La FSMA pousse le secteur financier belge à accélérer les investissements dans la cybersécurité
L’autorité des services et marchés financiers alerte les acteurs financiers belges sur la manière dont elle entend appliquer le règlement européen DORA. Focus sur une règlementation qui impacte également l’écosystème cybersécurité, les hébergeurs cloud, et autres éditeurs de logiciels. Éclairage.
L'organisme public autonome chargé de la surveillance du secteur financier en Belgique met en garde le secteur des banques contre l'émergence des « Frontier AI Systems », ces modèles d'IA de dernière génération capables d'automatiser des attaques d'une sophistication jusqu'ici réservée à des cybercriminels expérimentés.
Pour les responsables cybersécurité, les RSSI, les prestataires IT et les fournisseurs de services de sécurité, cette communication constitue une mise en garde sur la manière dont la FSMA entend appliquer le règlement européen DORA (Digital Operational Resilience Act) et les attentes concrètes en matière de prévention, de détection et de notification des incidents.
L'IA change radicalement le niveau de menace
Jusqu'à présent, les campagnes de phishing, le développement de malwares ou l'identification de vulnérabilités exigeaient un niveau élevé d'expertise technique.
Mais l’émergence des "Frontier AI Systems" bouleverse cet équilibre, car ces modèles sont désormais capables de produire du code malveillant de qualité professionnelle, découvrir automatiquement des vulnérabilités, personnaliser des campagnes de phishing extrêmement crédibles, automatiser des attaques à grande échelle et assister des acteurs malveillants dans des opérations complexes.
Autrement dit, le coût d'entrée pour mener des cyberattaques sophistiquées diminue fortement, tandis que leur volume augmente.
DORA : un règlement qui met le secteur financier belge sous pression
Pour le secteur financier, cela signifie que les dispositifs de sécurité reposant uniquement sur des signatures ou des règles statiques deviennent progressivement insuffisants.
Aujourd’hui, DORA devient le véritable référentiel de cybersécurité dont l’application est appelée à devenir plus rigoureuse. La règlementation européenne comporte plusieurs piliers concernant les organismes bancaires et autres compagnies d'assurance.
Le premier concerne la gestion des risques ICT. Les institutions financières doivent démontrer qu'elles disposent d'une gouvernance robuste, capable d'identifier les risques liés à l'utilisation croissante de l'intelligence artificielle, tant en interne que chez leurs fournisseurs.
Deuxième axe : la capacité de détection. Les organisations doivent pouvoir identifier rapidement des comportements anormaux, y compris lorsque les attaques utilisent des techniques inédites générées par l'IA.
Enfin, la résilience opérationnelle doit être régulièrement testée au travers d'exercices réalistes permettant de mesurer la capacité de l'organisation à détecter, contenir et restaurer ses activités.
Pour la FSMA, ces exigences ne sont plus théoriques : elles doivent désormais être démontrées.
Quels investissements cybersécurité deviennent prioritaires ?
Il s’agit donc d’un signal fort pour les directions informatiques et les responsables des investissements. Les budgets cybersécurité devront évoluer vers des technologies capables de détecter des attaques beaucoup plus dynamiques. Parmi les investissements qui devraient être privilégiés figurent :
-les solutions de détection comportementale (UEBA, EDR, XDR et plateformes alimentées par l'IA) capables d'identifier des comportements inhabituels plutôt que de simples signatures ;
-le renforcement des SOC avec des capacités d'analyse automatisée des incidents ;
-les solutions de protection des identités, notamment face aux attaques utilisant des contenus générés par IA ;
-les plateformes de gestion des risques liés aux fournisseurs ICT, une obligation centrale de DORA ;
-les programmes réguliers de simulations d'attaque, exercices Red Team et tests de résilience opérationnelle.
Autrement dit, les investissements ne doivent plus seulement renforcer le périmètre de sécurité. Ils doivent améliorer la capacité de l'organisation à détecter rapidement une attaque, limiter son impact et reprendre ses activités.
Les fournisseurs ICT largement concernés
Cette évolution ne concerne pas uniquement les banques, compagnies d'assurance ou sociétés de gestion. Les prestataires IT, intégrateurs, MSSP, hébergeurs cloud, fournisseurs SaaS et éditeurs de logiciels travaillant avec le secteur financier sont également directement concernés. Car DORA impose aux institutions financières une surveillance beaucoup plus stricte de leurs prestataires critiques.
Concrètement, les fournisseurs technologiques devront démontrer qu'ils disposent eux-mêmes d'une gouvernance cybersécurité mature, d'un plan de gestion des incidents documenté, de capacités de reprise après sinistre, d'une politique claire de notification des incidents, d'audits réguliers et de preuves de conformité. Les appels d'offres devront à l’avenir intégrer ces critères.
Quels changements pour les RSSI ?
Pour les responsables cybersécurité, la conformité ne peut plus être dissociée de la stratégie technique. Les feuilles de route devront désormais intégrer simultanément les exigences DORA, la montée en puissance des cyberattaques assistées par IA et les exigences croissantes des autorités de supervision.
Les tableaux de bord évolueront également. Les indicateurs porteront davantage sur les temps de détection, les temps de réponse, la résilience des fournisseurs critiques, la qualité des tests de sécurité et la capacité à notifier rapidement un incident. La documentation des processus prendra davantage d’importance pour démontrer la conformité lors des contrôles de la FSMA.
Accélération des investissements cybersécurité
Le message adressé au marché est clair : les établissements financiers ne peuvent plus considérer DORA comme un simple exercice de conformité documentaire. Face à l'évolution des cybermenaces alimentées par l'intelligence artificielle, les investissements doivent renforcer concrètement la détection des menaces, la résilience opérationnelle, la maîtrise des risques liés aux prestataires ICT et la capacité de notifier rapidement les incidents.
Pour les entreprises belges actives dans la cybersécurité, cette évolution devrait représenter une opportunité majeure. Les besoins en technologies de détection avancée, en services managés, en gouvernance des risques tiers, en exercices de simulation et en accompagnement réglementaire devraient connaître une croissance soutenue au cours des prochaines années.
Dans un contexte où les Frontier AI Systems modifient profondément le paysage des cybermenaces, la résilience numérique devient un avantage concurrentiel autant qu'une obligation réglementaire.
Le document de la FSMA est consultable ici : https://www.fsma.be/sites/default/files/media/files/2026-06/fsma_2026_15_fr.pdf