loi européenne sur la résilience opérationnelle numérique (DORA) : Exigences d'authentification forte pour les employés des institutions financières
Ces dernières années, l'Union européenne (UE) a considérablement intensifié ses efforts pour renforcer la cybersécurité au sein des gouvernements et des entreprises européennes par le biais de la législation. Par exemple :
- La loi sur la cybersécurité (2021) est devenue applicable et a établi un cadre européen de certification de la cybersécurité pour les produits, services et processus liés aux technologies de l'information et de la communication (TIC).
- La directive révisée sur la sécurité des réseaux et de l'information (NIS2), qui vise à relever le niveau général de cybersécurité des agences gouvernementales et des entreprises dans les secteurs critiques, deviendra applicable en octobre 2024.
- La loi sur la cyber-résilience (CRA), qui prévoit que les produits comportant des éléments numériques ne soient mis à disposition sur le marché que s'ils répondent à des exigences spécifiques en matière de cybersécurité, devrait recevoir une approbation formelle au début de 2024.
Un autre règlement de l'UE est le Digital Operational Resilience Act (DORA), qui traite des problèmes de cybersécurité dans le secteur des services financiers. Ce règlement de l'UE entrera en vigueur en janvier 2025.
Dans ce blog, nous explorons la loi DORA et plus particulièrement les exigences liées à l'authentification forte des membres du personnel des institutions de services financiers.
Pour une explication plus détaillée, écoutez ce webinaire où nos experts vous guident à travers les aspects les plus importants de la conformité DORA, y compris les exigences clés liées à l'authentification forte des clients, les délais de conformité et la façon dont la réglementation sera mise en œuvre.
Qu'est-ce que DORA ?
Le règlement DORA vise à accroître la résilience opérationnelle numérique du secteur financier, en réponse à l'escalade des cybermenaces auxquelles sont confrontées les entreprises du secteur financier et leurs fournisseurs de services liés aux technologies de l'information et de la communication. Le règlement DORA définit des règles relatives à la gestion des risques liés aux TIC, à la gestion et au signalement des incidents liés aux TIC, aux tests de résilience opérationnelle et à la gestion des risques liés aux TIC pour les tiers.
Que signifie le règlement DORA ?
Le DORA est un règlement, ce qui signifie qu'il s'applique directement dans chaque État membre sans qu'il soit nécessaire de le transposer dans la législation nationale de chaque pays. Avec le règlement DORA, les mêmes exigences s'appliquent dans chaque État membre.
Le règlement DORA est accompagné de huit normes techniques réglementaires (RTS), de deux normes techniques de mise en œuvre (ITS) et de quatre autres produits politiques qui précisent les exigences du règlement DORA de manière plus détaillée. Ces normes sont actuellement en cours d'élaboration par les autorités européennes de surveillance (AES), notamment l'ABE, l'AEAPP et l'AEMF, pour le secteur financier. Voici quelques exemples de RTS :
- RTS sur le cadre (simplifié) de gestion des risques liés aux TIC, qui vise à harmoniser les politiques, les procédures, les méthodes et les outils utilisés pour la gestion des risques. Elles prescrivent l'élaboration de politiques et de procédures de sécurité dans dix domaines, à savoir la gestion des actifs TIC, le cryptage et les contrôles cryptographiques, la gestion des projets TIC, l'acquisition, le développement et la maintenance des systèmes TIC, la sécurité physique et environnementale, les ressources humaines, la gestion des identités, le contrôle d'accès, la gestion des incidents liés aux TIC et la continuité de l'activité TIC.
- RTS sur les critères de classification des incidents liés aux TIC, qui spécifient les critères et l'approche pour la classification des incidents majeurs liés aux TIC, les seuils de matérialité de chaque critère de classification, les critères et les seuils à appliquer lors de la classification des cybermenaces importantes, et les critères pour les autorités compétentes pour évaluer la pertinence des incidents pour d'autres autorités compétentes.
- RTS pour spécifier la politique sur les services TIC soutenant des fonctions critiques ou importantes fournis par des fournisseurs de services TIC tiers (TPP), qui spécifie des parties des dispositions de gouvernance, de la gestion des risques et du cadre de contrôle interne que les entités financières devraient mettre en place concernant l'utilisation de fournisseurs de services TIC tiers.
Enfin, il convient de noter que les exigences du DORA relatives aux prestataires de services tiers s'appuient largement sur les lignes directrices de l'ABE sur les accords d'externalisation à partir de 2019.
À qui s'applique le DORA ?
Le DORA s'applique à l'Espace économique européen, c'est-à-dire aux 27 États membres de l'UE, ainsi qu'à l'Islande, au Lichtenstein et à la Norvège.
Il s'adresse à deux grands types d'entités :
- Les acteurs des marchés financiers, tels que les banques, les prestataires de services de paiement, les entreprises d'investissement, les prestataires d'assurance et de réassurance, les dépositaires de titres, les agences de notation de crédit, les prestataires de services de crypto-actifs et les plateformes de financement participatif (crowdfunding).
- Les fournisseurs de technologie tiers qui fournissent des produits et des services aux institutions du secteur financier, y compris les fournisseurs de services en nuage, les fournisseurs de centres de données, les fournisseurs de logiciels indépendants (ISV) et les fournisseurs d'intégration de systèmes, entre autres.
Mesures générales de cybersécurité dans le cadre du DORA
Le DORA définit des règles dans les domaines suivants :
- Gestion des risques liés aux TIC
- La responsabilité de la gestion des TIC incombe à la direction de l'entreprise.
- Les entités financières sont tenues d'établir un cadre complet de gestion des risques liés aux TIC, contrôlé en permanence au moyen d'indicateurs clés de performance et de mesures des risques.
- Gestion et signalement des incidents liés aux TIC
- Les entités couvertes doivent mettre en place des systèmes de surveillance, de gestion, d'enregistrement, de classification et de notification des incidents liés aux TIC.
- Des règles détaillées sur la classification des incidents, les exigences en matière de rapports et les délais sont en cours d'élaboration.
- Tests de résilience et partage d'informations
- Tests de sécurité avancés annuels sur les systèmes et applications TIC critiques.
- Élimination rapide des vulnérabilités par des mesures d'atténuation.
- Tests de pénétration avancés périodiques, avec la participation et la coopération obligatoires des fournisseurs de services TIC.
- Encouragement des entités à participer à des accords de partage de renseignements sur les menaces.
- Gestion des risques liés aux tiers
- Négociation d'accords contractuels avec les fournisseurs tiers, couvrant les stratégies de sortie, les audits et les objectifs de performance.
- Cartographie des dépendances de tiers en matière de TIC.
- Supervision directe par les autorités des fournisseurs de services TIC tiers critiques.
Authentification forte des membres du personnel sous les feux de la rampe
Concentrons-nous à présent sur un élément spécifique du mécanisme de défense de DORA : l'authentification.
L'article 9 du DORA traite spécifiquement de l'importance d'une authentification forte. Il exige des entités couvertes qu'elles
Mettre en œuvre des politiques et des protocoles pour les mécanismes d'authentification forte, sur la base de normes pertinentes et de systèmes de contrôle dédiés, [...] sur la base des résultats des processus approuvés de classification des données et d'évaluation des risques liés aux technologies de l'information et de la communication.
En d'autres termes, le DORA signifie que les entités doivent procéder à une évaluation des risques de leurs actifs et processus TIC, et décider où l'authentification forte est nécessaire pour réduire le niveau de risque. L'authentification forte, y compris la protection contre l'hameçonnage, s'applique aux membres du personnel (employés, sous-traitants) des entités concernées. L'authentification des clients des institutions financières est traitée dans une autre législation, à savoir la directive révisée sur les services de paiement (DSP2).
L'article 22 du projet final de RTS sur le cadre (simplifié) de gestion des risques liés aux TIC développe les exigences d'authentification de manière plus détaillée. Il stipule que
Les entités financières élaborent, documentent et mettent en œuvre une politique [...] comprenant tous les éléments suivants :
i. l'utilisation de méthodes d'authentification proportionnelles à la classification et au profil de risque global des actifs TIC et tenant compte des pratiques de pointe ;
ii. l'utilisation de méthodes d'authentification forte conformément aux pratiques et techniques de pointe pour l'accès à distance au réseau de l'entité financière, pour l'accès privilégié, pour l'accès aux actifs TIC soutenant des fonctions critiques ou importantes ou qui sont accessibles au public.
La RTS souligne l'importance d'une authentification forte des membres du personnel en cas d'accès à distance au réseau de l'entreprise (par exemple via un réseau privé virtuel ou VPN), d'accès privilégié (par exemple un accès avec des privilèges administratifs) et d'accès à des actifs TIC soutenant des fonctions critiques ou importantes.
Bien que le DORA ne fournisse pas de définition de ce qui constitue une "authentification forte", il exige une authentification multifactorielle (MFA), c'est-à-dire que l'utilisateur démontre son identité à l'aide d'un mécanisme d'authentification qui génère des codes d'authentification dynamiques à usage unique. Ce mécanisme d'authentification forte est généralement construit à partir d'au moins deux éléments d'authentification issus de trois catégories d'authentification possibles, à savoir la catégorie de possession (quelque chose que seul l'utilisateur possède, comme un jeton matériel), la catégorie de connaissance (quelque chose que seul l'utilisateur connaît, comme un mot de passe ou un code PIN) ou la catégorie d'inhérence (quelque chose que seul l'utilisateur est, ou une caractéristique biométrique telle qu'une empreinte digitale ou un balayage du visage).
Du point de vue des meilleures pratiques de sécurité, nous recommandons des mécanismes d'AMF résistants au phishing qui offrent une protection totale contre les attaques de phishing. Les méthodes d'authentification résistantes au phishing génèrent des codes d'authentification inutiles pour les fraudeurs et sont généralement mises en œuvre à l'aide des protocoles d'authentification normalisés par l'alliance FIDO.
Quand le DORA entre-t-il en vigueur ?
Le DORA est entré en vigueur le 16 janvier 2023 et s'applique à l'ensemble de l'Espace économique européen à partir du 17 janvier 2025.
Les RTS et les ITS suivent un calendrier différent de celui de la DORA. Le 17 janvier 2024, les autorités de contrôle ont soumis le premier lot de RTS et d'ITS à la Commission pour adoption, le second lot étant attendu pour le 17 septembre 2024. Après l'adoption, les RTS et ITS seront soumis à l'examen du Parlement européen et du Conseil, puis seront publiés au Journal officiel de l'Union européenne. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.
Se conformer à DORA
Le règlement DORA apparaît comme une force essentielle pour renforcer le paysage de la cybersécurité du secteur financier au sein de l'Espace économique européen. L'accent mis par le règlement sur la gestion des risques liés aux TIC, la notification des incidents, les tests de résilience opérationnelle numérique et la gestion des risques liés aux tiers souligne une approche holistique de la gouvernance de la cybersécurité.
Le règlement DORA englobe également l'authentification, en particulier l'authentification forte pour les membres du personnel des entités couvertes. Les entités financières doivent veiller à équiper leur personnel d'une technologie d'authentification moderne et conviviale pour se conformer à la loi DORA. Une technologie d'authentification résistante à l'hameçonnage, basée sur les normes FIDO, est un choix naturel.
DIGIPASS FX1 BIO de OneSpan aide les entreprises à se conformer aux réglementations changeantes telles que DORA en offrant une solution sans mot de passe résistante aux hameçonnages. En savoir plus sur les offres d'authentification de OneSpan.