Chiffrement et DORA : Quelles sont les obligations imposées par DORA ?
La réglementation DORA (Digital Operational Resilience Act - Règlement UE 2022/2554) impose de nouvelles exigences strictes en matière de sécurité numérique pour le secteur financier européen. Parmi ces obligations, le chiffrement des données occupe une place centrale. Cet article examine en détail les obligations imposées aux institutions financières en matière de chiffrement.
Digital Operational Resilience Act (DORA) en bref
DORA (Règlement UE 2022/2554 du 14 décembre 2022) est un règlement européen qui entrera en application le 17 janvier 2025. Il vise à renforcer la résilience opérationnelle numérique du secteur financier et s'applique à un large éventail d'institutions financières, telles que :
Les établissements de crédit
Les entreprises d'investissement
Les fournisseurs de services de paiement
Les compagnies d'assurance et de réassurance
Les gestionnaires de fonds
Et autres acteurs du secteur financier
Les obligations de chiffrement imposées par DORA
DORA établit plusieurs obligations spécifiques en matière en matière de sécurité des données. Le chiffrement y occupe une place centrale pour garantir la confidentialité, l'intégrité et la disponibilité des données au sein des systèmes informatiques du secteur financier.
DORA définit 4 pilier de sécurité, à savoir:
la protection des données de bout en bout (end-to-end protection)
la protection des clés cryptographiques
la protection des opérations sécurisées
la gouvernance des accès
Examinons maintenant en détail les obligations spécifiques qui encadrent ces exigences réglementaires.
1. Protection des données de bout en bout (end-to-end protection)
L'Article 9.3(d) de DORA impose une protection contre les risques liés à la gestion des données. Le chiffrement intervient ici à plusieurs niveaux :
Protection des données au repos dans les systèmes de stockage
Sécurisation des données en transit lors des transferts
Chiffrement des sauvegardes et des archives
Protection des données pendant leur traitement
2. Protection des clés cryptographiques
L'Article 9.4(d) exige la mise en œuvre de mesures de protection spécifiques pour les clés cryptographiques. Cette exigence se traduit par :
Une gestion sécurisée du cycle de vie complet des clés
Des mécanismes de rotation régulière des clés
Des procédures de sauvegarde et de récupération des clés
3. Protection des opérations sécurisées
L'Article 9.3(b) vise à minimiser les risques d'accès non autorisés et les failles techniques. Le chiffrement joue ici un rôle essentiel dans :
La sécurisation des communications internes et externes
La protection des interfaces et des points d'accès
Le chiffrement des flux de données opérationnels
La sécurisation des environnements de traitement
4. Gouvernance des Accès
L'Article 9.4(c) impose la mise en place de politiques limitant les accès physiques et logiques. Le chiffrement contribue à cette gouvernance par :
Le contrôle cryptographique des accès aux données
La traçabilité des accès aux données chiffrées
La ségrégation cryptographique des données
La gestion des droits d'accès basée sur le chiffrement
Impact pour les institutions financières
Pour se conformer à ces exigences, les institutions financières doivent mettre en place une stratégie globale de chiffrement qui couvre :
La gestion du cycle de vie des données, à savoir l'identification des données sensibles nécessitant un chiffrement et la mise en place de processus de chiffrement adaptés à chaque type de donnée. Cela comprend également une gestion robuste des clés tout au long de leur cycle de vie et un documentation et traçabilité des mesures de protection
Les solutions techniques qui comprennent le déploiement d'outils de chiffrement conformes aux standards, la mise en place d'une infrastructure de gestion des clés et l'intégration de solutions de chiffrement dans les processus existants.
La gouvernance qui se base sur la définition des politiques de chiffrement et la définition des accès aux données et aux clés de chiffrement selon le rôle et les identités.
Le chiffrement MPC de DuoKey
DuoKey propose une solution de chiffrement ultra-sécurisées qui répond aux exigences de DORA. Cette approche, basée sur le calcul multipartite, présente un chiffrement distribué sans exposition de la clé complète, répondant parfaitement aux exigences de DORA sur la protection des données sensibles et la gestion sécurisée des clés de chiffrement (article 9).
Intégration sur les environments clouds Microsoft 365, AWS, Google, Salesforce, Vault, etc.
Disponible en modèle SaaS ou sur les selon les besoins de l'organisation
Audit d'accès permettant de gérer l'accès aux clés et données sensible de manière granulaire.
Renforcement des exigences de DORA par Acte Délégué
Dans le cadre des pouvoirs de la Commission Européenne, un nouveau règlement technique (acte délégué) précise les modalités de mise en conformité des autorités compétentes et des acteurs du marché.
Cet acte délégué, actuellement en cours d'élaboration, détaille de manière plus précise les obligations en matière de :
Politique de chiffrement et contrôles cryptographiques
Gestion des clés cryptographiques
Obligation de documentation
Voici un aperçu rapide des exigences de cet acte délégué:
Politique de chiffrement et contrôles cryptographiques (article 6)
L'acte délégué précise que les entités financières doivent développer, documenter et mettre en œuvre une politique spécifique de chiffrement basée sur leur classification des données et l'évaluation des risques ICT. Cette politique devra notamment détailler :
Les méthodes de chiffrement des données au repos et en transit
Les procédures de chiffrement des données en cours d'utilisation
La sécurisation des connexions réseau internes et externes
Le cadre complet de gestion des clés cryptographiques
Gestion des clés cryptographiques (article 7)
L'acte délégué établit des exigences précises concernant la gestion du cycle de vie des clés cryptographiques, incluant :
Des procédures détaillées pour chaque phase du cycle de vie
Des contrôles de protection spécifiques
Des méthodes de remplacement en cas de compromission
Une gestion rigoureuse des certificats
Obligation de documentation
Selon l'article 6 de l'acte délégué, les entités financières auront l'obligation de documenter leurs choix technologiques en justifiant toute impossibilité de suivre les standards de référence et maintenant des registres détaillés.
Conclusion
Les obligations de chiffrement imposées par DORA, et son acte délégué en cours de d'élaboration, représentent un défi significatif pour les institutions financières. La conformité à cette réglementation européenne nécessite une approche structurée, combinant solutions techniques adaptées et processus organisationnels robustes.
Les institutions financières disposent d'un délai jusqu'au 17 janvier 2025 pour se mettre en conformité avec DORA. Pour réussir leur mise en conformité, elles doivent considérer ces obligations non pas comme une simple contrainte réglementaire, mais comme une opportunité de renforcer leur sécurité globale. L'adoption de solutions de chiffrement proposée par DuoKey permet d'assurer la conformité, mais aussi d'apporter un avantage concurrentiel en termes de confiance des clients.
