DORA : l'authentification multi-facteurs, clé de la conformité

A partir du 17 janvier 2025, toutes les institutions financières et leurs fournisseurs de technologie opérant au sein de l'UE devront respecter les normes qui se rapportent au règlement DORA.

Selon le dernier rapport Netskope, le phishing demeure l’une des menaces de cybersécurité les plus couramment utilisées dans le cadre des cyberattaques visant des banques, la fraude financière étant le principal motif des cybercriminels pour s’attaquer à ce secteur. Afin de renforcer la résilience du secteur contre les cybermenaces et autres incidents liés aux technologies de l'information et de la communication (TIC), les autorités ont introduit de nouvelles mesures. En particulier, le règlement européen 2022/2554, connu sous le nom de Digital Operational Resilience Act (DORA). 

DORA, adopté par le parlement Européen en novembre 2022, imposera des règles strictes en matière de gestion des TIC, de signalement des incidents et de résilience opérationnelle pour les organisations de l'Espace économique européen (EEE). Cette réglementation fait partie d'une stratégie plus large visant à renforcer la cybersécurité dans le secteur financier, avec des mesures qui s'appliquent aux institutions et aux fournisseurs tiers. 

La nouvelle réglementation couvre un large éventail d'entités, incluant les institutions financières (banques, assurances, investissements, paiements) et les infrastructures des marchés financiers (plateformes de négociation, chambres de compensation). Elle s'étend également aux fournisseurs de services TIC critiques, comme les solutions cloud, qui jouent un rôle essentiel dans l’infrastructure digitale moderne du secteur.  

Le rôle clé de l’authentification multi-facteurs résistante au phishing

 DORA ne mentionne pas explicitement l'authentification multi-facteurs (MFA), mais il recommande cependant la mise en œuvre de politiques et de protocoles d'authentification forte, visant à atteindre un vaste objectif d'amélioration de la cybersécurité dans le secteur financier. 

Dans la pratique, la MFA est reconnue comme une composante essentielle d'une forte résilience opérationnelle numérique, réduisant de manière significative l'origine des incidents et des cyberattaques. Pour les entités financières opérant dans le cadre de DORA, l'intégration d’un protocole MFA est conforme à l'objectif de la directive de réduire les risques liés aux accès non autorisés et aux vols de données. À elle seule, la mise en place d’une MFA pourrait permettre aux entreprises de limiter les risques de pertes financières résultant de cyber-incidents et pouvant atteindre des milliers voire des millions d’euros, ainsi que de protéger de précieux actifs numériques, essentiels à leurs opérations. Cependant, toutes les méthodes d’authentification ne se valent pas et l'adoption prioritaire d’une solution moderne et résistante au phishing - comme le déploiement de clés de sécurité matérielles – est cruciale dans la lutte contre les cyberattaques de plus en plus sophistiquées. 

Les risques financiers et réputationnels de la non-conformité 

DORA ne prévoit pas de sanctions pécuniaires spécifiques, mais les entités de l'EEE qui ne s'y conforment pas s’exposent toutefois à des conséquences financières importantes. Les autorités européennes de surveillance (AES) de chaque État membre peuvent en effet imposer des pénalités, applicables pour une durée maximale de six mois, qui peuvent atteindre 1 % du chiffre d'affaires journalier moyen mondial de l'exercice précédent. Bien que certaines sources mentionnent des chiffres spécifiques à certains pays ou fassent des comparaisons avec d'autres régulations, comme le RGPD, il s'agit de données contextuelles et sujettes à une grande variabilité. 

Dans les cas très graves ou répétés de non-conformité, les organismes de réglementation sont également en mesure d’imposer des restrictions opérationnelles. Cela peut impliquer l'arrêt de certaines activités commerciales ou de certains services considérés comme très vulnérables aux menaces de cybersécurité. Les entités considérées comme enfreignant constamment DORA risquent aussi de voir certaines de leurs licences suspendues. Ces mesures sont mises en place afin que les organismes en situation de non-conformité ne puissent opérer d'une manière qui mette en danger l’ensemble de l’écosystème financier ou numérique, ni éroder la confiance portée aux infrastructures financières de l'UE. 

De plus, au-delà des amendes et des conséquences opérationnelles, les entreprises qui n'adhèrent pas au règlement DORA encourent le risque d’entacher leur réputation. Les incidents de cybersécurité dus à une faible résilience numérique, couplés aux sanctions pour non-conformité, sont susceptibles de saper la confiance des clients et des partenaires. Dans un marché fortement interconnecté et concurrentiel, les atteintes à la réputation impactent sévèrement et à long terme la viabilité d'une entreprise. 

Ainsi, la densité et l'étendue des exigences couvrant toutes les facettes du mandat, telles que le rapport d'incident et la gestion des risques liés aux tiers, nécessitent tout autant une action continue qu’une planification réfléchie. Assimiler dans les stratégies que la cyber-hygiène de base et une authentification robuste sont des piliers permettra non seulement de promouvoir une forte culture de cybersécurité, mais aussi d'accroître le niveau de la perception des risques et de la résilience des entreprises. 

Les organismes Européens de toutes tailles peuvent s’approcher au plus près des futurs critères de sûreté mis en place par DORA en adoptant des protocoles robustes tels que l'authentification multi-facteurs résistante au phishing, afin de protéger les employés, la chaîne d'approvisionnement ainsi que leurs clients. Ils seront alors en mesure de renforcer leurs défenses contre les cyberattaques, tout en ayant la possibilité de se concentrer sur les autres piliers de DORA et bien sûr, sur leurs activités principales.