Entrée en application depuis le 17 janvier 2025 dans l’Union Européenne, la réglementation DORA (Digital Operational Resilience Act) remet une couche de cybersécurité dans la Finance. Pour protéger leurs actifs et les intérêts économiques des nations européennes, ce dispositif vise à renforcer la résilience opérationnelle numérique des entités financières. En d’autres termes, en cas de crise ou de cyberattaque, elles deviennent plus que jamais garantes de la continuité de leur activité. En complément de la directive NIS 2, DORA vise ainsi à renforcer la gestion des risques de la Finance, relative aux technologies d’informations et de communications (TIC), dans un secteur particulièrement ciblé par les cybermenaces.
Un niveau de risque cyber élevé dans la Finance
Les cyberattaques ciblent massivement les infrastructures du secteur financier. Le risque cyber représente d’ailleurs aujourd’hui un risque majeur pour la stabilité financière. Dans son rapport sur l’Évaluation des risques du système financier paru en juin 2023, la Banque de France observe que « le système financier reste exposé à un niveau très élevé de risque de cyberattaques ». De son côté, le FMI souligne dans son dernier rapport d’avril 2024, les menaces qui pèsent sur les infrastructures essentielles, comme l’énergie et les institutions publiques, et dont les répercussions pourraient également atteindre le secteur financier. Dans certains cas, les capacités de financement de l’État ou son niveau de solvabilité sont en jeu.
Le contexte géopolitique accentue la cyberguerre et les risques pour le secteur financier. Preuve en est avec les attaques DDoS menées par des entités russes contre des institutions européennes, dans le cadre du conflit en Ukraine. L’intelligence artificielle ouvre également la voie à des attaques très élaborées et donc plus difficiles à contrer. Exemple marquant en février 2024, avec cette arnaque au président par deep fake sans précédent, qui a coûté 26 millions de dollars à une entreprise hong-kongaise du secteur de la finance.
Quelles sont les vulnérabilités cyber du secteur Financier ?
L’interconnexion des institutions
La structure même du secteur financier est caractérisée par la concentration et l’interconnexion des institutions autour de services clés (paiements, règlements, dépôts centraux). Si l’un de ces services est touché par une cyberattaque, les conséquences peuvent rapidement s’enchaîner et entraîner de lourds impacts sur la globalité du système.
La transformation numérique ultra rapide des entreprises du secteur de la finance explique également cette exposition massive au risque cyber. En effet, si la digitalisation des services bancaires a commencé très tôt, la sécurisation des systèmes d’informations ne s’est pas faite aussi rapidement. De plus, les collaborateurs des organisations bancaires utilisent plus largement des appareils mobiles et sont plus exposés aux risques de cyberattaques.
La dépendance aux Technologies de l’Information et de la Communication (TIC)
La dépendance vis-à-vis d’un nombre limité de fournisseurs IT critiques ajoute également à la vulnérabilité du système financier. En cas de dysfonctionnement ou de crise d’un prestataire TIC, de nombreuses organisations financières peuvent rencontrer des difficultés pour assurer leur continuité d’activité.
En somme, ces interconnexions et ces dépendances augmentent massivement la possibilité de contagion d’un problème d’une institution à une autre.
Bien comprendre la réglementation DORA et ses enjeux
Quelles organisations sont concernées ?
DORA concerne plus de 22 000 organisations européennes évoluant dans le secteur financier, comme :
Les établissements de crédit,
Les entreprises d’investissements, de paiement ou de monnaie électronique,
Les sociétés de gestion,
Les entreprises d’assurance et de réassurance,
Les intermédiaires d’assurance et de réassurance.
Par ailleurs, les prestataires tiers de services TIC considérés comme critiques doivent également se soumettre au nouveau règlement européen. Toujours selon l’AMF, en 2025, un nouveau cadre de supervision européen, sous l’égide de la Commission Européenne s’appliquera à ces prestataires, désignés par les trois autorités européennes de supervision (ESMA, EBA et EIOPA). C’est pourquoi, s’appuyer sur des tiers de confiance est plus que jamais indispensable pour le secteur financier.
Les 5 points clés de la réglementation
DORA a pour objectif principal de renforcer la résilience opérationnelle numérique des entreprises sensibles et critiques évoluant dans le secteur de la Finance. Cette exigence passe par une meilleure gestion des risques liés aux TIC mais aussi la mise en place de stratégies de cyber-résilience. Voici ci-dessous les obligations principales du règlement.
1. Gérer les risques liés aux TIC
À l’image de « l’approche tous risques » de la directive NIS 2, le règlement DORA souhaite améliorer l’identification des risques dans le secteur de la finance, principalement liés aux TIC. Les établissements financiers doivent prendre en considération les risques cyber inhérents à leurs opérations. Le règlement les oblige donc à les identifier et à quantifier leur niveau d’impact sur l’organisation, d’un point de vue interne et externe. De cette façon, les organisations auront une meilleure visibilité des mesures à mettre en place et se montreront plus agiles.
Comme vu plus haut, les banques et institutions financières sont aujourd’hui dépendantes des technologies de l’information et de communication. Si elles ne sont pas suffisamment sécurisées, ces technologies exposent les données sensibles qu’elles font transiter.
Ainsi, dans le cadre de la réglementation DORA, le secteur financier devra se montrer résilient face aux perturbations opérationnelles liées à ces technologies. Les organisations seront en charge d’identifier et de classifier les risques liés aux TIC, d’élaborer des processus de gestion des incidents et de mettre en place les mesures techniques adéquates, afin d’assurer la continuité d’activité.
La gestion des risques TIC permet également de rassurer l’écosystème de l’entreprise. C’est le cas des clients, dont les actifs et les données personnelles doivent être totalement protégés.
2. Gérer les risques liés aux prestataires tiers de services TIC
Le règlement DORA introduit également un cadre de gestion et de supervision spécifique pour les prestataires tiers critiques. Les critères de désignation de ces derniers sont définis par la Commission européenne. Ainsi, les contrats doivent comporter des clauses spécifiques pour garantir la sécurité et la continuité des services. Cela passe aussi par la définition d’une politique d’utilisation des services TIC, concernant les fonctions critiques ou importantes, ou encore par la tenue à jour d’un registre d’informations portant sur tous les contrats conclus avec les tiers prestataires de services TIC.
Par ailleurs, des autorités de supervision, en coordination avec la Commission Européenne, réaliseront des contrôles sur la conformité des TIC aux mesures de gestion des risques.
3. Systématiser la notification des incidents
Pour limiter les conséquences en cas de crise, la notification des cybermenaces et des incidents liés aux TIC est un enjeu majeur dans la réglementation DORA. Le signalement des incidents offre à la fois la possibilité aux autorités de surveillance d’intervenir rapidement et un meilleur suivi de l’évolution des menaces pour les organisations concernées.
Des processus de gestion des incidents TIC doivent être mis en oeuvre pour les identifier, les gérer et notifier les autorités compétentes dans les délais définis par les autorités européennes de surveillance (AES).
4. Tester régulièrement les mesures mises en place
Avec DORA, mettre en place de nouvelles stratégies cyber ne suffit pas. Les organisations devront déployer des tests de résilience opérationnelle numérique réguliers, afin de s’assurer de la performance de leurs processus.
Parmi eux :
Threat-Led Penetration Testing (TLPT)
Tous les 3 ans, les entités les plus critiques devront réaliser des tests qui simulent des cyberattaques réalistes et sophistiquées, basées sur des scénarios de menaces réelles. L’objectif principal n’est pas de réussir ou d’échouer au test, mais plutôt de mettre en évidence les forces et les faiblesses de l’entité testée, permettant ainsi d’améliorer son niveau de maturité en matière de cybersécurité, selon le site de la Banque Centrale Européenne.
Test des stratégies de sortie (Exit Strategy Testing)
Ces tests permettent de s’assurer qu’une organisation peut se désengager efficacement de ses prestataires TIC, en cas de défaillance ou de rupture de contrat par exemple, sans compromettre sa résilience opérationnelle. Selon l’Autorité des marchés financiers (AMF), ces stratégies visent à garantir la continuité des opérations et doivent inclure des plans détaillés pour transférer les services vers un autre fournisseur ou les internaliser, ainsi que des tests réguliers pour s’assurer de leur efficacité.
5. Partage d’informations sur la cybersécurité
DORA vise également à harmoniser les niveaux de cybersécurité et de cyber-résilience de tout un secteur. C’est pourquoi,, pour aider à renforcer leur expertise cyber, les entités financières sont invitées à partager des informations et des renseignements sur les cybermenaces qu’elles rencontrent.
Les sanctions en cas de non-conformité
Différents types de sanctions sont prévus par DORA en cas de non-respect de ses exigences. Ces sanctions incluent notamment :
Un arrêt temporaire ou définitif de pratiques contraires au règlement,
Des amendes financières pour assurer le respect des obligations,
ou encore des sanctions appliquées aux membres de l’organe de direction et aux autres personnes responsables de violations.
Enfin, des autorités de supervision réaliseront des contrôles sur la conformité des Technologies de l’Information et de la Communication (TIC) aux mesures de gestion des risques. Des sanctions pourront donc être prononcées en cas de non-respect, allant jusqu’à 1% du chiffre d’affaires annuel. Ces astreintes journalières sont applicables jusqu’à ce que la conformité soit atteinte, pour une durée maximale de six mois.
Choisir des prestataires TIC certifiés par l’ANSSI
L’Agence Nationale de la sécurité des systèmes d’informations (ANSSI) recommandent des produits et prestataires de services hautement sécurisés, grâce à son visa de sécurité. Elle vise à accompagner les organisations évoluant dans des secteurs sensibles, comme la finance, afin d’évaluer la fiabilité de technologies de communication.
En cas d’incident de cybersécurité, les équipes nécessitent de continuer à échanger dans un cadre hautement sécurisé. Cela permettra de garantir la continuité d’activité et d’assurer la résilience opérationnelle.
Tixeo, certifié par l’ANSSI depuis 2017, guide les organisations financières dans la protection de leurs communications critiques. Grâce à sa solution chiffrée de bout en bout souveraine, pouvant être déployée sur des réseaux fermés ou air gap, Tixeo garantit la parfaite confidentialité et la continuité des échanges en cas de crise.
Visa de sécurité ANSSI : un gage de fiabilité Depuis plus de 5 ans, Tixeo est la seule solution française de visioconférence sécurisée à être certifiée par l’ANSSI, grâce à son approche Secure By Design et sa technologie de chiffrement de bout en bout.
En raison des nombreux risques, l’Union Européenne a classifié le secteur bancaire comme hautement critique dans le cadre de la directive NIS 2, entrée en vigueur le 17 octobre 2024. Ainsi, les organisations concernées doivent renforcer leur cybersécurité et former leurs décideurs et employés. En complément, la réglementation DORA oblige les institutions financières à redoubler d’efforts pour mieux gérer leurs risques cyber. Elle constitue en cela une opportunité unique mais aussi un large défi pour gagner en cyber-résilience, dans un contexte géopolitique particulièrement tendu.
Cette réglementation, adoptée par le Parlement européen, impose aux institutions financières un renforcement de leur cybersécurité et la formation de leurs décideurs et employés.
Les prochaines étapes pour la mise en conformité
Adopté par le Parlement et le Conseil européen en décembre 2022, la réglementation DORA est entrée en vigueur dans l’Union Européenne le 16 janvier 2023 et doit être appliquée depuis le 17 janvier 2025. Pour autant, à sa date d’application, peu d’organisations se montraient en parfaite conformité à ce nouveau cadre réglementaire. Mais les efforts doivent continuer à être menés pour toucher à ce but, sous peine de sanctions importantes.
Pour compléter leur checklist :
les organisations ont pour mission de finaliser leur travail de cartographie des risques.
Puis, elles devront prioriser les différents projets à lancer, notamment pour la gestion des risques informatiques et TIC,
avant de mener les chantiers opérationnels de sécurisation des process et des contrats,
mettre en place les mécanismes de notification et suivi des incidents,
et tester les nouvelles stratégies de cybersécurité et de résilience.
Il est essentiel que les organisations du secteur financier s’appuie sur des prestataires TIC de confiance, souverains et certifiés par des organismes officiels afin de renforcer leur confiance. Tout comme pour NIS 2, la protection des communications sensibles représente aujourd’hui un aspect crucial pour la cybersécurité et la cyber-résilience des entreprises, en proie à des risques importants d’ingérence étrangère, de sabotage et d’espionnage.
Le Digital Operational Resilience Act (DORA) est un règlement européen visant à renforcer la résilience opérationnelle numérique des entités financières. Son objectif est de renforcer la gestion des risques liés aux TIC et la cyber-résilience des organisations afin d’assurer la continuité des services financiers en cas de cybermenace ou de perturbation opérationnelle grave. Le texte du règlement DORA est disponible sur le site de l’ACPR (l’Autorité de contrôle prudentiel et de résolution).
Quels sont les enjeux de la réglementation DORA ?
DORA représente un enjeu crucial pour le secteur financier, qui fait face à une augmentation des cyberattaques et une dépendance croissante aux prestataires de services TIC. Ce cadre réglementaire, mis en place sous l’impulsion de la Commission Européenne, vise à harmoniser les règles de résilience opérationnelle numérique au sein de l’Union Européenne.
Trois ambitions fortes : renforcer la cybersécurité et la gestion des risques informatiques, protéger la stabilité financière contre les risques TIC, préparer les institutions financières aux perturbations et garantir la continuité des services.
Comment se préparer à DORA ?
Pour assurer leur conformité à DORA, les entreprises doivent notamment cartographier leurs risques TIC et évaluer leurs dépendances aux prestataires de services TIC, mettre en place un cadre de gestion des risques informatiques intégrant des protocoles robustes, tester régulièrement leurs stratégies de résilience opérationnelle, établir un processus de signalement des incidents afin de réagir efficacement en cas de cyberattaques ou de crises. Elles devront également superviser leurs prestataires TIC critiques, en contractualisant selon les normes du cadre réglementaire DORA.
Quand entre en vigueur DORA ?
La publication officielle du texte a eu lieu en décembre 2022. La réglementation DORA a ensuite été adoptée en janvier 2023. La Commission européenne a adopté des actes délégués pour préciser certaines dispositions de DORA et l’acte législatif est entré en application le 17 janvier 2025. Les entités financières doivent donc finaliser dès maintenant l’exécution des mesures prévues par DORA.
Quels sont les 5 piliers de DORA ?
DORA repose sur cinq piliers fondamentaux :
– Gestion des risques TIC : mise en place d’un cadre strict pour identifier, évaluer et atténuer les menaces cyber. – Notification des incidents : signalement obligatoire des incidents majeurs liés aux TIC pour permettre une intervention rapide. – Tests de résilience opérationnelle numérique : réalisation régulière de tests de pénétration (TLPT) pour vérifier l’efficacité des mesures de cybersécurité. – Supervision des prestataires de services TIC : encadrement des contrats et surveillance des fournisseurs critiques. – Partage d’informations sur les cybermenaces, afin de renforcer la résilience opérationnelle numérique à l’échelle du secteur financier.
Comment DORA impacte le secteur financier ?
Le règlement DORA transforme en profondeur la gestion des risques TIC dans le secteur financier. Il impose une approche plus stricte de la cybersécurité, visant à prévenir les crises systémiques liées aux cyberattaques. Les institutions financières doivent renforcer leurs protocoles de gestion des risques, améliorer leurs dispositifs de notification des incidents, et garantir la continuité des services en cas de perturbation. En appliquant DORA, elles assurent leur conformité au cadre réglementaire européen et participent à la sécurisation du marché financier européen face aux crises.
Avec l’application obligatoire depuis janvier 2025, il est essentiel que les acteurs financiers accélèrent leur mise en conformité.
En 2026, l’arbitrage entre agilité et sécurité n’a plus lieu d’être. Un outil collaboratif de confiance doit désormais combiner trois critères indispensables : une expérience utilisateur simplifiée, une technologie certifiée et une souveraineté numérique renforcée. Face à l’hégémonie des suites américaines, Tixeo s’impose comme l’alternative souveraine majeure pour concilier productivité et sécurité des communications.
Mais derrière l’intuitivité des solutions proposées par les GAFAM se cachent de plus en plus de risques de rupture d’activité et de fuites de données, notamment avec l’intégration de modules d’IA.
Dans un contexte d’instabilité géopolitique, l’accès aux outils comme Teams ou Google Workspace peut constituer un point de rupture. Si l’accès est suspendu pour des raisons politiques ou techniques, c’est toute la capacité de collaboration de l’organisation qui s’effondre.
Réduire sa dépendance aux GAFAM : pour quoi faire ?
La majorité des solutions collaboratives dominantes sont soumises à des lois extraterritoriales, comme le Cloud Act aux Etats-Unis. Ce cadre permet aux autorités d’exiger l’accès aux données, même si les utilisateurs sont localisés en Europe. Une porte ouverte qui facilite donc l’espionnage et l’ingérence.
Réduire cette dépendance permet aux organisations d’activer deux leviers de résilience :
Renforcer la maîtrise des données : En s’appuyant sur des hébergeurs européens, les organisations s’assurent de leur conformité au RGPD et du respect de l’intégrité de leurs données.
Améliorer la pérennité des services : Opter pour un outil collaboratif souverain préserve la continuité opérationnelle face aux coupures liées aux tensions internationales. Cette résilience est maximale si la solution souveraine est déployée directement sur les serveurs de l’organisation (on-premise), pour ne dépendre d’aucune infrastructure tierce.
Les 3 piliers d’une plateforme collaborative de confiance
Un outil collaboratif fiable doit reposer sur trois socles fondamentaux :
La sécurité intégrée dès conception (Secure by Design) : La sécurité doit être au cœur du développement. Une certification comme la CSPN de l’ANSSI est un indicateur de confiance essentiel pour les secteurs les plus contraints (Défense, Industrie, Finance).
Le chiffrement de bout en bout (E2EE) : pour garantir la confidentialité des échanges, les flux de communications ne doivent jamais être déchiffrés sur les serveurs, afin qu’aucun tiers ne puisse accéder au contenu (messages, vidéo, audio…).
Certaines lois extra-territoriales, comme le Patriot Act américain, limitent fortement le chiffrement de bout en bout en obligeant les éditeurs à intégrer des back doors (portes dérobées). En Europe, le chiffrement de bout en bout dans les messageries fait régulièrement l’objet de débats mais il n’est pas contraint par cette obligation.
La flexibilité du déploiement : la possibilité de choisir entre un Cloud souverain ou une installation sur site (on-premise) permet d’aligner l’outil sur les politiques de sécurité internes de l’entreprise.
En plus de ces critères, l’outil collaboratif, même sécurisé, doit aujourd’hui offrir une expérience utilisateur sans failles.
Les fonctionnalités de collaboration qui font la différence
L’évolution des usages montre que les silos technologiques limitent l’efficacité des organisations. Selon l’étude menée par Wakefield Research pour Atlassian, les salariés français perdraient en moyenne une journée de travail chaque mois à décrypter et parfois même à corriger des consignes mal formulées, incomplètes ou tout simplement fausses reçues par messages instantanés ou par mail.
Pour pallier à ce manque de fluidité, de nouveaux standards collaboratifs émergent :
Les Workspaces ou groupes de travail
Ils centralisent différents flux de communication en un seul espace : messagerie instantannée, gestion de fichiers ou encore visioconférence. Les membres collaborent facilement, sans perte d’informations, de façon synchrone ou asynchrone, tout en s’appuyant sur des ressources partagées. Une approche qui réduit aussi la charge cognitive en évitant la dispersion des informations entre plusieurs applications.
Quand un message ou un mail manque de clarté, les collaborateurs peuvent basculer directement en visioconférence avec un collègue présent dans l’open-space.
Le sujet peut ainsi être clarifié rapidement sans avoir besoin de programmer une réunion formelle. À la clé, moins de temps perdu dans la résolution de problèmes, moins de frustration et plus de proximité entre les équipes.
L’assitant IA
L’intégration de l’intelligence artificielle dans les outils collaboratifs transforme la productivité et permet de s’affranchir des tâches chronophages en réunion. Transcription des échanges, traduction ou encore résumé font partie des fonctionnalités clés.
Ce gain de productivité permet aux équipes de se concentrer sur la prise de décision plutôt que sur la prise de notes.
Mais l’usage massif et relativement récent de l’IA manque généralement de cadrage dans les organisations et peut créer des vulnérabilités. Une attention particulière doit être portée à la protection des données collectées mais aussi à leur hébergement, pour que ces agents ne deviennent pas des espions à la recherche d’informations stratégiques.
Pour évaluer la pertinence d’un outil collaboratif, les décideurs IT s’appuient désormais sur ce triptyque :
Pour les éditeurs européens de logiciels collaboratifs, le défi est clair : offrir aux organisations une expérience aussi fluide que celle des outils connus du grand public, tout en garantissant une sécurité absolue pour les échanges les plus critiques.
Des alternatives existent déjà pour y répondre et ne plus choisir entre expérience utilisateur et conformité réglementaire.
Dans ce contexte, l’éditeur français Tixeo propose une nouvelle approche de la collaboration sécurisée. Historiquement reconnu pour son expertise en matière de visioconférence sécurisée, Tixeo offre désormais comme une plateforme visiocollaborative globale, entièrement chiffrée de bout en bout.
Ses utilisateurs bénéficient d’une expérience de collaboration fluide, sans compromis sur la sécurité, avec :
Les Workspaces Tixeo, des espaces 3-en-1 chiffrés de bout en bout avec messagerie, partage de fichiers et visioconférence, chacun bénéficiant du chiffrement de bout en bout activé par défaut ;
Une IA souveraine pour transcrire, traduire et résumer, hébergée sur des serveurs privés Tixeo et déconnectés d’Internet, sans mémorisation des requêtes et des données ;
Une sécurité adaptative avec la personnalisationdes niveaux de sécurité des réunions, selon la sensibilité des échanges.
Interface Workspace Tixeo avec messagerie instantanée, partage de fichiers, visioconférence et open-space virtuel
Pourquoi choisir Tixeo pour collaborer ?
Au-delà de la technologie, Tixeo renforce l’autonomie stratégique des organisations : le développement R&D et le support sont basés en France et l’hébergement Cloud est 100% souverain en Europe.
Des organisations dans les secteurs les plus sensibles lui font déjà confiance pour protéger leurs échanges critiques, comme Naval Group ou Dassault Aviation.
Les points forts Tixeo :
Plateforme collaborative complète et chiffrée de bout en bout
Certification CSPN de l’ANSSI depuis 2017
Conformité RGPD, NIS 2 et DORA
Développement R&D et support en France
Déploiement cloud public, privé (qualifié SecNumCloud) ou on-premise
Opter pour un outil collaboratif souverain et sécurisé n’est plus une contrainte. En garantissant confidentialité et résilience, des solutions comme Tixeo permettent aux organisations de renforcer leur efficacité, tout en prenant en compte leurs exigences.
Microsoft mettra fin au support étendu de Skype for Business Server (2015 et 2019) le 14 octobre 2025. À cette date, les organisations clientes peuvent migrer vers une solution cloud ou plus coûteuse, ou saisir l’opportunité de déployer une alternative européenne, certifiée et on-premise.
Une rupture technologique et stratégique
L’annonce de la fin du support de Skype for Business Server (prévue en octobre 2025) marque un tournant décisif pour les entreprises et administrations qui avaient fait le choix d’une infrastructure de communication déployée sur site, hors des grands clouds publics.
Suite à ce retrait, les organisations clientes sont invitées à migrer vers Microsoft Teams, solution dans le cloud présentée comme l’alternative « la plus simple » par le GAFAM, mais loin d’être la plus sécurisée. Ce basculement impose une dépendance technologique et juridique extraterritoriale aux organisations, dans le cloud américain.
Pour les clients qui souhaitent maintenir une solution Microsoft on-premise, la démarche devient un véritable défi stratégique et opérationnel. Les coûts de migration souvent importants, les contraintes liées aux ajustements d’abonnement, ainsi que la problématique liée aux ressources techniques disponibles rendent cette option non seulement complexe à mettre en œuvre, mais également difficilement soutenable sur le plan économique.
Mais des solutions existent.
Changer d’outil, sans compromettre vos exigences
La tentation d’une migration rapide vers Microsoft Teams peut paraître naturelle. Pourtant, cette transition s’accompagne de nombreuses zones de risque :
Données hébergées dans le cloud américain soumis au Cloud Act (législation permettant aux autorités américaines, sous conditions, d’accéder aux données des utilisateurs) ,
Complexité du modèle de gouvernance des accès et des audits,
Évolutions fonctionnelles non maîtrisées,
Perte d’autonomie technique.
Si votre organisation doit répondre à des contraintes réglementaires,comme NIS 2 ou DORA, ou souhaite renforcer sa souveraineté numérique, le passage à Teams pose plus de questions qu’il n’apporte de réponses.
Déployer une nouvelle solution de communication on-premise, respectueuse de vos exigences de sécurité, de souveraineté et de conformité réglementaire serait donc une voie à privilégier.
Pourquoi conserver l’approche on-premise pour sa solution de communication ?
Le maintien d’une solution on-premise répond à des besoins de fond, bien au-delà du simple aspect technique. Ses principaux bénéfices :
Une installation sur-mesure, adaptée à l’infrastructure et aux contraintes de votre SI ;
Une maîtrise totale des données, garante de la conformité au RGPD : hébergement local, contrôle des flux et métadonnées, conservation encadrée des contenus et des journaux de connexion ;
Une sécurité renforcée, grâce à une isolation du service, y compris dans des environnements classifiés ou sensibles (ex : défense, industrie, énergie, finance) ;
4 critères à ne pas négliger dans le choix de votre alternative
Pour identifier une solution de remplacement à Skype for Business Server, plusieurs critères de sélection doivent être évalués :
L’approche Secure by Design
La première exigence concerne la sécurité dès la conception du logiciel.
Son architecture doit être pensée selon une approche « Secure by Design », sans port réseau entrant ouvert et en traitant les potentielles vulnérabilités à la source, afin de limiter les surfaces d’attaque. Elle doit également proposer des mécanismes d’authentification robustes et d’une gestion fine et rigoureuse des accès et des droits utilisateurs.
Une solution de communication crédible doit aussi garantir un chiffrement de bout en bout pour les flux de communications audio, vidéo et data (messagerie, fichiers…).
La souveraineté technologique
La solution alternative doit limiter ses dépendances à des technologies étrangères (ou exposées à des juridictions extraterritoriales comme le Cloud Act) notamment pour ses composants les plus critiques.
S’appuyer sur une technologie propriétaire, développée par une entreprise européenne dont la R&D, le siège social, les capitaux et le support sont intégralement basés en Europe, offre davantage de sécurité et de confiance. L’indépendance vis-à-vis d’acteurs extra-européens garantit une maîtrise complète de l’infrastructure.
La conformité réglementaire
L’outil de communication doit être pleinement conforme au RGPD, tant sur le plan du traitement des données personnelles que sur celui de la traçabilité des actions. Il doit aussi pouvoir accompagner les organisations dans le respect des nouvelles réglementations européennes :
la directive NIS 2 pour la cybersécurité des organisations, fournisseurs et sous-traitants sensibles,
ou le règlement DORA pour la résilience numérique opérationnelle dans le secteur financier.
Le déploiement et l’interopérabilité
Enfin, la capacité d’intégration et d’interopérabilité de la plateforme de communication alternative ne peut être négligée.
La solution doit pouvoir s’interfacer avec les infrastructures existantes, notamment via les protocoles standards comme SIP ou H.323, et offrir des connecteurs ou API facilitant son intégration au sein du système d’information.
La simplicité de déploiement est également un atout dans les environnements complexes ou fortement sécurisés.
Tixeo : une réponse européenne, souveraine et sécurisée
Tixeo, solution de visioconférence sécurisée développée en Europe, répond aux exigences les plus strictes en matière de sécurité, de souveraineté numérique et de conformité réglementaire.
Elle constitue aujourd’hui une alternative crédible et éprouvée à Skype for Business Server, dans un contexte où les organisations cherchent à préserver la maîtrise de leurs communications stratégiques.
Technologie 100 % propriétaire, certifiée CSPN par l’ANSSI, Tixeo permet un déploiement entièrement on-premise (TixeoServer), y compris dans des environnements sensibles ou isolés (air-gapped).
Besoin de communiquer dans des environnements sensibles ou contraints
Compatible environnement Air Gap et déconnecté d’Internet
Sensibilité des échanges (défense, industrie, énergie, finance…)
Chiffrement de bout en bout certifié CSPN par l’ANSSI
Conformité réglementaire RGPD / NIS 2 / DORA
Accompagnement et conformité garantie
Volonté d’indépendance technologique
Solution 100 % propriétaire, européenne et sans dépendances externes
Ils font déjà confiance à Tixeo
Déjà adoptée par des ministères, des agences de défense, des institutions financières et des industriels critiques, Tixeo s’impose comme un choix stratégique pour toutes les organisations souhaitant garder le contrôle de leurs communications les plus sensibles, sans compromis sur la sécurité ni sur la souveraineté.
Garder le cap dans un contexte incertain
À l’heure où les tensions géopolitiques, les cybermenaces et les enjeux de souveraineté numérique s’intensifient, le choix d’un outil de communication n’est plus anodin et le « tout-cloud » imposé n’est pas l’unique voie.
La fin de Skype for Business Service est l’opportunité unique de repenser ses infrastructures de communication pour :
renforcer sa sécurité,
reprendre le contrôle de ses données
et garantir une autonomie numérique à long terme.
Depuis plus de 20 ans, Tixeo incarne cette vision, avec une solution souveraine, robuste et fiable.
En tant que cible privilégiée de cyberattaques, les entreprises du secteur de la finance, des banques et des assurances doivent être prêtes à gérer des crises majeures. C’est en réagissant vite et de façon coordonnée qu’elles sauront garantir leur continuité d’activité.
Une hausse spectaculaire du risque cyber pour les banques européennes
La Banque Centrale Européenne (BCE) considère aujourd’hui que le risque cyber est un risque majeur pour la stabilité financière.
Comment l’expliquer ?
La collaboration à distance et l’interconnexion des systèmes peuvent expliquer la prolifération des cybermenaces au sein des banques et des organisations de la Finance. En effet, la digitalisation accélérée de ces organisations ne s’accompagne pas toujours d’une sécurité renforcée.
Par ailleurs, le premier facteur de cyberattaque reste l’humain. Les salariés ne maîtrisent généralement pas assez les bons réflexes en matière de cybersécurité (communications non sécurisées, mots de passe peu solides, phishing…). Leurs usages constituent ainsi une porte d’entrée privilégiée dans les systèmes d’information des entreprises. Les cyberattaquants profitent de ces failles pour mener des attaques. Ils récupèrent ainsi des informations financières sensibles ou perturbent l’équilibre économique d’une organisation.
Enfin, le contexte géopolitique tendu amène certaines organisations cybercriminelles étatiques ou para-étatiques à s’attaquer à la stabilité financière d’une nation.
La gestion de crise pour la Finance : point clé de la réglementation DORA
Les banques et organisations du secteur de la Finance doivent aujourd’hui renforcer leur sécurité IT et se préparer à surmonter les crises à venir.
La réglementation DORA vise ces deux objectifs : améliorer la cybersécurité des organisations financières et leur cyber-résilience, afin de garantir la continuité dans leur fourniture de services. Cette réglementation entrera en vigueur à l’échelle européenne dès la fin de l’année 2024.
L’outil de visioconférence sécurisée répond aux besoins de confidentialité, de réactivité et de continuité d’activité des organisations, dans un contexte d’accroissement des cybermenaces.
Pour limiter le risque cyber
Les entreprises du secteur de la finance digitalisent certaines réunions sensibles. C’est le cas de Codir ou Comex, de réunions de négociations financières, ou encore d’audits ou d’examens de conformité.
Tenir ces échanges en distanciel fait gagner du temps aux parties. Mais cela doit exiger l’utilisation d’une solution de visioconférence avec un niveau de sécurité maximal. Les communications audio, vidéo et data, doivent être protégées de toute écoute, grâce à une véritable technologie de chiffrement de bout en bout. Le recours à la visioconférence sécurisée est ainsi un premier rempart contre l’espionnage informatique et le vol de données.
Pour gérer la crise et garantir la continuité d’activité
En cas de perturbation du système d’information, les outils de collaboration principaux peuvent être rendus inopérants. Le recours à une solution de visiocollaboration sécurisée devient alors essentiel :
pour permettre aux équipes dédiées d’échanger sur les opérations de gestion de crise de façon sécurisée
pour assurer la continuité d’activité des salariés et de l’entreprise
pour garantir la confidentialité et la protection des échanges durant toute la durée de la crise et éviter d’autres fuites de données
La visioconférence sécurisée répond au besoin de gestion de crise de la Finance en assurant l’efficacité des équipes et la sécurité des communications.
Comment choisir le bon allié ?
La réglementation DORA rappelle d’ailleurs l’importance fondamentale de mettre en place des politiques sur la gestion de crise de la Finance et des risques liés aux technologies de l’information et de la communication. Cela implique de choisir des prestaires et sous-traitants TIC hautement sécurisés.
La certification de l’ANSSI aide les entreprises, notamment de la Finance, à faire ce choix. En effet, le visa de sécurité de l’ANSSI garantit la fiabilité et le haut niveau d’exigences en matière de sécurité d’un produit, indispensable pour faire face à la crise et gagner en cyber-résilience. Il équivaut à une recommandation de l’Etat pour son utilisation.
Le choix d’une solution de visioconférence sécurisée certifiée par l’ANSSI est donc recommandé, d’autant plus dans le cadre de plan de continuité d’activité et de gestion du risque cyber.
Tixeo est la seule solution de visioconférence sécurisée certifié par l’ANSSI depuis plus de 6 ans.
Les attaques liées au cyberespionnage et menées par des entités étatiques ou para-étatiques se multiplient et visent les entreprises européennes. Elles ciblent principalement des organisations essentielles à la stabilité économique d’un pays. Conséquence des...
