Un an après Dora : la cyber-résilience progresse, mais l'identité numérique reste le maillon faible

Fabrice De Vésian
Yubico

Le 17 janvier marque le premier anniversaire de l'entrée en application du règlement sur la résilience opérationnelle numérique (Dora).

Conçu pour renforcer la capacité des entités financières à prévenir, résister et se remettre des incidents liés aux technologies de l’information et de la communication (TIC), Dora a clairement fait évoluer le débat au sein de l’Union européenne. La résilience opérationnelle est désormais une exigence réglementaire à part entière, au même titre que la conformité financière.

Un an plus tard, si les cadres de gouvernance, la gestion des risques et les plans de continuité d’activité ont progressé, une vulnérabilité critique demeure largement sous-estimée : l’identité numérique et l’authentification forte.

Des menaces connues toujours très efficaces

Le paysage des cybermenaces n’a pas fondamentalement changé depuis l’adoption de Dora. Le phishing, l’ingénierie sociale et les ransomwares restent les principaux vecteurs d’attaque en France et dans le reste de l’UE. Dans l’immense majorité des cas, la compromission initiale résulte encore du vol d’identifiants. Pourtant, de nombreuses organisations continuent de s’appuyer sur des mots de passe, parfois complétés par des méthodes d’authentification multifacteur (MFA) obsolètes, qui restent vulnérables au phishing.

Par ailleurs, aucun niveau de supervision ou de capacité de réponse aux incidents ne peut totalement compenser un contrôle d’accès insuffisant. Dora met donc à juste titre autant l’accent sur la prévention que sur la gestion de crise, et la prévention commence par l’identité.

Les passkeys : un pilier de la résilience opérationnelle

Si Dora ne prescrit pas de technologies spécifiques, il impose la mise en œuvre de politiques d’authentification forte afin de limiter les risques d’accès non autorisés. Dans ce contexte, les passkeys résistantes au phishing, fondées sur les standards Fast Identity Online (FIDO), constituent un changement de paradigme majeur.

Contrairement aux mots de passe ou aux codes à usage unique, les passkeys reposent sur des identifiants cryptographiques uniques, liés à un service et à un appareil spécifiques — il n’y a donc rien à intercepter ni à réutiliser pour les cybercriminels. Lorsqu’elles sont stockées sur des dispositifs physiques tels que des clés de sécurité matérielles, les passkeys offrent également un niveau d’assurance extrêmement élevé et une véritable résistance au phishing, particulièrement pertinente dans le contexte réglementaire européen.

La possession physique de la clé, l’interaction de l’utilisateur et la vérification locale,  par exemple via un code PIN ou une donnée biométrique, constituent aussi une preuve tangible de la présence d’un utilisateur légitime. Pour les équipes de conformité, les auditeurs et les régulateurs, cette assurance démontrable devient de plus en plus importante. Du point de vue de la résilience, l’impact est immédiat. En éliminant la cause principale des violations de sécurité et des compromissions de comptes, les passkeys réduisent le nombre d’incidents que les organisations doivent détecter, contenir et corriger.

L’identité comme levier opérationnel

Dora ne concerne pas uniquement la cybersécurité ; il vise également la continuité d’activité. À cet égard, l’identité constitue un puissant levier opérationnel. Au sein des institutions financières françaises et européennes, les mouvements de personnel sont constants : recrutements, mobilités internes et départs. Les approches modernes de l’authentification permettent un provisionnement rapide dès le premier jour, une révocation immédiate des accès et une réduction significative de la charge de travail des équipes IT et des services support liée aux problèmes de mots de passe.

Les passkeys matérielles offrent un autre avantage souvent sous-estimé : la simplicité. Leur usage est intuitif, intergénérationnel et repose sur une sécurité intégrée dès la conception. Cette clarté réduit les erreurs humaines, qui restent l’un des principaux facteurs de risque identifiés par les superviseurs européens.

Une pression réglementaire croissante

À l’échelle de l’UE, les autorités de supervision convergent vers un même constat : les incidents liés au phishing traduisent des faiblesses structurelles des contrôles d’accès. Un an après, les lacunes observées tiennent moins à un manque de réglementation qu’à des difficultés d’exécution, à des architectures héritées, à des stratégies d’identité fragmentées et à une collaboration insuffisante entre les équipes sécurité, IT et conformité — des vulnérabilités qui pourraient s’avérer coûteuses pour les organisations.

Si Dora ne fixe pas de sanctions financières prédéterminées, il confère aux autorités nationales de larges pouvoirs de contrôle. Le non-respect du règlement peut entraîner des astreintes journalières allant jusqu’à 1 % du chiffre d’affaires mondial moyen et, dans les cas les plus graves, des restrictions opérationnelles. Au-delà des sanctions, le risque réputationnel est considérable. Dans un écosystème financier européen interconnecté, un incident évitable causé par des identifiants compromis peut durablement affecter la confiance des clients, des partenaires et des régulateurs.

Un an après l’entrée en vigueur de Dora, le message est clair, la résilience opérationnelle commence par l’identité. Toutes les solutions MFA ne se valent pas, et les approches héritées ne sont plus adaptées au paysage de menaces actuel. Pour les institutions financières françaises et européennes, l’adoption de passkeys résistantes au phishing, en particulier celles reposant sur des clés de sécurité matérielles, constitue l’un des moyens les plus efficaces d’aligner conformité réglementaire et réduction réelle des risques. C’est ainsi que Dora pourra pleinement tenir ses promesses.