SECTEUR · BANQUE ET FINANCE

Banques, fintechs
et services financiers.

Le secteur financier européen opère sous le régime DORA (Digital Operational Resilience Act), PCI-DSS pour les cartes, EBA Guidelines on ICT Risk Management, MiFID II et la réglementation locale des banques centrales. Itamite couvre la couche TIC opérationnelle : inventaire, hardening, audit immuable et contrôle distant auditable que votre département conformité peut démontrer au superviseur.

Voir les tarifs Démo banque

DORA s'applique depuis le 17 janvier 2025

DORA est directement applicable : banques, assureurs, fonds, gestionnaires d'actifs, plateformes crypto, infrastructures de marché et fournisseurs TIC critiques. L'Art. 6 exige un cadre de gestion des risques TIC, l'Art. 9 protection+prévention+détection, l'Art. 10 détection, l'Art. 11 réponse et reprise, l'Art. 17 gestion des incidents avec notification 4h au superviseur. Sans un inventaire TIC à jour et un système d'audit opérationnel, vous ne pouvez pas vous conformer à DORA.

PCI-DSS v4.0 s'applique à toute entité qui traite, stocke ou transmet des données de cartes : banques émettrices, acquéreurs, commerçants, ISV, passerelles. Requirement 2 (configuration hardening), Requirement 6 (correctifs), Requirement 8 (authentification), Requirement 10 (logs et audit), Requirement 11 (vulnerability scanning) — Itamite couvre la partie endpoints et serveurs dans le périmètre.

Cas typiques : banque moyenne avec 5 000 postes répartis entre agences et siège. Assureur avec 1 500 employés et réseau de courtiers. Fintech avec 200 ingénieurs et exigences DORA post-levée de fonds. Gestionnaire d'actifs avec 80 personnes et exigences EBA du superviseur.

CAS D'USAGE BANQUE ET FINANCE

Ce qu'Itamite fait pour les entités financières

Inventaire TIC pour DORA Art. 8

Inventaire complet et à jour de tous les actifs TIC : matériel, logiciels, dépendances, criticité, localisation, propriétaire, connexions. Itamite génère l'« ICT Asset Register » exigé par DORA avec export auditable et traçabilité des changements.

Hardening PCI-DSS v4.0 Requirement 2

Modèles préconfigurés pour les CIS Benchmarks appliqués automatiquement : politiques de mot de passe, services désactivés, ports fermés, BitLocker/FileVault, antivirus EDR, pare-feu. Détection automatique des dérives par rapport au baseline.

Gestion des correctifs sous SLA

Conforme à PCI-DSS Req. 6 et DORA Art. 9 : correctifs critiques sous 30 jours, sévères sous 90 jours, normaux sous 12 mois. Itamite reporte automatiquement la compliance window. Exceptions documentées avec justification signée par le CISO.

Audit immuable pour le superviseur

Hash-chain SHA-256 impossible à manipuler, même par les administrateurs. Chaque action technique, chaque accès distant, chaque changement de configuration est conservé avec timestamp et hash vérifiable. Prêt pour les inspections de l'ACPR, ESMA, EBA, superviseurs nationaux.

Accès distant auditable aux environnements sensibles

Sessions distantes vers les équipements en zone PCI/cardholder data environment avec enregistrement optionnel (SHA-256), MFA obligatoire, autorisation just-in-time, rétention de l'audit log au moins 12 mois. Conforme à PCI-DSS Req. 8 et 10.

Reporting d'incidents DORA Art. 17

Lorsqu'un incident TIC classifiable est détecté, Itamite fournit une timeline forensique complète : endpoints affectés, schémas d'accès anormaux, actions techniques entreprises. Matériel direct pour le rapport 4h au superviseur.

Programme Itamite Finance

Pour les entités financières Enterprise : setup spécifique incluant des modèles DORA + PCI-DSS + EBA Guidelines, formation du département conformité, plan d'audit annuel avec accompagnement d'un partenaire auditeur, hébergement optionnel en datacenter financier certifié (PCI-DSS Level 1), intégration native avec SIEM (Splunk, QRadar, Sentinel), support 24x7 avec SLA financier et ligne d'escalade superviseur préparée.

Modèles DORA Art. 8 ICT Asset Register préconfigurés
Modèles PCI-DSS v4.0 (Requirements 2, 6, 8, 10, 11) prêts à l'emploi
Hébergement optionnel en datacenter certifié PCI-DSS Level 1
Intégration native avec SIEM (Splunk, QRadar, Microsoft Sentinel, Elastic)
Support 24x7 avec SLA financier (incident critique <15 min)

FAQ

Questions du secteur financier

Itamite couvre-t-il l'intégralité de DORA ?

Itamite couvre la couche TIC opérationnelle de DORA : Art. 6 (inventaire), Art. 8 (asset register), Art. 9 (protection/correctifs/hardening), Art. 10 (détection d'anomalies), Art. 17 (forensique pour reporting). Il ne couvre pas les sujets non-TIC : gouvernance exécutive, contrats avec les fournisseurs TIC critiques, tests de résilience avancés (TLPT), Penetration Testing.

Puis-je utiliser Itamite dans un environnement PCI avec CDE (Cardholder Data Environment) ?

Oui, Itamite est compatible CDE. L'agent peut fonctionner sur une liste contrôlée de logiciels, sans trafic sortant vers Internet (proxy white-list), avec chiffrement mTLS et audit complet. Documentation PCI-DSS spécifique disponible sous NDA.

Itrion est-il un fournisseur TIC critique sous DORA ?

Itrion n'est pas un ICT third-party service provider critique (CTPP) déclaré comme tel par la Commission. Mais en tant que fournisseur de services TIC, nous signons le contrat exigé par DORA Art. 30 avec toutes les clauses obligatoires : droit d'audit, résiliation, escalade, exit plan, lieu de traitement.

Comment cela s'articule-t-il avec les EBA Guidelines on ICT and Security Risk Management ?

Les EBA Guidelines sont la base sur laquelle DORA est construit. Itamite couvre les mêmes points : inventaire des actifs, identité et accès, gestion des changements, gestion des incidents, business continuity pour le TIC, gestion des fournisseurs. Les mêmes modèles et rapports fonctionnent pour les deux cadres.

Prêt pour inspection DORA ou audit PCI

Démo Enterprise avec modèles DORA + PCI + EBA préconfigurés. SLA financier et BAA juridique préparés.