Chiffrement et DORA : Quelles sont les obligations imposées par DORA ?
La réglementation DORA (Digital Operational Resilience Act - Règlement UE 2022/2554) impose de nouvelles exigences strictes en matière de sécurité numérique pour le secteur financier européen. Parmi ces obligations, le chiffrement des données occupe une place centrale. Cet article examine en détail les obligations imposées aux institutions financières en matière de chiffrement.
Digital Operational Resilience Act (DORA) en bref
DORA (Règlement UE 2022/2554 du 14 décembre 2022) est un règlement européen qui entrera en application le 17 janvier 2025. Il vise à renforcer la résilience opérationnelle numérique du secteur financier et s'applique à un large éventail d'institutions financières, telles que :
Les établissements de crédit
Les entreprises d'investissement
Les fournisseurs de services de paiement
Les compagnies d'assurance et de réassurance
Les gestionnaires de fonds
Et autres acteurs du secteur financier
Les obligations de chiffrement imposées par DORA
DORA établit plusieurs obligations spécifiques en matière de chiffrement des données sensibles, de sécurisation des communication et de gestion des clés de chiffrement, ainsi que de documentation et de tests.
Examinons maintenant en détail les obligations spécifiques qui encadrent ces exigences réglementaires.
1. Protection des données sensibles (Article 9 et Article 13)
La réglementation DORA exige une protection complète des données sensibles via un chiffrement systématique et adapté.
Obligation de chiffrement au repos: Les données sensibles doivent être chiffrées lorsqu'elles sont stockées (Art. 13(3))
Classification des données: Obligation d'identifier et de catégoriser les données nécessitant un chiffrement (Art. 9(1))
Niveau de protection adapté: Le niveau de chiffrement doit être proportionnel à la sensibilité des données (Art. 13(2))
2. Sécurisation des communications (Article 13 et Article 16)
Tous les échanges d'informations doivent être protégés par des protocoles de chiffrement robustes et validés.
Chiffrement en transit : Obligation de chiffrer les communications avec les contreparties (Art. 13(3))
Protocoles sécurisés : Utilisation de protocoles de chiffrement à jour et reconnus (Art. 13(4))
Validation des endpoints : Vérification de l'identité des parties communicantes (Art. 16)
3. Gestion des clés de chiffrement (Article 13)
Un système complet et robuste de gestion des clés de chiffrement doit être mis en place pour garantir leur sécurité tout au long de leur cycle de vie.
Politique de gestion des clés : Mise en place d'une politique documentée (Art. 13(5))
Rotation régulière : Obligation de renouveler périodiquement les clés
Stockage sécurisé : Protection des clés de chiffrement
Procédures de récupération : Mise en place de processus de récupération en cas de perte
4. Documentation et contrôle (Articles 6, 13 et 14)
Une traçabilité complète des mesures de chiffrement doit être assurée via une documentation détaillée. Il est par conséquence important de réaliser les tâches suivantes :
Documentation des méthodes : Description détaillée des solutions de chiffrement utilisées (Art. 6)
Registre des actifs : Inventaire des données chiffrées (Art. 13)
Traçabilité : Capacité à démontrer l'application effective des mesures de chiffrement (Art. 14)
Audits réguliers : Contrôles périodiques des mesures de chiffrement (Art. 14(3))
5. Tests et évaluation (Article 23 et 24)
Les mesures de chiffrement doivent être régulièrement testées pour garantir leur efficacité sur le long terme. Cela comprend notamment la mise en place de :
Tests de résilience : Évaluation régulière de l'efficacité des mesures de chiffrement
Correction des vulnérabilités : Obligation de remédier aux failles identifiées
Solutions techniques conformes
Pour répondre à ces obligations, les institutions financières peuvent s'appuyer sur différentes solutions qui comprennent des algorithmes de chiffrement standards (AES, RSA), des protocoles de communications sécurisés (TLS, SSH) et boitiers de gestion des clés (HSM).
Le chiffrement MPC de DuoKey
DuoKey propose une solution de chiffrement ultra-sécurisées qui répond aux exigences de DORA. Cette approche, basée sur le calcul multipartite, présente un chiffrement distribué sans exposition de la clé complète, répondant parfaitement aux exigences de DORA sur la protection des données sensibles et la gestion sécurisée des clés de chiffrement (articles 9 et 13).
Intégration sur les environments clouds Microsoft 365, AWS, Google, Salesforce, Vault, etc.
Disponible en modèle SaaS ou sur les selon les besoins de l'organisation
Audit d'accès permettant de gérer l'accès aux clés et données sensible de manière granulaire.
Étapes de mise en conformité
Pour assurer la conformité avec les obligations de chiffrement de DORA (Article 5 et Article 6), les institutions doivent :
Évaluer : Auditer l'existant et identifier les écarts.
Planifier : Définir une feuille de route de mise en conformité.
Implémenter : Déployer les solutions de chiffrement appropriées.
Documenter : Maintenir une documentation exhaustive.
Contrôler : Mettre en place des processus de surveillance continue.
Conclusion
Les obligations de chiffrement imposées par DORA représentent un défi significatif pour les institutions financières, mais elles sont essentielles pour garantir la résilience opérationnelle du secteur. La conformité nécessite une approche structurée, combinant solutions techniques adaptées et processus organisationnels robustes.
Les institutions financières disposent d'un délai jusqu'au 17 janvier 2025 pour se mettre en conformité avec ces exigences. Pour réussir leur mise en conformité, elles doivent considérer ces obligations non pas comme une simple contrainte réglementaire, mais comme une opportunité de renforcer leur sécurité globale. L'adoption de solutions de chiffrement proposée par DuoKey permet d'assurer la conformité, mais aussi d'apporter un avantage concurrentiel en termes de confiance des clients.
