Sécuriser la communication financière à l'heure du règlement DORA

Tandis que les cyberattaques contre les institutions financières se multiplient et se font de plus en plus pernicieuses, l'Union européenne peut désormais s'appuyer sur le règlement Digital Operational Resilience Act (DORA). Ce dernier fixe des règles claires et uniformes pour renforcer la résilience numérique du secteur financier en régissant la sécurité informatique et la gestion des risques. Tous les prestataires de services financiers dans l'UE doivent s'y conformer.

Sa mise en oeuvre, progressive, suit un échéancier bien circonscrit. Depuis son entrée en vigueur le 17 janvier 2025, les entreprises du secteur financier sont désormais tenues d'y adapter leurs mesures de sécurité informatiques. Au 17 juillet 2026, elles devront avoir mis en oeuvre les normes exigées. Les actes délégués entreront en vigueur à partir du 17 octobre 2026 et parachèveront la concrétisation de DORA. Ignorer le règlement ou s'y conformer tardivement équivaut à s'exposer à des sanctions et à des brèches en matière de cybersécurité.

L'importance de DORA pour la sécurité des communications électroniques

Cinq domaines clés sont définis par le règlement pour renforcer la résilience des institutions financières. Ils répondent à un besoin réel, car ces dernières s'appuient encore trop fréquemment sur un enchevêtrement complexe de systèmes informatiques sur site et dans le cloud qui favorise les failles de sécurité. Des processus de routage obscurs entre les serveurs de messagerie locaux et ceux hébergés dans le cloud entraînent des vulnérabilités difficiles à contrôler. Des enregistrements MX mal configurés, des implémentations DNSSEC non standardisées ou des procédures d'authentification obsolètes comme des méthodes SMTP-Auth faibles sont autant d'éléments qui exposent aux cyberattaques.

Le courrier électronique étant l'un des vecteurs d'attaques les plus courants, il est automatiquement assujetti aux prérequis généraux de DORA en matière de gestion des risques, de devoir de notification et d'audits de sécurité. Aussi, les institutions financières doivent identifier les menaces basées sur les e-mails, les documenter, et les minimiser par des tests réguliers comme des simulations de phishing, des audits de sécurité et des tests de résistance.

En sus, DORA demande aux institutions financières d'échanger des informations sur les menaces pour mieux paramétrer les risques d'attaques. Des plateformes comme MISP (Malware Information Sharing Platform) et des protocoles tels que STIX/TAXII garantissent que ces données circulent dans les deux sens, de manière structurée et automatisée. Ainsi, les indicateurs d'attaque (IOC) peuvent être saisis rapidement, évalués de manière ciblée et transmis directement.

Quels facteurs les entités financières doivent-elles garder à l'esprit ?

DORA exige la mise en place de mesures de sécurité robustes de la part des entreprises. Ces dernières demandent de porter une attention particulière à certains facteurs en matière de protection des données et des infrastructures.

Premièrement, l'hébergement européen des données et la conformité au RGPD sont des règles indérogeables. Seul un fournisseur de messagerie avec ses datacenters en Europe peut répondre aux exigences règlementaires et de protection des données ; les solutions basées sur AWS, Google ou Microsoft comportent des risques de non-conformité. Il faudrait idéalement que le fournisseur exploite l'infrastructure, avec son propre personnel, et renonce à l'externalisation des domaines sensibles. Des certifications telles que ISO 27001 ou SOC 2 attestent d'une stratégie de sécurité continue.

Aussi, une architecture multi-datacenter assure plus de stabilité et sécurise mieux contre les pannes. Les e-mails passent ainsi par des segments de réseau dédiés et spécialement sécurisés, et non par des noeuds internet publics.

De plus, la sécurisation des e-mails ne peut se contenter de filtres standard, comme ceux contre le phishing ou les spams. La lutte contre les cyber-attaques doit mobiliser une protection avancée contre les menaces (ATP) qui les détecte et les arrête en temps réel. Celle-ci peut s'appuyer sur le sandboxing basé sur l'intelligence artificielle (l'analyse des pièces-jointes), le Post-Delivery Protection (qui détecte après coup les nouveaux logiciels malveillants dans les e-mails déjà distribués et prévient les destinataires) ou encore la protection contre l'ingénierie sociale et les ransomwares.

Enfin, le chiffrement de bout en bout des emails garantit que les messages puissent être suivis contrôlés à tout moment. Avec une gestion cohérente des certificats, celle-ci empêche efficacement l'usurpation d'adresse électronique et le vol d'identité.

La sécurisation des e-mails à l'ère de DORA est une obligation, pas un choix

Les cyberattaques, ransomwares et les pannes informatiques mettent les institutions financières sous pression. Avec DORA, elles sont désormais légalement tenues de renforcer leur résilience numérique, sous peine de débourser jusqu'à dix milliards d'euros (ou 5% de leur chiffre d'affaires de l'année précédente) d'amendes. Les réseaux de communication devront donc faire l'objet d'une attention constante.