L'adoption par l'Union européenne de la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA) a marqué un tournant fondamental dans la manière dont les institutions financières doivent aborder la cybersécurité, la gestion des risques et la continuité opérationnelle. Pour la première fois, les régulateurs ne se sont pas contentés de mentionner la sécurité des identités en passant, ils l'ont directement intégrée dans le tissu de la conformité.
Cette évolution reconnaît une réalité que de nombreux professionnels de la sécurité connaissent depuis des années : l'identité est le fondement de la sécurité numérique et le pivot de la résilience opérationnelle. Voyons ce qui a changé, l'impact que la loi DORA aura sur la sécurité des identités, les défis auxquels les institutions financières sont confrontées et la manière dont les RSSI doivent se préparer pour s'assurer que leurs organisations répondent aux exigences de la loi DORA d'ici la date butoir de 2025.
En vertu de la loi DORA, chaque opération numérique au sein d'une institution financière - des paiements à l'accueil des clients en passant par les systèmes de négociation - doit être sécurisée, résiliente et disponible en permanence. Cela place la sécurité de l'identité au premier plan. En effet, si vous ne pouvez pas vérifier qui accède à quoi, quand et d'où, votre stratégie d'identité s'effondre.
Dans la nouvelle réalité réglementaire de DORA, l'identité n'est plus une fonction informatique d'arrière-guichet. Il s'agit désormais d'un impératif stratégique qui relève à la fois des responsables des risques, des responsables de la conformité et des dirigeants d'entreprise.
Plusieurs articles du DORA exigent, directement ou implicitement, de solides capacités de gestion des identités et des accès (IAM). Par exemple :
- Contrôle d'accès et gouvernance: Le DORA impose aux institutions de gérer les droits d'accès des utilisateurs en temps réel et d'effectuer des contrôles d'accès réguliers afin d'éviter les usurpations de privilèges et les accès non autorisés.
- Exigences en matière d'authentification: Les méthodes d'authentification forte, telles que l'authentification multifactorielle (AMF), sont censées protéger les systèmes contre les accès non autorisés.
- Continuité opérationnelle: Les institutions doivent veiller à ce que les fonctions essentielles restent disponibles en cas d'incidents, de pannes ou de perturbations informatiques. Cela inclut le maintien des services d'identité sous la contrainte.
- Surveillance et détection des anomalies: Les organisations doivent détecter les cyberincidents, y répondre et s'en remettre rapidement. Les anomalies liées à l'identité, telles que les schémas d'accès inhabituels, sont des indicateurs cruciaux.
Ces exigences soulignent la nécessité d'un programme de sécurité de l'identité moderne et conscient des risques.
L'année 2025 marque le passage de la conformité à l'étape de l'application, ce qui signifie que les organisations qui ne se conforment pas à la loi DORA s'exposent à des amendes de 2% du chiffre d'affaires mondial moyen ou de 1% du chiffre d'affaires journalier moyen, auxquelles s'ajoutent des amendes journalières imposées aux organisations non conformes jusqu'à ce qu'elles parviennent à se conformer à la loi. Les enjeux sont désormais considérables.
Malgré des investissements accrus en matière de sécurité, de nombreuses institutions financières sont encore confrontées à des lacunes liées à l'identité dans leurs fonctions opérationnelles et de sécurité, notamment :
- Anciens systèmes IAM qui manquent d'adaptabilité et de visibilité
- Outils d'identité cloisonnés dans des environnements sur site et en nuage
- Méthodes d'authentification faibles qui sont vulnérables à l'hameçonnage
- Processus de gouvernance manuels qui rendent les rapports de conformité lents et sujets aux erreurs
Ces défis exposent les organisations, non seulement aux attaquants, mais aussi à la surveillance réglementaire et aux amendes de conformité.
Les RSSI du secteur financier doivent prendre l'initiative d'aligner la stratégie d'identité sur DORA. Cela signifie que :
- Adopter accès fondé sur le risque des modèles qui ajustent les contrôles en fonction du contexte et du comportement
- Garantir continuité des activités avec basculement hybride pour l'authentification et l'accès
- Renforcement gouvernance avec un provisionnement, des révisions et une certification d'accès automatisés
- Embrasser authentification sans mot de passe éliminer les vecteurs d'attaque courants
Chez RSA, nous aidons les institutions financières à opérationnaliser l'identité en tant que pilier de la résilience. Notre plateforme d'identité axée sur la sécurité, RSA ID Plus, est conçu pour les environnements réglementés tels que la finance.
- RSA Risk AI analyse les signaux comportementaux et contextuels pour appliquer des politiques d'accès adaptatives
- Serrure mobile RSA protège l'accès aux appareils non gérés ou compromis
- RSA iShield Série Key 2 Les authentificateurs permettent une authentification FIDO et OTP résistante à l'hameçonnage.
- Gouvernance et cycle de vie de l'ASR automatise les flux de travail liés à la gouvernance et à la conformité des accès
- RSA Hybrid Failover (basculement hybride) garantit une authentification ininterrompue pendant les pannes
Ensemble, ces solutions fournissent les contrôles nécessaires pour s'aligner sur DORA - et renforcer votre organisation au-delà de la conformité.
DORA marque un tournant pour l'identité dans les services financiers. Elle fait passer la gestion des identités d'une préoccupation technique à un mandat réglementaire - et à un catalyseur stratégique de la résilience opérationnelle.
Les institutions financières qui adoptent des stratégies de sécurité axées sur l'identité ne se contenteront pas de répondre aux exigences de la loi DORA, elles bénéficieront également d'un avantage concurrentiel en matière de sécurité, d'agilité et de confiance des clients. Il est temps de repenser votre position en matière d'identité avant que l'application de la loi DORA ne commence.
