Previous Story
Ce qu’il faut savoir sur l’exigence d’authentification forte du règlement DORA
Le règlement sur la résilience opérationnelle numérique (DORA) est une législation de l’Union européenne (UE) qui vise à renforcer la cyber-résilience des systèmes numériques dans le secteur financier.
Dans le cadre des efforts déployés par l’Europe pour renforcer les mesures de cybersécurité, l’une des exigences principales est une authentification plus forte de l’utilisateur. Habituellement, cette authentification est mise en œuvre par le biais de l’authentification multifacteur (MFA).
Si vous gérez un environnement Active Directory dans le secteur financier, voici ce que vous devez savoir sur l’exigence d’authentification forte de DORA et sur les défis d’intégration AD auxquels vous pourriez être confronté.
Comprendre l’exigence d’authentification forte de la réglementation DORA
Tout d’abord, analysons l’exigence d’authentification forte du règlement DORA.
« Authentification forte » à l’article 9
Dans l’article 9.3, la DORA met l’accent sur l’« authentification forte ». En pratique, l’objectif du DORA est que les entités financières de l’UE et leurs fournisseurs de TIC :
Mettre en œuvre au moins deux facteurs pour vérifier les connexions des utilisateurs (par exemple, quelque chose que vous savez, quelque chose que vous avez, ou quelque chose que vous êtes).
Donner la priorité à la MFA pour les accès à haut risque ou les comptes privilégiés.
Contrôler en permanence l’authentification des utilisateurs pour faire face aux menaces au fur et à mesure qu’elles évoluent.
La loi DORA étant entrée pleinement en vigueur le 17 janvier 2025, les entités financières européennes et les fournisseurs de TIC qui travaillent avec elles et qui ne respectent pas ces exigences s’exposent à des sanctions ou à des mesures coercitives.
Pourquoi la MFA est essentielle pour le secteur financier de l’UE
Atténuer les attaques basées sur les informations d’identification
Les mots de passe ne suffisent pas à protéger l’accès aux comptes d’utilisateurs. De l’hameçonnage au bourrage d’identifiants (le credential stuffing), les attaquants disposent d’innombrables moyens d’obtenir ou de pirater de simples identifiants. En appliquant la MFA, vous renforcez immédiatement votre première ligne de défense, en obligeant les attaquants à franchir plusieurs barrières de sécurité au lieu d’une seule.
Améliorer la résilience opérationnelle
Un seul compte compromis peut déclencher une réaction en chaîne, perturbant les services et sapant la confiance dans votre organisation. La MFA vous aide à :
Minimiser les temps d’arrêt : Moins de violations réussies signifie moins de crises à gérer.
Protéger les données critiques : Seules les personnes vérifiées peuvent modifier les systèmes essentiels ou accéder aux informations sensibles.
S’aligner sur les obligations réglementaires
La loi DORA mentionnant spécifiquement l’authentification renforcée, la MFA n’est plus seulement une meilleure pratique pour le secteur financier de l’UE, c’est aussi une exigence de conformité. En déployant systématiquement la MFA, vous pouvez répondre directement à l’exigence d’« authentification forte » de l’article 9 et démontrer une approche proactive de la protection des infrastructures critiques.
Défis communs lors de la mise en œuvre de la MFA dans le secteur financier
Concilier l’expérience utilisateur et la sécurité
Des méthodes d’authentification trop complexes ou trop lentes peuvent frustrer les utilisateurs et perturber leur productivité. Vous avez besoin d’une solution MFA qui soit à la fois efficace et conviviale, afin de garantir un meilleur taux d’adoption et un minimum de friction pour les employés.
Intégration à des environnements informatiques complexes
Les institutions financières s’appuient généralement sur une mosaïque de systèmes hérités, de plateformes cloud et d’applications tierces. Pour que tous ces systèmes fonctionnent bien avec la MFA, il faut une planification minutieuse, des API ou des connecteurs robustes et une application centralisée des politiques.
Gérer l’évolutivité et les performances
Lorsque des milliers d’utilisateurs se connectent simultanément chaque jour, votre service d’authentification doit gérer les pics de demande sans délai. Des systèmes peu performants peuvent ralentir les opérations critiques et saper la confiance des utilisateurs dans les contrôles de sécurité.
Respecter des délais de conformité serrés
La date d’application de la loi DORA étant dans le rétroviseur, les organisations qui souhaitent mettre en œuvre la MFA pour la première fois ou la généraliser à l’ensemble des utilisateurs doivent agir rapidement.
La mise en place d’un système de gestion de l’accès permet d’améliorer la sécurité et de contenir rapidement les incidents de sécurité.
Évolution pour les déploiements multi sites ou d’entreprise
Que vous gériez un petit bureau ou des milliers d’utilisateurs répartis sur plusieurs sites, les administrateurs AD apprécient qu’une solution MFA soit facilement évolutive. La mise en œuvre est simple et vous pouvez facilement définir des politiques d’accès en fonction des groupes d’utilisateurs AD et des OU que vous possédez déjà, ce qui vous permet de déployer la à grande échelle sans avoir besoin d’un grand nombre d’heures de travail.
Se conformer aux exigences du DORA en matière de la MFA
Si vous disposez d’un environnement AD, recherchez une solution d’authentification multi-facteur Active Directory spécialement conçue pour les environnements sur site et hybrides. Cela vous permettra de vous conformer à l’article 9, sans surcharger votre équipe informatique ni gêner vos utilisateurs finaux.
