Les cyberattaques contre les établissements financiers sont de plus en plus fréquentes et sophistiquées. Avec DORA, l’Union européenne établit des règles claires pour renforcer la résilience numérique du secteur financier. Ce règlement crée un ensemble unique de règles en matière de sécurité informatique et de gestion des risques, que tous les prestataires de services financiers de l’UE doivent respecter.
Le règlement européen est officiellement entré en vigueur le 17 janvier 2025. Les entreprises du secteur financier sont donc désormais tenues de prendre en compte les nouvelles exigences et de commencer à adapter leurs mesures de sécurité informatique. Elles devront avoir mis en œuvre les normes techniques de réglementation (RTS) d’ici au 17 juillet 2026. Celles-ci contiennent des directives détaillées pour la sécurisation des processus numériques, la protection contre les cyberattaques et la gestion des risques. Les actes délégués entreront en vigueur à partir du 17 octobre 2026. Ces règles européennes concrétisent et complètent les mesures du règlement DORA. Ignorer le règlement ou agir trop tard, c’est non seulement s’exposer à des sanctions, mais aussi ouvrir de graves failles de sécurité.
DORA et son importance pour la sécurité des e-mails
Le règlement définit cinq domaines clés pour renforcer la résilience des établissements financiers. Ceux-ci travaillent aujourd’hui principalement avec un mélange historique de systèmes informatiques on-premises et basés sur le cloud, un maillage complexe qui favorise les failles de sécurité. Les cyberattaques telles que le phishing, le spoofing ou la diffusion de malwares se font souvent par e-mail. Les mesures de protection doivent donc également concerner les communications par e-mail.
Constituant l’un des vecteurs d’attaque les plus courants, les e-mails sont automatiquement soumis aux exigences générales du règlement DORA en matière de gestion des risques, d’obligations déclaratives et de contrôles de sécurité. Les établissements financiers doivent identifier, documenter et minimiser les menaces par e-mail grâce à des tests réguliers tels que des simulations de phishing, des audits de sécurité et des tests de résistance. En outre, les cyberattaques évoluant en permanence, le règlement DORA exige que les établissements financiers échangent des informations sur les menaces.
À quoi les entreprises financières doivent-elles faire attention
Les exigences de conformité du règlement DORA nécessitent en premier lieu de vérifier et sécuriser les processus de communication. Un spécialiste des solutions de communication peut apporter son aide dans ce domaine. Lors du choix de la solution et du partenaire, les points suivants sont particulièrement importants :
1. Hébergement dans l’UE et conformité au RGPD : pour répondre aux exigences en matière de protection des données et de réglementation, il est obligatoire de faire appel à un fournisseur de messagerie dont les centres de données se trouvent en Europe. En effet, les solutions qui s’appuient sur des hyperscalers internationaux comme AWS, Google ou Microsoft impliquent des risques de conformité. Dans l’idéal, le prestataire de services exploite son infrastructure avec son propre personnel et renonce à l’externalisation des domaines sensibles. Des certifications telles qu’ISO 27001 ou SOC 2 attestent d’une stratégie de sécurité de bout en bout.
2. Fiabilité grâce à une infrastructure redondante : une architecture multi-datacenter assure un fonctionnement stable. C’est ce que permettent des centres de données géo-redondants à haute disponibilité garantie. L’accent est également mis sur la sécurisation de la communication interne. Les e-mails ne devraient pas passer par des points d’échange Internet publics, mais par des segments de réseau dédiés et sécurisés. En cas de panne de l’infrastructure informatique, le fournisseur doit également proposer une solution de continuité des e-mails. Un service de Webmail externe sécurisé, indépendant du système de messagerie primaire, permet aux collaborateurs de communiquer par e-mail à tout moment sans interruption.
3. Sécurité des e-mails au-delà des filtres standard : les filtres anti-spam et anti-phishing classiques ne suffisent plus depuis longtemps. La protection contre les cyberattaques modernes nécessite Advanced Threat Protection (ATP), qui détecte et stoppe les menaces en temps réel, et dont les principaux composants sont le sandboxing basé sur l’IA, Post-Delivery Protection, ainsi que la protection contre le Social Engineering et les ransomwares.
4. Chiffrement de bout en bout et gestion des e-mails : les solutions utilisées doivent prendre en charge des méthodes de chiffrement établies telles que S/MIME, PGP et Open PGP afin de garantir l’authenticité, l’intégrité et la confidentialité des communications. Une gestion des e-mails de bout en bout garantit en outre la possibilité de suivre et contrôler les messages à tout moment. Une gestion cohérente des certificats empêche efficacement l’email spoofing et l’usurpation d’identité.
