DORA : des conséquences néfastes en cas de non-conformité

janvier 2025 par Fabrice de Vésian, Sales Manager France chez Yubico

Dans quelques jours, le dernier grand mandat de l’Union européenne (UE) en matière de cybersécurité, le Digital Operational Resilience Act (DORA), entrera en vigueur. A partir du 17 janvier 2025, toutes les institutions financières et leurs fournisseurs de technologie opérant au sein de l’UE devront respecter les normes de conformité qui s’y rapportent. Par ailleurs, cette réglementation ne s’applique pas seulement aux organisations basées dans l’UE, mais aussi aux entreprises qui ne sont pas localisées dans les Etats membres et qui fournissent des services à leurs clients dans l’UE. Le règlement DORA est conçu pour garantir la résilience opérationnelle des services financiers et s’inscrit dans une série plus large d’efforts législatifs de l’UE visant à harmoniser et à renforcer la cybersécurité dans toute la région.

Le délai de mise en conformité approchant à grands pas, Fabrice de Vésian, Sales Manager chez Yubico, met en évidence les risques liés à un manquement aux exigences, et explore comment l’intégration de l’authentification multi-facteurs (MFA) s’aligne sur les objectifs de la réglementation :

« Le non-respect de la loi DORA pourrait avoir des répercussions importantes pour les entreprises financières et leurs fournisseurs de technologie. Bien que les sanctions spécifiques n’aient pas encore été définies, il est probable que les amendes seront proportionnelles à la gravité de la violation, à l’instar du RGPD. Dans les cas graves ou répétés, les autorités peuvent même suspendre ou résilier les contrats. Cependant, les conséquences financières ne sont qu’un aspect, car les organisations qui ne respectent pas les règles risquent également de voir leur réputation gravement entachée et de perdre la confiance de leurs clients et de leurs partenaires, ce qui peut être extrêmement difficile à rattraper dans ce secteur.

Même si DORA ne mentionne pas explicitement la MFA, elle impose la mise en œuvre de politiques et de protocoles d’authentification forte dans le cadre de son objectif global de renforcement de la cybersécurité dans le secteur financier. Cette authentification joue un rôle essentiel dans la résilience opérationnelle numérique en réduisant de manière significative le risque d’incidents et de cyberattaques. Pour les institutions financières, son adoption s’aligne parfaitement sur les objectifs de la directive, en améliorant à la fois la protection des clients et la sécurité des infrastructures financières critiques. Toutefois, il est important de noter que toutes les solutions de MFA ne se valent pas. Les méthodes traditionnelles, comme les mots de passe à usage unique (OTP) basés sur les SMS, sont de plus en plus vulnérables, les attaques de phishing contournant facilement ces systèmes. Pour se prémunir véritablement contre le vol d’informations d’identification et les menaces avancées, les entreprises doivent donner la priorité à des outils de MFA modernes et résistants au phishing, tels que les passkeys et les clés de sécurité physiques.

La mise en conformité avec la loi DORA ne se fait pas du jour au lendemain. Le vaste champ d’application de la réglementation, qui comprend des exigences en matière de notification des incidents et de gestion des risques par des tiers, demande des efforts continus et une planification méticuleuse. Néanmoins, donner la priorité à la cyberhygiène et aux bonnes pratiques d’authentification forte permettra non seulement d’assurer la conformité, mais aussi de soutenir une culture d’excellence en matière de cybersécurité, redéfinissant ainsi la manière dont les entreprises abordent la résilience et la gestion des risques. »