Dora : comment assurer la conformité et la sécurité des communications
Il y a peu de secteurs où une communication fiable et sécurisée entre entités est aussi importante que dans celui de la finance. Les enjeux liés à ses flux d’informations en font cependant un secteur ultra-exposé aux cybermenaces – une vulnérabilité reconnue par l’Union européenne (UE), qui souhaite en garantir la cyber-résilience avec le règlement Dora (Digital Operational Resilience Act). Celui-ci s’applique aux 27 pays de l’UE depuis le 17 janvier 2025. Les autorités peuvent infliger de lourdes amendes aux entités ne respectant pas ses exigences. Les entreprises et institutions financières doivent donc revoir et adapter leurs stratégies de sécurisation de leurs communications.
Où se situent les principaux défis ?
Au vu de la sensibilité des informations transmises, la fiabilité des communications – particulièrement par e-mail – est essentielle. L’interruption du flux d’informations peut non seulement perturber gravement les activités commerciales, mais également empêcher le respect des exigences légales. La sécurisation de ces processus n’est toutefois pas une tâche simple.
Les banques et institutions financières présentent souvent des systèmes d’information complexes et hétérogènes. Si l’on prend l’exemple des infrastructures de messagerie, on observe souvent des réseaux compliqués de domaines et de points finaux qui se sont développés au fil du temps, englobant de nombreuses applications, postes de travail et appareils, et entraînant souvent des problèmes de connectivité DNS dus à des adresses IP privées. L’exploitation, si elle est sur site, entraîne en outre des coûts de maintenance élevés et se heurte à des problèmes d'évolutivité et de performance. La gestion des clusters, des serveurs et des MTA reste également fastidieuse. Enfin, les lacunes en matière de reporting, de surveillance et de conformité ne sont pas rares.
Parallèlement, les solutions de messagerie SaaS (Software as a Service) utilisées offrent souvent une sécurité et un contrôle insuffisants. Il manque par exemple parfois des directives uniformes, des SLA (service-level agreements) et un support performant. Les e-mails sont souvent bloqués par l’infrastructure de sécurité, le volume est limité et la communication interne passe par l’internet public.
L’objectif des nouvelles réglementations est donc de créer davantage de résilience et d’organisation face à ces limites.
Que comprend le règlement Dora ?
Avec le règlement Dora, d’application générale et d’effet direct, l’UE a créé une réglementation applicable à l’ensemble du secteur financier sur les thèmes de la cybersécurité, des risques et incidents liés aux TIC (technologies de l’information et de la communication) et de la résilience opérationnelle numérique. Les exigences de Dora couvrent les points suivants : la gestion des risques liés aux TIC (mise en œuvre de systèmes robustes et de mesures complètes de prévention, de détection, de réaction et de récupération des incidents liés aux TIC), le signalement aux autorités des incidents liés aux TIC, la mise en place de tests de résilience opérationnelle numérique et la gestion des risques liés aux prestataires tiers de service TIC.
Le règlement se base sur des directives déjà existantes et les étend, nécessitant parfois des adaptations profondes de l’infrastructure informatique et des stratégies de sécurité. Cela entraîne des dépenses accrues tant au niveau du personnel et de la technologie que des processus ou de l’organisation – et ce sous une forte pression temporelle.
La protection doit comprendre des mécanismes de défense complets et toujours à jour en fonction de l’évolution des menaces
Pour garantir leur conformité et se prémunir contre les cybermenaces, les entités financières doivent passer au crible leurs communications commerciales, ainsi que les processus, solutions et partenaires qui y sont associés.
Pour garantir une communication par e-mail sûre et fiable en temps réel, les filtres anti-spam et anti-phishing seuls ne suffisent pas. La protection doit comprendre des mécanismes de défense complets et toujours à jour en fonction de l’évolution des menaces. Des technologies de protection avancée contre les menaces doivent être envisagées, telles que le sandboxing basé sur l’intelligence artificielle. Les méthodes de chiffrement des e-mails modernes, avec des formats de chiffrement courants comme S/MIME, PGP ou Open PGP, protégeront la confidentialité et l’intégrité des communications. En plus de cela, une vue d’ensemble des flux d’e-mails doit être possible. L’objectif ? Garantir le respect des normes de sécurité légales tout en minimisant les portes d’entrée pour les hackers.
Dans leur choix de solutions, les entreprises doivent tenir compte de quatre piliers pour assurer leur conformité :
la sécurité : toute solution tierce utilisée doit mettre fortement l’accent sur la sécurité des données et la sécurité informatique, tant pour le traitement des données, leur stockage ou le chiffrement ;
la fiabilité : le support et la gestion des services, les SLA, une haute disponibilité, la reprise après sinistre et la gestion de la continuité des activités doivent être garantis en permanence ;
la conformité : un ISMS (information security management system) devrait se baser sur les meilleures pratiques du secteur et être certifié selon les normes pertinentes (ISO27001, SOC1/2) et spécifiques au secteur (FSQS-NL) ;
La protection des données : la fourniture de services auditables devrait être effectuée depuis l’espace européen et garantir un traitement régional des données.
Les fournisseurs européens sont préférables aux partenaires non européens, puisqu’ils garantissent la conformité avec le RGPD et Dora de façon plus sûre
Les fournisseurs européens sont en effet préférables aux partenaires non européens, puisqu’ils garantissent la conformité avec le règlement général sur la protection des données (RGPD) et Dora de façon plus sûre que les hyperscalers internationaux tels qu’AWS, Google et Microsoft. Il est également préférable de favoriser les partenaires disposant de leurs propres datacenters en Europe, et dont la redondance est garantie par une connexion multi-datacenter : si une connexion tombe en panne dans une infrastructure conçue de cette manière, les canaux de communication et les services peuvent ainsi continuer à être utilisés.
En s’adaptant aux exigences du règlement Dora, les entités financières doivent donc envisager la sécurité de leurs communications de manière globale, afin de prévenir les cyberattaques et assurer la continuité de leurs activités dans un environnement digital de plus en plus complexe.
Plus d'articles du même thème
-
Pour les émergents, le reflux des prix de l'énergie ne conduira pas à des politiques monétaires assouplies
Une dizaine de banques centrales (Afrique du Sud, Indonésie...) ont depuis le début du mois de mars augmenté leurs taux directeurs, estime Julien Marcilly, chef économiste de Global Sovereign Advisory. Les marges de manœuvre pour faire machine arrière s'annoncent étroites. -
Dans les bureaux de... Christophe Bouthors
Le président de Telamon nous reçoit dans un bel hôtel particulier du quartier de l'Etoile où le groupe vient de s'installer. -
Benjamin Schapiro : entre racines et horizons
Il a pris la tête d’UBP Asset Management (France) en avril 2026 avec enthousiasme. Une évolution inattendue mais naturelle. -
Dette souveraine, non au « French bashing » !
Le directeur des investissements du groupe Matmut défend dans une tribune, une gestion de conviction des obligations souveraines pour soutenir l'économie. -
L’investissement d’impact à l’épreuve des marchés cotés
Le monde de l’investissement change vite. De nouveaux risques, comme les tensions sociales, les phénomènes météorologiques extrêmes et les tensions géoéconomiques, font désormais partie du paysage. Un expert sur deux interrogé par le Forum économique mondial s’attend à ce que le niveau de risque augmente fortement cette année et continue de grimper. Les cinq principaux risques identifiés sont les confrontations géoéconomiques (18 % des votes), les conflits armés entre Etats (14 %), les phénomènes météorologiques extrêmes (8 %), la polarisation sociale (7 %), ainsi que la mésinformation et la désinformation (7 %). -
ESG et performance, le verdict académique
Le prix académique 2026 de l’Association française des investisseurs institutionnels récompense cette année un article portant sur les performances financières et extra-financières de portefeuilles d’actions. Cet article a été présenté aux 4es Entretiens de la Finance Durable à Paris en décembre 2025 ; il a été sélectionné par un jury composé des membres de la commission Recherche de l’AF2I parmi les articles présentés en 2025 dans les conférences académiques en France. Cette commission Recherche a pour objectif de rapprocher la communauté des investisseurs de celle des chercheurs avec la conviction que les pratiques d’investissement peuvent se nourrir des travaux récents de recherche académique et que certains chercheurs peuvent trouver des solutions originales ou des angles d’approche nouveaux aux problèmes qui se posent concrètement aux praticiens.
ETF à la Une
Les ETF d’actions américaines signent un retour en force au deuxième trimestre
- BlackRock remporte un mandat de 10 milliards d'euros
- LBP AM transfère la gestion de ses opérations de Natixis IM OS vers Alto
- Perpetual rejette une offre de rachat de 1,7 milliard de dollars d'EQT
- L'Ircantec va lancer plusieurs appels d'offres
- Les ETF d’actions américaines signent un retour en force au deuxième trimestre
Contenu de nos partenaires
-
Faux amiMarine Le Pen, cette vieille connaissance que les milieux européens redoutent
La candidature de la députée inquiète à Bruxelles, où la présidentielle française est attendue avec fébrilité -
« Une guerre de l'eau qui démarre » : le projet de loi d’urgence agricole divise les élus locaux
Plusieurs associations d’élus locaux ont appelé mercredi au retrait du “volet eau” du projet de loi d’urgence agricole. Le texte défendu par la ministre Annie Genevard doit être examiné en commission mixte paritaire dans une semaine. -
L'heure des comptesLa baisse des ventes immobilières et la guerre au Moyen-Orient vont affecter les collectivités en 2026
La Cour des comptes salue la bonne tenue des finances des villes, départements et régions mais a alerté sur « l'aléa » du conflit