Skip to main content
Le point de rencontre entre DORA et DMARC

Le point de rencontre entre DORA et DMARC

-
Nouvelles de l'écosystèmeAperçu de la sécurité des courriels

Dans cet article, nous décrivons comment la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA) s'articule avec DMARC, en montrant comment DMARC peut compléter l'objectif de DORA de rendre le secteur financier plus sûr et plus résilient sur le plan numérique.


Avec DMARC en place, les propriétaires de domaines peuvent lutter contre la compromission des courriers électroniques professionnels, le phishing et le spoofing.


Qu'est-ce que DORA ?

DORA est l'acronyme de Digital Operational Resilience Act (loi sur la résilience opérationnelle numérique). Il s'agit d'un cadre réglementaire proposé par l'Union européenne en 2022 qui s'applique aux organisations opérant dans le secteur financier. La réglementation est en vigueur depuis janvier 2025. Des mesures de protection appropriées sont nécessaires pour gérer les perturbations et les menaces liées aux TIC (technologies de l'information et de la communication) et y répondre.

En vertu du DORA, les organisations concernées doivent respecter des règles de protection, de détection, de confinement, de récupération et de réparation en cas d'incidents liés aux TIC. Le DORA fait explicitement référence aux risques liés aux TIC et fixe des règles concernant la gestion des risques liés aux TIC, la notification des incidents, les tests de résilience opérationnelle et la surveillance des risques liés aux TIC par des tiers.

Ce règlement reconnaît que même lorsqu'une institution financière détient suffisamment de capital pour couvrir les risques traditionnels (fluctuations du marché, problèmes de crédit, manque de liquidités), les problèmes liés aux TIC peuvent créer des vulnérabilités au détriment de la stabilité du système financier. Cela signifie que des réserves financières suffisantes ne protègent pas nécessairement contre les perturbations dues à des incidents liés aux TIC et à des faiblesses opérationnelles.

DORA est divisé en sept chapitres :

  1. Dispositions générales
  2. Gestion des risques liés aux TIC
  3. Gestion, classification et signalement des incidents liés aux TIC
  4. Essais de résilience opérationnelle numérique
  5. Gestion des risques liés aux TIC pour les tiers
  6. Dispositions relatives à l'échange d'informations
  7. Autorités compétentes

En savoir plus sur l'alignement DMARC pour prévenir l'usurpation d'adresse électronique et les attaques par hameçonnage.


Intersections entre DORA et DMARC

Bien que le DMARC ne soit pas explicitement mentionné dans le DORA, il peut contribuer à atteindre les objectifs de chaque chapitre en garantissant une posture de cybersécurité solide, notamment en protégeant les domaines de courrier électronique contre les attaques de phishing et de spoofing afin d'améliorer la sécurité des communications et la résilience opérationnelle, comme le prévoit le DORA.

Le tableau suivant résume les chapitres du DORA où le DMARC peut aider à atteindre ses objectifs :

Tableau DORA DMARC

DORA Chapitre 2 : Gestion des risques liés aux TIC
Ce chapitre détaille la nécessité d'une gestion solide des risques liés aux TIC, y compris l'identification, la protection, la détection, la réponse et la restauration des incidents liés aux TIC. Grâce à DMARC, les organisations peuvent identifier les activités de courrier électronique qui ne sont pas dûment autorisées, ce qui réduit les risques associés à la fraude par courrier électronique et aide une organisation à améliorer sa réputation.

Les cadres de gestion des risques liés aux TIC doivent comprendre des stratégies, des politiques et des solutions intégrant des informations et des ressources TIC sur les menaces telles que l'accès ou l'utilisation non autorisés. Les institutions financières sont censées réduire l'impact des risques liés aux TIC en appliquant des politiques et des mesures pertinentes et en divulguant rapidement les risques liés aux TIC aux autorités de régulation.

DORA Chapitre 2, article 6

DORA Chapitre 3 : Gestion des incidents, classification et signalementdes TIC
Ce chapitre couvre la gestion des incidents, la classification et le signalement des incidents liés aux TIC. DMARC permet de détecter et de minimiser l'impact des incidents de sécurité résultant de l'usurpation d'adresse électronique et des attaques par hameçonnage, qui constituent des menaces typiques pour la résilience opérationnelle et la conformité.

N'oublions pas que l'un des vecteurs d'attaque les plus répandus et les plus utilisés est le phishing. Les cybercriminels s'en servent souvent pour faire fuir des données confidentielles en convainquant les gens d'exposer leurs informations personnelles, leurs identifiants de connexion ou leurs données financières. Par exemple, la plupart des attaques par ransomware commencent par une campagne d'hameçonnage par courrier électronique, au cours de laquelle les utilisateurs sont incités à ouvrir un fichier joint infecté ou à cliquer sur un lien malveillant.

Les entités financières enregistrent tous les incidents liés aux TIC et les cybermenaces significatives. Les entités financières mettent en place des procédures et des processus appropriés pour assurer une surveillance, un traitement et un suivi cohérents et intégrés des incidents liés aux TIC, afin de veiller à ce que les causes profondes soient identifiées, documentées et traitées de manière à éviter que de tels incidents ne se reproduisent.

DORA Chapitre 3, article 17

DORA Chapitre 4 : Test de résilience opérationnelle numérique
Ce chapitre traite du cadre de test de résilience opérationnelle numérique. Une politique DMARC peut être mise en œuvre et testée pour prouver son efficacité dans la détection et la réponse aux menaces provenant du courrier électronique, ce qui contribue à une stratégie globale de cybersécurité pour toute entité financière.

DORA Chapitre 5 : Gestion des risques liés aux TICdes tiers
Ce chapitre traite de la gestion des risques liés aux fournisseurs tiers. L'inclusion de politiques DMARC fortes dans les contrats avec les tiers est une étape importante dans le maintien de l'intégrité et de la sécurité des communications et, par conséquent, de la protection contre les menaces basées sur le courrier électronique.

DORA Chapitre 6 : Accords d'échange d'informations
Ce chapitre porte sur l'importance de l'échange de renseignements sur les cybermenaces entre les organisations et les entités publiques afin d'améliorer la défense collective et la réponse aux cybermenaces. La mise en œuvre de DMARC dans tous les domaines peut aider à identifier des menaces telles que le phishing et le spoofing dans les écosystèmes de messagerie électronique.

Un outil d'analyse DMARC, tel que celui de dmarcian, est un atout essentiel qui permet la surveillance continue de l'écosystème de messagerie électronique de toute organisation. Il aide à identifier les menaces potentielles qui pourraient être partagées dans le cadre de cet effort de renseignement.

Étude de cas : Les membres de la Banking Federation of Ireland

La Banking Federation of Ireland (BFI) est la voix de la banque et des paiements en Irlande. Elle compte parmi ses membres plusieurs institutions financières. Nous avons examiné la mise en œuvre de DMARC parmi les membres de la BFI afin de fournir des données utiles sur leurs pratiques en matière de sécurité du courrier électronique.

Les tableaux suivants montrent la mise en œuvre de DMARC et les politiques pour les membres du BFI :

Diagrammes à secteurs DORA. DMARC

Ces chiffres montrent que si 62 % des membres ont mis en œuvre DMARC dans une certaine mesure, un sous-ensemble important (38 %) ne dispose toujours pas des contrôles que DMARC peut fournir.

Les données montrent que 69 % des organisations disposant d'un enregistrement DMARC ont mis en œuvre des politiques de mise en quarantaine ou de rejet. Toutefois, des améliorations sont encore nécessaires, en particulier pour les domaines ayant une politique de p=none (31 %), ce qui signifie qu'il n'y a aucune protection contre les courriels frauduleux.

Le DMARC est l'une des pierres angulaires de la réalisation des objectifs du DORA visant à garantir la sécurité et la résilience du secteur de la finance numérique. Les institutions financières peuvent tirer profit du déploiement de DMARC dans leurs systèmes de messagerie électronique, notamment en se protégeant contre les menaces liées au courrier électronique, en se conformant aux exigences réglementaires et en améliorant la résilience opérationnelle de leur régime.

Les entités financières doivent planifier les mesures qu'elles devront prendre d'ici à janvier 2025 pour s'assurer qu'elles peuvent se conformer à ce règlement et soutenir les avantages attendus d'une harmonisation accrue de la résilience opérationnelle numérique dans l'ensemble du système financier européen.

Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité du courrier électronique et une mission visant à rendre le courrier électronique et l'Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation et à mettre en œuvre et gérer DMARC à long terme.


Vous voulez continuer la conversation ? Rendez-vous sur le forum dmarcien.