Art. 19 Notification d’incident majeur lié aux TIC Notifier les incidents majeurs liés aux TIC aux autorités compétentes dans les délais impartis. Partiel Artefacts horodatés pour la chronologie et le récit. Ne dépose pas les notifications.
Arts. 5–6 Cadre de gestion des risques TIC Identifier les risques TIC, protéger les systèmes et les données, et maintenir un cadre de gestion des risques TIC. Partiel Preuve d’exposition objective pour l’entité et les prestataires comme entrée d’analyse de risque, au-delà de l’auto-déclaration.
Art. 13 Apprentissage et amélioration Tirer les enseignements des incidents liés aux TIC et des menaces cyber, et améliorer les mesures en conséquence. Partiel Les sorties d’investigation alimentent le retour d’expérience. Ce n’est pas un système complet de gestion de l’apprentissage.
Art. 45 Partage d’information Arrangements volontaires pour partager des informations et du renseignement sur les menaces cyber au sein de communautés de confiance. Partiel Renseignement issu de sources clandestines au périmètre de l’entité, susceptible d’alimenter un partage. Ne gère pas les ISAC ni les véhicules juridiques de partage.
Arts. 9–10 Partiel
Détection et réponse

Détecter les activités anormales et répondre aux incidents liés aux TIC.

Signal externe précoce quand des identifiants ou documents apparaissent sur les canaux clandestins. Pas de détection d’anomalies internes ni d’outil de confinement.

Art. 17 Partiel
Gestion des incidents liés aux TIC

Détecter, gérer et notifier les incidents liés aux TIC via des processus définis.

Alertes et mode investigation pour cadrer ce qui circule sur les canaux clandestins ; la propriété du processus reste à l’entité.

Art. 19 Partiel
Notification d’incident majeur lié aux TIC

Notifier les incidents majeurs liés aux TIC aux autorités compétentes dans les délais impartis.

Artefacts horodatés pour la chronologie et le récit. Ne dépose pas les notifications.

Arts. 5–6 Partiel
Cadre de gestion des risques TIC

Identifier les risques TIC, protéger les systèmes et les données, et maintenir un cadre de gestion des risques TIC.

Preuve d’exposition objective pour l’entité et les prestataires comme entrée d’analyse de risque, au-delà de l’auto-déclaration.

Art. 13 Partiel
Apprentissage et amélioration

Tirer les enseignements des incidents liés aux TIC et des menaces cyber, et améliorer les mesures en conséquence.

Les sorties d’investigation alimentent le retour d’expérience. Ce n’est pas un système complet de gestion de l’apprentissage.

Art. 45 Partiel
Partage d’information

Arrangements volontaires pour partager des informations et du renseignement sur les menaces cyber au sein de communautés de confiance.

Renseignement issu de sources clandestines au périmètre de l’entité, susceptible d’alimenter un partage. Ne gère pas les ISAC ni les véhicules juridiques de partage.

Avant, pendant et après un incident lié aux TIC

La gestion d’incident DORA et la supervision des tiers ont besoin de signaux externes. La publication clandestine en est souvent un des premiers.

Avant

La veille continue sur vous et vos prestataires TIC critiques appuie le suivi art. 28 avant qu’un incident majeur lié aux TIC soit déclaré.

Pendant

Les alertes déclenchées quand des données de votre entité ou d’un prestataire apparaissent sur les canaux clandestins alimentent la détection et l’analyse (art. 9–10 et 17).

Après

Le mode investigation circonscrit ce qui a été publié, sur qui, depuis quand, pour le récit art. 19 et l’apprentissage art. 13.

OwlyScan n’isole pas les systèmes, ne conduit pas de TLPT, ne restaure pas les services bancaires centraux et ne dépose pas les notifications auprès des autorités compétentes.

Des preuves exploitables

Des livrables conçus pour la résilience opérationnelle, la conformité, les achats et le risque TIC.

  • Alertes dès la première mention pertinente de vous ou d’un prestataire nommé
  • Rapports de veille prêts pour l’audit et les dossiers de risque tiers
  • Vues d’exposition prestataires pour la due diligence cyber
  • Éléments sourcés pour l’analyse d’incident et la remédiation

À qui s’adresse cette cartographie

  • RSSI et responsables de la résilience opérationnelle
  • Conformité et pilotes du programme DORA
  • Achats et due diligence cyber des prestataires
  • MSSP et conseils des entités financières
  • CSIRT et équipes de remédiation

Hébergé en UE · Rapports prêts pour l’audit · Vérification gratuite