Cyberattaques Fintech : Comment DORA et RGPD redéfinissent la sécurité des paiements.

Jan 20, 2026
Actualités du secteurNormes et réglementationsSécurité des paiements

Cyberattaques Fintech : Comment DORA et RGPD redéfinissent la sécurité des paiements.

Temps de lecture : 8 minutes

Un secteur sous haute tension

Février 2025. La fintech française Harvest, pilier de la gestion de patrimoine utilisé par près d'un conseiller sur deux, est paralysée par une cyberattaque ransomware. Services SaaS inaccessibles, données clients exfiltrées, banques et assureurs désorganisés pendant des semaines. Le groupe Run Some Wares revendique l'attaque et publie des fichiers sensibles sur le dark web.

Ce n'est pas un cas isolé. Selon Netwrix, 77% des organisations financières ont détecté une cyberattaque en 2023. En Europe, les attaques DDoS ciblant les institutions financières ont bondi de 73% en 2022 (FS-ISAC). Et le coût ? Plus de 812 millions de dollars versés aux pirates utilisant des ransomwares rien qu'en 2024.

Face à cette réalité, l'Union européenne a déployé un arsenal réglementaire sans précédent. Deux textes majeurs encadrent désormais le secteur des paiements : le RGPD (protection des données personnelles) et DORA (résilience opérationnelle numérique), applicable depuis janvier 2025.

Mais voici la question que se posent tous les acteurs du secteur : comment concilier ces deux exigences sans sacrifier l'agilité ni la performance ?

L'explosion des cybermenaces — des exemples qui font froid dans le dos

L'affaire Harvest : anatomie d'une crise

L'attaque contre Harvest illustre parfaitement les vulnérabilités du secteur fintech. Tout est parti d'un système de téléphonie sur IP affecté par une ancienne vulnérabilité. Les attaquants ont déployé un webshell, étudié l'environnement, puis frappé.

Les failles identifiées :

  • Absence de généralisation de l'authentification multi-facteurs (MFA).

  • Segmentation réseau insuffisante.

  • Dépendance excessive à un prestataire unique.

Les conséquences:

  • Services paralysés pendant plusieurs semaines.

  • Données clients et internes publiées sur le dark web.

  • Deux banques françaises et plusieurs compagnies d'assurance impactées.

  • Mise en demeure et questions de responsabilité juridique.

Des attaques de plus en plus sophistiquées

Le paysage des menaces a radicalement évolué :

Supply chain attacks : L'incident CrowdStrike de juillet 2024 a généré près de 1,15 milliard de dollars de pertes pour les acteurs bancaires. La campagne MOVEit a touché plus de 2 700 organisations, dont au moins 15 banques.

IA et deepfakes : Au printemps 2024, 25 millions de dollars ont été extorqués à une entreprise hongkongaise grâce à des deepfakes vocaux. Des kits d'attaque comme GoldDigger sont disponibles entre 150 et 900 dollars par mois.

Ransomware-as-a-Service : Des plateformes permettent désormais à des cybercriminels peu qualifiés de lancer des attaques sophistiquées contre des cibles précises.

Le secteur des paiements : une cible privilégiée

Pourquoi les fintechs et prestataires de paiement sont-ils particulièrement visés ?

  • Données à haute valeur : Coordonnées bancaires, historiques de transactions, données d'identité.

  • Interconnexions multiples : APIs, partenaires, sous-traitants — autant de portes d'entrée potentielles.

  • Pression temporelle : L'indisponibilité d'un service de paiement a un impact business immédiat.

  • Effet domino : Une brèche chez un prestataire central peut paralyser tout un écosystème.

RGPD vs DORA — deux logiques, un même objectif

Le RGPD : protéger les personnes

En vigueur depuis 2018, le Règlement Général sur la Protection des Données impose :

  • La minimisation des données collectées.

  • Le consentement éclairé des utilisateurs.

  • Le droit à l'effacement et à la portabilité.

  • La notification des violations sous 72 heures.

  • Des sanctions dissuasives : jusqu'à 20 millions d'euros ou 4% du CA mondial.

Focus : La confidentialité et les droits des personnes concernées.

DORA : garantir la résilience

Applicable depuis le 17 janvier 2025, le Digital Operational Resilience Act impose aux entités financières :

  • Une gouvernance des risques TIC au niveau du comité de direction.

  • Des tests de résilience réguliers (dont des tests d'intrusion avancés).

  • Un registre des prestataires TIC et une gestion rigoureuse des tiers.

  • Une notification des incidents aux autorités de supervision.

  • Un plan de continuité d'activité documenté et testé.

Focus : La disponibilité, l'intégrité et la continuité des services.

Points de convergence

Ces deux réglementations partagent un objectif commun : protéger les citoyens et stabiliser l'écosystème financier.

Une entreprise déjà conforme au RGPD dispose d'une base solide pour DORA :

  • Documentation des traitements → facilite le registre DORA.

  • Procédures de notification d'incidents → socle commun.

  • Culture de la protection des données → sensibilisation aux risques TIC.

Points de tension

Des frictions existent :

1. Partage d'informations vs confidentialité

DORA encourage le partage d'informations sur les cybermenaces entre entités financières. Le RGPD impose une stricte confidentialité des données personnelles. Comment partager des indicateurs de compromission sans exposer des données sensibles ?

2. Double notification

Un incident de sécurité peut déclencher deux obligations de notification :

  • RGPD : à la CNIL sous 72h si données personnelles concernées.

  • DORA : aux autorités de supervision financière selon des critères spécifiques.

3. Multiplication des interlocuteurs

  • DORA : ABE, AEAPP, AEMF, régulateurs nationaux (ACPR, AMF)

  • RGPD : CNIL et autorités de protection des données

Concilier RGPD et DORA — l'approche gagnante

Le principe : une gouvernance intégrée

Plutôt que de gérer RGPD et DORA en silos, les entreprises les plus matures adoptent une approche unifiée :

  • Un référentiel unique de risques IT et données.

  • Des procédures harmonisées de notification d'incidents.

  • Une documentation commune (registre des traitements + registre des prestataires TIC).

  • Une culture transverse de la sécurité et de la protection des données.

Les 5 piliers de la conformité intégrée

  • Privacy by Design + Security by Design : Intégrer la protection des données ET la résilience dès la conception des systèmes.

  • Gestion proactive des tiers : Auditer ses prestataires sur les deux dimensions : protection des données ET résilience opérationnelle.

  • Tests réguliers : Combiner tests d'intrusion (DORA) et audits de conformité RGPD pour une vision 360°.

  • Formation continue : Sensibiliser les équipes aux deux réglementations — les risques sont souvent humains.

  • Documentation vivante : Maintenir des registres à jour et interconnectés.

L'engagement Voxpay — la conformité comme avantage concurrentiel

Qui est Voxpay ?

Voxpay est une fintech française fondée en 2017, spécialisée dans les solutions de paiement sécurisé à distance. Que ce soit par téléphone, SMS, email ou WhatsApp, Voxpay permet d'encaisser en toute sécurité, sans jamais exposer les données bancaires.

Le constat fondateur : Aucune solution de paiement par téléphone n'était suffisamment fiable et sécurisée. Un an après sa création, Voxpay obtenait la certification PCI-DSS de niveau 1 — la plus exigeante du secteur.

Une certification au plus haut niveau

Voxpay détient la certification PCI-DSS 4.0.1, la version la plus récente et exigeante de cette règlementation. Cette norme, établie par Visa, Mastercard, American Express, Discover et JCB, garantit :

  • Le chiffrement de bout en bout des données bancaires.

  • L'absence de stockage des données sensibles dans les systèmes clients.

  • Des audits réguliers par des organismes indépendants.

  • Une architecture conçue pour résister aux attaques.

Comment Voxpay répond nativement aux exigences RGPD et DORA

Exigence

Réponse Voxpay

RGPD — Minimisation des données

Aucune donnée bancaire ne transite dans vos systèmes. Vos conseillers ne voient ni n'entendent les coordonnées de paiement.

RGPD — Protection des données

Interface sécurisée HTTPS, chiffrement bout-en-bout, conformité RGPD native.

DORA — Résilience opérationnelle

Solution disponible 24/7 avec architecture cloud redondante.

DORA — Gestion des risques tiers

En utilisant Voxpay, vous réduisez drastiquement votre scope de certification PCI-DSS.

DORA — Continuité d'activité

Multi-canal (voix, SMS, email, WhatsApp) : si un canal tombe, les autres prennent le relais.

DORA — Traçabilité

Console de supervision temps réel, historique complet des transactions.

Le principe Voxpay : Zero Exposure

Ce qui distingue Voxpay, c'est le concept de "zero exposure" des données sensibles :

"Avec Voxpay, vous avez la certitude qu'aucune coordonnée bancaire ne transite à la fois à l'oreille et à la vue de vos conseillers ainsi que dans vos systèmes d'information. Adieu les systèmes de surveillance, adieu les coupures d'enregistrement au moment du paiement, adieu les audits annuels lourds."

Concrètement :

  • Lors d'un appel téléphonique, le client saisit ses données sur son clavier ou les énonce, mais le conseiller ne les voit ni ne les entend.

  • Les données sont chiffrées et envoyées directement à la banque.

  • La conversation n'est jamais interrompue — le conseiller peut guider le client en temps réel.

La conformité : contrainte ou avantage ?

Chez Voxpay, nous sommes convaincus que la conformité n'est pas une contrainte, mais un différenciateur stratégique.

1. Réduction des risques opérationnels

Là où l'affaire Harvest a démontré les conséquences d'une brèche (données sur le dark web, semaines de paralysie, questions juridiques), l'approche Voxpay élimine le risque à la source : pas de données sensibles dans vos systèmes = pas de données à voler.

2. Renforcement de la confiance client

Les consommateurs sont de plus en plus réticents à communiquer leurs coordonnées bancaires par téléphone. En proposant un parcours sécurisé et certifié, vous transformez un moment de friction en moment de réassurance. Résultat : meilleurs taux de conversion, moins d'abandons.

3. Simplification de votre conformité

En externalisant la gestion des données de paiement vers Voxpay (prestataire certifié PCI-DSS niveau 1), vous :

  • Réduisez votre périmètre d'audit

  • Allégez vos obligations de surveillance interne

  • Disposez d'une traçabilité complète (exigence DORA)

  • Gagnez du temps et des ressources pour vous concentrer sur votre cœur de métier

Transformer la contrainte en opportunité

L'entrée en application de DORA, combinée aux exigences du RGPD, marque un tournant pour le secteur des paiements. Face à des cybermenaces toujours plus sophistiquées — comme l'ont démontré les affaires Harvest, CrowdStrike ou les attaques deepfake — la conformité n'est plus optionnelle.

Mais plutôt que de subir ces réglementations, les entreprises visionnaires les utilisent comme levier de différenciation :

  • Confiance renforcée auprès des clients et partenaires

  • Risques opérationnels maîtrisés

  • Avantage concurrentiel sur un marché où la sécurité devient un critère de choix

Chez Voxpay, nous avons fait de cette philosophie notre ADN depuis 2017. Notre certification PCI-DSS niveau 1, notre conformité RGPD native et notre architecture résiliente permettent à nos clients d'anticiper DORA sans effort supplémentaire.

La question n'est plus de savoir si vous serez attaqué, mais quand.

À propos de Voxpay

Voxpay est une fintech française qui offre une solution omnicanale de paiement sécurisé à distance. Certifiée PCI-DSS niveau 1 et conforme RGPD, notre plateforme permet d'encaisser par téléphone, SMS, email ou WhatsApp en toute sécurité — sans jamais exposer les données bancaires de vos clients.

Article rédigé en janvier 2026. Les informations réglementaires sont susceptibles d'évoluer.

Ressources

Demandez une démonstration
Contactez nos experts