Dora : comment assurer la conformité et la sécurité des communications

Il y a peu de secteurs où une communication fiable et sécurisée entre entités est aussi importante que dans celui de la finance. Les enjeux liés à ses flux d’informations en font cependant un secteur ultra-exposé aux cybermenaces – une vulnérabilité reconnue par l’Union européenne (UE), qui souhaite en garantir la cyber-résilience avec le règlement Dora (Digital Operational Resilience Act). Celui-ci s’applique aux 27 pays de l’UE depuis le 17 janvier 2025. Les autorités peuvent infliger de lourdes amendes aux entités ne respectant pas ses exigences. Les entreprises et institutions financières doivent donc revoir et adapter leurs stratégies de sécurisation de leurs communications.

Où se situent les principaux défis ?

Au vu de la sensibilité des informations transmises, la fiabilité des communications – particulièrement par e-mail – est essentielle. L’interruption du flux d’informations peut non seulement perturber gravement les activités commerciales, mais également empêcher le respect des exigences légales. La sécurisation de ces processus n’est toutefois pas une tâche simple.

Les banques et institutions financières présentent souvent des systèmes d’information complexes et hétérogènes. Si l’on prend l’exemple des infrastructures de messagerie, on observe souvent des réseaux compliqués de domaines et de points finaux qui se sont développés au fil du temps, englobant de nombreuses applications, postes de travail et appareils, et entraînant souvent des problèmes de connectivité DNS dus à des adresses IP privées. L’exploitation, si elle est sur site, entraîne en outre des coûts de maintenance élevés et se heurte à des problèmes d'évolutivité et de performance. La gestion des clusters, des serveurs et des MTA reste également fastidieuse. Enfin, les lacunes en matière de reporting, de surveillance et de conformité ne sont pas rares.

Parallèlement, les solutions de messagerie SaaS (Software as a Service) utilisées offrent souvent une sécurité et un contrôle insuffisants. Il manque par exemple parfois des directives uniformes, des SLA (service-level agreements) et un support performant. Les e-mails sont souvent bloqués par l’infrastructure de sécurité, le volume est limité et la communication interne passe par l’internet public.

L’objectif des nouvelles réglementations est donc de créer davantage de résilience et d’organisation face à ces limites.

Que comprend le règlement Dora ?

Avec le règlement Dora, d’application générale et d’effet direct, l’UE a créé une réglementation applicable à l’ensemble du secteur financier sur les thèmes de la cybersécurité, des risques et incidents liés aux TIC (technologies de l’information et de la communication) et de la résilience opérationnelle numérique. Les exigences de Dora couvrent les points suivants : la gestion des risques liés aux TIC (mise en œuvre de systèmes robustes et de mesures complètes de prévention, de détection, de réaction et de récupération des incidents liés aux TIC), le signalement aux autorités des incidents liés aux TIC, la mise en place de tests de résilience opérationnelle numérique et la gestion des risques liés aux prestataires tiers de service TIC.

Le règlement se base sur des directives déjà existantes et les étend, nécessitant parfois des adaptations profondes de l’infrastructure informatique et des stratégies de sécurité. Cela entraîne des dépenses accrues tant au niveau du personnel et de la technologie que des processus ou de l’organisation – et ce sous une forte pression temporelle.

Pour garantir leur conformité et se prémunir contre les cybermenaces, les entités financières doivent passer au crible leurs communications commerciales, ainsi que les processus, solutions et partenaires qui y sont associés.

Pour garantir une communication par e-mail sûre et fiable en temps réel, les filtres anti-spam et anti-phishing seuls ne suffisent pas. La protection doit comprendre des mécanismes de défense complets et toujours à jour en fonction de l’évolution des menaces. Des technologies de protection avancée contre les menaces doivent être envisagées, telles que le sandboxing basé sur l’intelligence artificielle. Les méthodes de chiffrement des e-mails modernes, avec des formats de chiffrement courants comme S/MIME, PGP ou Open PGP, protégeront la confidentialité et l’intégrité des communications. En plus de cela, une vue d’ensemble des flux d’e-mails doit être possible. L’objectif ? Garantir le respect des normes de sécurité légales tout en minimisant les portes d’entrée pour les hackers.

Dans leur choix de solutions, les entreprises doivent tenir compte de quatre piliers pour assurer leur conformité :

la sécurité : toute solution tierce utilisée doit mettre fortement l’accent sur la sécurité des données et la sécurité informatique, tant pour le traitement des données, leur stockage ou le chiffrement ;

la fiabilité : le support et la gestion des services, les SLA, une haute disponibilité, la reprise après sinistre et la gestion de la continuité des activités doivent être garantis en permanence ;

la conformité : un ISMS (information security management system) devrait se baser sur les meilleures pratiques du secteur et être certifié selon les normes pertinentes (ISO27001, SOC1/2) et spécifiques au secteur (FSQS-NL) ;

La protection des données : la fourniture de services auditables devrait être effectuée depuis l’espace européen et garantir un traitement régional des données.

Les fournisseurs européens sont en effet préférables aux partenaires non européens, puisqu’ils garantissent la conformité avec le règlement général sur la protection des données (RGPD) et Dora de façon plus sûre que les hyperscalers internationaux tels qu’AWS, Google et Microsoft. Il est également préférable de favoriser les partenaires disposant de leurs propres datacenters en Europe, et dont la redondance est garantie par une connexion multi-datacenter : si une connexion tombe en panne dans une infrastructure conçue de cette manière, les canaux de communication et les services peuvent ainsi continuer à être utilisés.

En s’adaptant aux exigences du règlement Dora, les entités financières doivent donc envisager la sécurité de leurs communications de manière globale, afin de prévenir les cyberattaques et assurer la continuité de leurs activités dans un environnement digital de plus en plus complexe.