Après le DMA et le DSA, un nouveau carcan normatif va bientôt arriver. En effet, le Digital Operational Resilience Act (DORA) entrera en vigueur le 17 janvier 2025, établissant un cadre légal ambitieux pour améliorer la résilience numérique des institutions financières face à l’escalade des cybermenaces et des interruptions opérationnelles. Cette réglementation européenne marque une étape cruciale pour garantir la continuité et la sécurité des services financiers dans un environnement de plus en plus numérisé.
Des exigences renforcées pour faire face aux cyberrisques
Le DORA impose des règles strictes aux institutions financières et à leurs fournisseurs pour mieux prévenir et gérer les risques liés aux technologies de l’information et de la communication. Il couvre plusieurs axes stratégiques, comme la gestion des risques (imposant aux entreprises d'établir des politiques robustes pour identifier, évaluer et atténuer les risques numériques). Le partage des renseignements sur les cybermenaces en renforçant la collaboration entre les acteurs est exigé pour anticiper et contrer les attaques.
A cela, s'ajoute la surveillance des fournisseurs tiers (notamment des prestataires technologiques afin de s’assurer qu’ils respectent les normes de sécurité). En effet, les dernières attaques en France (ici ou là) ont bien montré que de nombreux pirates ont accédé aux bases de données via des prestataires externes. Enfin, des stratégies claires doivent être mises en place pour assurer la continuité des services en cas d’incident majeur.
Ces mesures interviennent dans un contexte où 49 % des entreprises françaises ont signalé une cyberattaque en 2023, avec une augmentation de 38 % des violations de données par rapport à l’année précédente.
Une protection renforcée au niveau du chiffrement des données
Le DORA accorde une importance primordiale à la protection des données sensibles en s’appuyant sur des mécanismes de chiffrement sophistiqués. Parmi ces mesures, le chiffrement à la source garantit que les données sont sécurisées dès leur création, réduisant ainsi les risques de fuite dès leur origine. Parallèlement, le chiffrement des données à la volée protège instantanément les flux d’informations en temps réel, une exigence essentielle pour des échanges rapides et sécurisés.
Les données archivées ou peu utilisées -ou données froides- bénéficient également d’une protection renforcée grâce à un chiffrement spécifique, visant à éviter toute vulnérabilité sur le long terme. Enfin, les échanges avec des tiers -désormais omniprésents dans un écosystème toujours plus interconnecté- intègrent des mesures de confidentialité accrues, garantissant la sécurité des collaborations et des interactions externes. Ces mécanismes conjugués assurent une protection globale et adaptée à chaque étape du cycle de vie des données.
En imposant ces nouvelles normes, le DORA cherche à renforcer la confiance dans les services financiers européens, tout en préparant les institutions à faire face à des cybermenaces toujours plus sophistiquées. Les entreprises doivent dès à présent ajuster leurs politiques et infrastructures pour se conformer à ces nouvelles exigences, sous peine de sanctions. Ce cadre réglementaire se veut plutôt ambitieux et reflète la volonté de l’Union européenne de protéger son économie numérique et de garantir une stabilité opérationnelle face aux défis technologiques du XXIe siècle.
