Qu’est-ce que DORA et qui est concerné ?

Le règlement DORA (Digital Operational Resilience Act), entré en vigueur le 16 janvier 2023 et applicable depuis le 17 janvier 2025, représente une révolution dans la régulation de la cybersécurité du secteur financier européen. Contrairement aux réglementations généralistes comme NIS 2, DORA cible spécifiquement les entités financières avec des exigences adaptées aux enjeux de stabilité financière.

Le champ d’application de DORA est particulièrement large, couvrant :

• Les établissements de crédit et entreprises d’investissement
• Les entreprises d’assurance et de réassurance
• Les gestionnaires d’actifs et sociétés de gestion
• Les infrastructures de marché (contreparties centrales, dépositaires centraux de titres)
• Les prestataires de services sur crypto-actifs
• Les agences de notation de crédit et administrateurs d’indices de référence

Cette approche sectorielle permet d’adapter les exigences aux spécificités des risques financiers, avec une attention particulière portée à la résilience opérationnelle numérique et à la protection des systèmes d’identités critiques.

 

DORA et NIS 2 : complémentarité réglementaire pour la cybersécurité

DORA et NIS 2 forment un écosystème réglementaire complémentaire, chacun ciblant des secteurs spécifiques avec des approches adaptées. Comme nous l’avions détaillé dans notre analyse de NIS 2 et de son impact sur la gestion des identités, les institutions financières peuvent être soumises aux deux réglementations.

Principales différences d’approche :

Périmètre d’application :

• NIS 2 : Approche horizontale couvrant tous les secteurs critiques
• DORA : Focus exclusif sur le secteur financier

 Exigences IAM :

• NIS 2 : 20 objectifs de sécurité incluant plusieurs objectifs impactant l’IAM
• DORA : Intégration de l’IAM dans un cadre global de résilience opérationnelle

 Supervision :

• NIS 2 : Autorités nationales compétentes (ANSSI en France)
• DORA : Autorités européennes de surveillance (ABE, AEMF, AEAPP)

Cette complémentarité implique que certaines institutions financières doivent jongler avec les deux référentiels, nécessitant une approche coordonnée de leur stratégie IAM.

 

Les exigences IAM de DORA : 5 piliers fondamentaux

Contrairement à NIS 2 qui structure ses exigences autour d’objectifs de sécurité numérotés, DORA intègre la gestion des identités et des accès dans son approche globale de la résilience opérationnelle numérique. Voici les 5 piliers essentiels :

1. Contrôles d’accès et gestion des privilèges

L’article 9 de DORA impose des politiques strictes de limitation d’accès, exigeant que l’accès physique et logique aux actifs informationnels soit limité « à ce qui est nécessaire pour les fonctions et les activités légitimes et approuvées uniquement ». Cette exigence va au-delà d’une simple gestion des droits, imposant une approche fondée sur le principe du moindre privilège.

2. Authentification forte obligatoire

DORA mandate l’implémentation de « mécanismes d’authentification forte, fondés sur des normes pertinentes et des systèmes de contrôle spécifiques ». Dans l’article 9.3, DORA met l’accent sur l’« authentification forte » avec des objectifs concrets :

Exigences techniques spécifiques :

• Mettre en œuvre au moins deux facteurs pour vérifier les connexions des utilisateurs (quelque chose que vous savez, quelque chose que vous avez, ou quelque chose que vous êtes)
• Donner la priorité à la MFA pour les accès à haut risque ou les comptes privilégiés
• Contrôler en permanence l’authentification des utilisateurs pour faire face aux menaces au fur et à mesure qu’elles évoluent

Enjeux critiques pour le secteur financier : L’authentification multifacteur (MFA) devient essentielle pour trois raisons principales :

• Atténuer les attaques basées sur les informations d’identification : Les mots de passe ne suffisent plus face aux techniques d’hameçonnage et de credential stuffing
• Améliorer la résilience opérationnelle : Un seul compte compromis peut déclencher une réaction en chaîne perturbant les services
• S’aligner sur les obligations réglementaires : La MFA n’est plus seulement une bonne pratique mais une exigence de conformité

Cette exigence s’accompagne d’obligations spécifiques de protection des clés de chiffrement basées sur les résultats d’évaluation du risque lié aux TIC.

3. Gouvernance des identités et responsabilités

L’article 5 exige une définition claire des « rôles et des responsabilités pour toutes les fonctions liées aux TIC » avec des dispositifs de gouvernance appropriés. Cette approche structurée garantit une coordination efficace entre les équipes de sécurité, d’exploitation et de gouvernance.

4. Surveillance et détection des anomalies d’accès

Les articles 10 et 15 imposent un suivi continu des « comportements anormaux par rapport au risque lié aux TIC », incluant spécifiquement la surveillance des patterns d’utilisation du réseau, des heures d’utilisation et des activités TIC inhabituelles.

• Intelligence artificielle et détection automatisée : Pour alléger la pression des tâches manuelles de surveillance, l’IA agit comme un partenaire efficace. Les solutions de sécurité des identités basées sur l’IA peuvent automatiser ces processus et gérer les accès en temps réel, permettant aux équipes IT de suivre l’explosion des identités ayant besoin d’accéder à différentes applications.
• Solutions ITDR (Identity Threat Detection and Response) : Ces dernières années, les solutions de détection et réponse aux menaces liées aux identités (ITDR) se sont rapidement développées, enrichissant le contexte des analyses d’incidents afin d’identifier plus efficacement les comportements inhabituels et d’activer des mécanismes proactifs et prédictifs.

Associées aux solutions de sécurité des identités, les ITDR fournissent un contexte en temps réel pour détecter les activités menaçantes et définir les mesures correctives nécessaires dans une source unique de vérité.

5. Documentation et audit des droits d’accès

L’article 6 mandate une documentation complète et un réexamen régulier du cadre de gestion du risque lié aux TIC, incluant tous les aspects de la gestion des identités et des accès.

 

Gestion des comptes à privilèges et sécurisation des annuaires

DORA accorde une attention particulière aux comptes administratifs et à la protection des annuaires d’identités, reconnaissant leur criticité dans l’écosystème financier.

Active Directory : enjeu central de la conformité DORA

Historiquement, Active Directory (AD) relevait des équipes d’infrastructure chargées du bon fonctionnement des réseaux et des systèmes. Aujourd’hui, face à la multiplication et à la complexité des cybermenaces, AD est devenu un enjeu central de cybersécurité et de gestion des identités.

Défis de mise en œuvre MFA dans le secteur financier

La mise en place de l’authentification multifacteur dans les environnements financiers complexes présente plusieurs défis spécifiques :

• Concilier expérience utilisateur et sécurité : Des méthodes d’authentification trop complexes ou trop lentes peuvent frustrer les utilisateurs et perturber leur productivité. Il faut une solution MFA efficace et conviviale, garantissant un meilleur taux d’adoption et un minimum de friction pour les employés.
• Intégration à des environnements informatiques complexes : Les institutions financières s’appuient sur une mosaïque de systèmes hérités, de plateformes cloud et d’applications tierces. Pour que tous ces systèmes fonctionnent avec la MFA, il faut une planification minutieuse, des APIs robustes et une application centralisée des politiques.
• Gestion de l’évolutivité et des performances : Lorsque des milliers d’utilisateurs se connectent simultanément chaque jour, le service d’authentification doit gérer les pics de demande sans délai. Des systèmes peu performants peuvent ralentir les opérations critiques et saper la confiance des utilisateurs.

Si vous disposez d’un environnement Active Directory, il est recommandé de rechercher une solution d’authentification multi-facteur spécialement conçue pour les environnements sur site et hybrides, permettant de se conformer à l’article 9 sans surcharger l’équipe informatique ni gêner les utilisateurs finaux.

Alignement d’Active Directory avec DORA

Cette évolution impose trois étapes clés pour aligner votre stratégie Active Directory avec DORA :

• Identifier clairement les responsabilités En France, cette responsabilité bascule progressivement vers les équipes sécurité et gestion des identités (IAM), conformément aux recommandations de l’ANSSI. Les institutions financières doivent désigner un référent sécurité AD clairement identifié, en lien étroit avec les équipes IAM.
• Évaluer les risques associés à AD Les applications critiques orientées client dépendent souvent de composants essentiels, tels que les comptes de service et le DNS gérés au sein d’Active Directory. Toute défaillance ou compromission de ces éléments pourrait perturber les services critiques, avec des répercussions financières et réputationnelles majeures.
• Adopter l’automatisation pour une gestion continue L’automatisation permet une détection proactive et continue des modifications suspectes, assurant une réponse rapide et efficace aux incidents, et permettant une restauration sécurisée en cas d’incident majeur.

Comptes d’administration dédiés

Les entités financières, autres que les microentreprises, doivent confier « la responsabilité de la gestion et de la surveillance du risque lié aux TIC à une fonction de contrôle » avec un niveau approprié d’indépendance pour éviter les conflits d’intérêts.

Cette séparation implique :

• Des comptes spécifiques pour les tâches d’administration TIC
• Une traçabilité renforcée des opérations sensibles
• Un modèle de gouvernance basé sur trois lignes de défense

Protection des infrastructures critiques

Pour les entités les plus critiques, DORA impose des mesures de protection renforcées similaires à celles des Entités Essentielles sous NIS 2, notamment :

• Segmentation des environnements d’administration
• Surveillance accrue des activités administratives
• Journalisation systématique des accès aux systèmes critiques

 

Tests de résilience et validation des contrôles d’accès

L’un des aspects les plus innovants de DORA concerne les tests de résilience opérationnelle numérique, qui incluent spécifiquement la validation des contrôles d’accès et d’authentification.

Programme de tests obligatoire

L’article 24 impose aux entités financières d’établir « un programme solide et complet de tests de résilience opérationnelle numérique » incluant une série d’évaluations des systèmes IAM :

• Évaluations de vulnérabilité des systèmes d’authentification
• Tests de pénétration ciblant les contrôles d’accès
• Validation des processus de gestion des identités

Tests de pénétration fondés sur la menace

Pour les entités les plus critiques, DORA exige des « tests de pénétration fondés sur la menace » tous les trois ans minimum. Ces tests avancés doivent couvrir les systèmes d’authentification et d’autorisation en environnement de production, simulant des attaques réelles contre l’infrastructure IAM.

Reconnaissance mutuelle européenne

DORA introduit un système d’attestation permettant la reconnaissance mutuelle des tests entre États membres, évitant aux groupes financiers transfrontaliers de multiplier les tests identiques dans chaque juridiction.

 

Supervision des prestataires tiers critiques

DORA introduit un cadre inédit de supervision des prestataires tiers critiques de services TIC, avec des implications majeures pour la gestion des identités. Cette problématique représente l’un des défis les plus complexes de la conformité DORA.

Le défi de la chaîne d’approvisionnement

Selon l’étude « Global Third-Party Risk Management » du cabinet EY, les acteurs du secteur financier nouent, dans leur grande majorité, des partenariats avec d’autres fournisseurs. Ces acteurs tiers représentent un facteur aggravant de risque sur la conformité avec DORA, et ce sans en avoir forcément conscience.

Complexité croissante des écosystèmes : Les risques cyber dans les services financiers se sont complexifiés à mesure que les institutions et leurs supply chains se sont développées. Le développement du télétravail, des employés temporaires, des partenaires et des sous-traitants fait que certaines identités passent facilement sous le radar, entraînant des risques de sécurité comme la « sur-répartition » des droits d’accès (overprovisioning).

Selon l’étude précitée, près de 80 % des organisations financières interrogées se disent préoccupées par les vulnérabilités liées à l’overprovisioning des accès pour les non-employés.

Cadre de supervision européen

Les prestataires désignés comme « critiques » selon les critères de l’article 31 font l’objet d’une supervision directe par les Autorités européennes de surveillance (ABE, AEMF, AEAPP). Cette supervision couvre spécifiquement :

• Les politiques de gestion des identités et des accès
• Les mécanismes d’authentification et d’autorisation
• La portabilité des données et l’interopérabilité

Obligations contractuelles renforcées

Il revient à toute banque ou institution financière des États de l’UE sur lesquels s’applique le règlement DORA de renégocier ses accords de niveau de service (SLA) avec ses partenaires, qu’ils soient anciens ou nouveaux.

L’article 30 impose des dispositions contractuelles spécifiques pour les services TIC soutenant des fonctions critiques, notamment :

• « Droits illimités d’accès, d’inspection et d’audit par l’entité financière »
• Obligation de coopération lors des tests de pénétration
• Mesures de protection des données et de confidentialité

Contrôle précis des accès tiers : Les équipes TIC doivent contrôler avec précision qui dans leur chaîne d’approvisionnement a accès à quoi, quand et pour combien de temps. Les accès doivent être accordés selon le principe du moindre privilège (need-to-know), avec une gestion rigoureuse de l’intégration, du départ et de l’ensemble du cycle de vie des identités.

Stratégies de sortie obligatoires

Les entités financières doivent mettre en place des « stratégies de sortie » documentées et testées, incluant des plans de migration des identités et des accès vers des prestataires alternatifs.

Gestion des risques liés aux identités tierces

Pourtant, 53 % des entreprises financières gèrent encore ces données manuellement, rendant la conformité complexe et intimidante. Un manque de visibilité peut entraîner des failles de sécurité majeures, exposant les entreprises aux attaques.

Pour les équipes IT déjà sous pression — souvent encore dépendantes d’outils obsolètes et de processus manuels — cette complexité devient écrasante. Gérer des centaines d’utilisateurs manuellement conduit fréquemment à un contrôle laxiste des accès, une supervision limitée et une augmentation des risques cyber. Sans solutions modernes de gestion des identités, répondre à ces enjeux devient quasiment impossible.

 

Se mettre en conformité DORA avec Aduneo

Depuis le 17 janvier 2025, les institutions financières doivent accélérer leur mise en conformité. Contrairement à NIS 2 qui a bénéficié de délais de transposition nationale, DORA s’applique directement comme règlement européen.

Aduneo, expert en solutions de gestion des identités et des accès depuis plus de 20 ans, accompagne les institutions financières dans leur mise en conformité DORA grâce à :

Évaluation de maturité DORA-IAM

• Audit de conformité aux exigences spécifiques du règlement
• Cartographie des écarts par rapport aux standards DORA
• Priorisation des actions correctives selon les délais réglementaires

Implémentation de solutions conformes

• Déploiement de solutions IAM adaptées au secteur financier
• Mise en place de contrôles d’accès granulaires et de l’authentification forte
• Configuration de la surveillance et de la détection d’anomalies

Préparation aux tests de résilience

• Accompagnement dans la définition des programmes de tests
• Support pour les tests de pénétration fondés sur la menace
• Validation des contrôles IAM en environnement de production

Gestion des prestataires tiers

• Évaluation des risques liés aux prestataires de services TIC
• Négociation de clauses contractuelles conformes à DORA
• Mise en place de stratégies de sortie et de continuité

 

Enjeux financiers et organisationnels de DORA

La mise en conformité DORA représente un investissement considérable pour les institutions financières, avec des impacts directs sur les budgets et les équipes.

Investissements massifs requis

Selon une étude récente de Rubrik et Wakefield Research menée auprès d’entreprises du secteur bancaire et financier dans cinq pays européens (France, Royaume-Uni, Allemagne, Italie et Pays-Bas), un tiers des répondants ont investi plus d’un million d’euros au cours des deux dernières années pour se préparer aux mesures de DORA.

Inadéquation budgétaire : Seuls 8 % des répondants français estiment que leur budget IT répond aux exigences réglementaires. L’Allemagne ferme la marche avec seulement 6 % des organisations qui pensent être en adéquation budgétaire avec les besoins sur le terrain.

Impact sur les équipes

Les trois quarts des professionnels français interrogés ont déclaré que la gestion de la conformité a eu un impact direct sur leur santé mentale, soulignant la pression considérable exercée par les échéances réglementaires.

Hiérarchie des menaces pour 2025

L’étude révèle la hiérarchie des menaces prioritaires pour le secteur financier :

1. Ransomwares : 33% des organisations françaises (au niveau de l’Italie, légèrement en dessous du Royaume-Uni à 46%)
2. Attaques sur la chaîne d’approvisionnement logicielle : 23%
3. Compromission des tierces parties : 22%

À noter qu’en France, seulement 53 % des entreprises considèrent que les données personnelles identifiables sont sécurisées dans le cloud.

Sanctions et risques financiers

Les entreprises et institutions ne respectant pas les règles DORA s’exposent à des amendes pouvant aller jusqu’à 10 millions d’euros ou 5 % de leur chiffre d’affaires annuel total, s’ajoutant aux sanctions RGPD qui peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total.

Contactez nos experts pour évaluer votre niveau de préparation DORA et définir votre feuille de route vers la conformité réglementaire.

 

---

FAQ sur DORA et la gestion des identités

Quelles institutions financières sont concernées par DORA ?

DORA s’applique à toutes les entités financières régulées en Europe, incluant les banques, assurances, gestionnaires d’actifs, infrastructures de marché, et prestataires de services sur crypto-actifs. Contrairement à NIS 2, il n’y a pas de seuils de taille pour l’application.

DORA remplace-t-il les autres réglementations de cybersécurité ?

Non, DORA est complémentaire aux autres réglementations. Les institutions financières peuvent être simultanément soumises à DORA et NIS 2, nécessitant une approche coordonnée de leur stratégie cybersécurité.

Quand les tests de pénétration fondés sur la menace sont-ils obligatoires ?

Ces tests avancés ne sont obligatoires que pour les entités financières « identifiées » selon les critères de l’article 26, principalement les institutions systémiques et matures technologiquement.

Comment DORA supervise-t-il les prestataires cloud ?

DORA introduit un cadre de supervision européen pour les prestataires « critiques », incluant les fournisseurs cloud. Les prestataires établis hors UE doivent créer une filiale européenne dans les 12 mois suivant leur désignation.

Quelles sont les sanctions en cas de non-conformité DORA ?

Le règlement renvoie aux sanctions prévues par les droits nationaux et sectoriels existants. Les autorités compétentes disposent de pouvoirs de surveillance, d’enquête et de sanction pour garantir la conformité.

Cet article a été rédigé par l’équipe d’experts IAM d’Aduneo, spécialiste des solutions de gestion des identités et des accès pour le secteur financier. Dernière mise à jour : Juillet 2025.