Didit et DORA : la gestion des risques tiers liés aux TIC pour l'identité numérique (FR)
DORA rend les entités financières responsables des tiers TIC sur lesquels elles s'appuient, y compris les fournisseurs d'identité. Découvrez comment la certification ISO 27001, l'attestation SOC 2 Type 1 et la piste d'audit de.
Le Règlement sur la Résilience Opérationnelle Numérique (DORA) a transformé la signification de l'externalisation. À partir de janvier 2025, les entités financières de l'UE seront directement responsables de la résilience opérationnelle des tiers de technologie de l'information et de la communication (TIC) dont elles dépendent — et un fournisseur de vérification d'identité intégré au flux d'intégration d'une banque, d'un établissement de monnaie électronique ou d'un fournisseur de services de crypto-actifs est précisément ce type de tiers TIC.
Cela soulève une nouvelle question lors de chaque appel d'offres : pouvez-vous prouver que votre fournisseur est résilient, et pouvez-vous documenter cette preuve pour votre régulateur ? Ce guide explique ce que DORA exige des tiers TIC, et montre précisément comment les certifications, les contrôles et la piste d'audit de Didit soutiennent un dossier fournisseur conforme à DORA.
Points clés à retenir
- DORA rend l'entité financière responsable des tiers TIC qu'elle utilise — y compris les fournisseurs d'identité et de fraude. On ne peut pas externaliser la responsabilité, seulement le travail.
- Didit est certifié ISO/IEC 27001:2022 (Bureau Veritas, accrédité ENAC, certificat n° ES144068, valide jusqu'au 03/06/2027) — un système de gestion de la sécurité de l'information reconnu internationalement qui correspond directement aux attentes de DORA en matière de gestion des risques TIC.
- Didit détient une attestation SOC 2 Type 1 (ATOM, au 09/04/2026) couvrant les critères de confiance de Sécurité, Disponibilité et Confidentialité, avec un examen de Type 2 prévu.
- Chaque vérification laisse une piste d'audit immuable — statuts, décisions et événements de webhook que votre équipe peut rejouer pour les rapports d'incidents et le registre TIC.
- Le cycle de vie complet de l'identité et de la fraude s'exécute sur une API
/v3/unifiée, de sorte que la résilience, la surveillance et le reporting sont concentrés auprès d'un fournisseur unique et responsable plutôt que dispersés entre plusieurs.
Ce que DORA exige
DORA est le cadre de l'UE pour la résilience opérationnelle numérique dans le secteur financier. Plutôt que de traiter la cybersécurité comme une préoccupation secondaire, il intègre cinq piliers dans une seule réglementation :
- Gestion des risques TIC — un cadre documenté pour identifier, protéger contre, détecter, répondre et récupérer des incidents liés aux TIC.
- Rapport d'incidents TIC — classer et signaler les incidents majeurs aux autorités compétentes dans les délais impartis.
- Tests de résilience opérationnelle numérique — tests réguliers des systèmes TIC, jusqu'aux tests d'intrusion basés sur les menaces pour les entités importantes.
- Gestion des risques des tiers TIC — le pilier qui concerne les fournisseurs comme Didit : diligence raisonnable, garanties contractuelles, un registre d'informations sur chaque arrangement TIC, et la capacité de surveiller et de résilier.
- Partage d'informations — échange volontaire de renseignements sur les cybermenaces.
Le quatrième pilier est celui auquel un fournisseur doit répondre. DORA attend de l'entité financière qu'elle tienne un registre d'informations décrivant chaque arrangement avec un tiers TIC, qu'elle effectue une diligence raisonnable avant de contracter, qu'elle obtienne des droits contractuels spécifiques (audit, accès, transparence de la sous-traitance, sortie), et qu'elle évalue le risque de concentration. Le rôle du fournisseur est de faciliter la preuve de tout cela.
Pourquoi c'est important
La vérification d'identité est rarement un système périphérique. Elle se situe sur le chemin critique de l'intégration des clients — et de plus en plus de la surveillance continue via le filtrage des transactions. Si cette fonction se dégrade, l'intégration s'arrête et les revenus s'arrêtent avec elle. DORA traite précisément ce type de dépendance comme quelque chose sur lequel le régulateur peut poser des questions.
La conséquence pratique : lorsqu'une entité financière ajoute un fournisseur d'identité à son registre TIC, elle a besoin d'une assurance documentée concernant les contrôles de sécurité, les engagements de disponibilité et la posture d'incident de ce fournisseur. Un fournisseur capable de fournir des certifications reconnues et une piste d'audit propre réduit la diligence raisonnable de plusieurs mois à quelques jours. Un fournisseur qui ne le peut pas devient un problème.
Comment Didit aide
La posture de conformité de Didit est conçue pour s'intégrer dans un dossier fournisseur DORA avec des preuves, et non des promesses.
Certification ISO/IEC 27001:2022. Didit exploite un Système de Gestion de la Sécurité de l'Information (SGSI) certifié. Le certificat — Bureau Veritas Certification, accrédité ENAC, cert n° ES144068, certifié initialement le 07/04/2026 et valide jusqu'au 03/06/2027, délivré à DIDIT IDENTITY SPAIN S.L. — couvre le développement, l'exploitation et le support technique de la solution d'identité numérique Didit. L'ISO 27001 est la référence internationale pour la gestion des risques TIC : elle exige un cadre documenté, des contrôles définis, une évaluation des risques et une amélioration continue — les mêmes disciplines que le premier pilier de DORA attend des entités s'appuyant sur Didit. Le certificat est distribuable, il peut donc être directement inclus dans le dossier du registre.
Attestation SOC 2 Type 1. Didit détient un rapport SOC 2 Type 1 d'ATOM (un auditeur de services indépendant dans le cadre de l'AICPA SOC pour les organisations de services), attestant de la conception des contrôles couvrant la Sécurité, la Disponibilité et la Confidentialité au 09/04/2026. La disponibilité est le critère qui intéresse le plus DORA pour une dépendance d'intégration critique. Un examen de Type 2 — qui teste l'efficacité opérationnelle sur une période — est prévu. Le rapport SOC 2 complet est à usage restreint selon les règles de l'AICPA et est partagé avec les prospects et les clients sous NDA ; Didit y fait référence ici plutôt que de publier son contenu.
Piste d'audit et preuves d'incident. Chaque vérification, chaque décision de surveillance des transactions et chaque changement de statut est enregistré et exposé via l'API /v3/ unifiée et les webhooks (session.status.updated, transaction.status.updated et événements connexes). Cela donne à une entité financière un enregistrement rejouable et horodaté qu'elle peut intégrer à ses propres obligations de rapport d'incidents et de tests de résilience — et un flux de données clair à documenter dans le registre.
Un fournisseur responsable. Parce que l'identité, la vérification commerciale, le filtrage AML, la surveillance des transactions et le filtrage des portefeuilles s'exécutent tous sur la même API /v3/, une entité financière concentre une fonction critique avec un seul tiers TIC certifié plutôt que d'en assembler plusieurs. Moins d'arrangements dans le registre, une relation contractuelle à gérer, un ensemble de certifications à maintenir.
Approfondissement : construire l'entrée du registre TIC pour Didit
Une entrée du registre d'informations DORA pour un fournisseur d'identité doit généralement capturer la fonction fournie, sa criticité, les garanties contractuelles et les preuves d'assurance. Avec Didit, cela se transpose clairement :
| Élément du registre DORA | Ce que Didit fournit |
|---|---|
| Description du service TIC | Vérification d'identité (KYC), vérification d'entreprise (KYB), filtrage AML, surveillance des transactions, filtrage des portefeuilles — API /v3/ unifiée |
| Criticité / fonction prise en charge | Intégration client et surveillance continue — typiquement une fonction critique ou importante |
| Assurance sécurité | Certificat ISO/IEC 27001:2022 n° ES144068 (distribuable) |
| Assurance opérationnelle | SOC 2 Type 1 (Sécurité, Disponibilité, Confidentialité), au 09/04/2026 (sous NDA) |
| Localisation / traitement des données | Documenté dans l'accord de traitement des données ; entité UE DIDIT IDENTITY SPAIN S.L. |
| Droits d'audit / d'accès | Droits d'audit contractuels ; piste d'audit API complète et journal des événements webhook |
| Sortie / portabilité | Exportation API standard des enregistrements de session et de transaction |
Les certifications font le gros du travail sur les lignes d'assurance. La documentation et le centre de sécurité de Didit à l'didit.me/security-compliance est l'endroit unique pour collecter les artefacts dont votre équipe de diligence raisonnable a besoin.
Cas d'utilisation
- Banques et EMIs de l'UE ajoutant l'intégration à distance sans étendre leur empreinte de registre TIC — un fournisseur certifié, un arrangement.
- Fournisseurs de services de crypto-actifs sous MiCA, qui relèvent également de DORA, ayant besoin à la fois d'intégration et de surveillance des transactions de la part d'un tiers résilient.
- Institutions de paiement qui doivent prouver la disponibilité et la sécurité d'une dépendance d'intégration à une autorité compétente sur demande.
- Équipes de conformité et d'approvisionnement qui souhaitent obtenir les certifications et les preuves d'audit à l'avance, et non les rechercher lors d'un examen.
Questions fréquemment posées
DORA s'applique-t-il directement aux fournisseurs de vérification d'identité ?
Les obligations de DORA incombent à l'entité financière, mais elles atteignent les tiers TIC comme les fournisseurs d'identité via le pilier de gestion des risques des tiers. L'entité financière doit effectuer une diligence raisonnable, garantir des droits contractuels et enregistrer l'arrangement — ce qui signifie que le fournisseur doit être en mesure de prouver sa résilience.
Didit est-il certifié ISO 27001 ?
Oui. Didit détient un certificat ISO/IEC 27001:2022 (Bureau Veritas, accrédité ENAC), cert n° ES144068, valide jusqu'au 03/06/2027, délivré à DIDIT IDENTITY SPAIN S.L. Le certificat est distribuable pour votre dossier fournisseur.
Didit est-il certifié SOC 2 ?
Didit détient une attestation SOC 2 Type 1 (ATOM) couvrant la Sécurité, la Disponibilité et la Confidentialité, au 09/04/2026. Un examen SOC 2 Type 2 est prévu. Le rapport complet est partagé sous NDA.
Puis-je obtenir une piste d'audit pour le rapport d'incident DORA ?
Oui. Chaque événement de vérification et de surveillance des transactions est enregistré et exposé via l'API /v3/ et les webhooks, vous donnant un enregistrement rejouable et horodaté pour le rapport d'incident et la documentation de résilience.
Où puis-je obtenir les documents de certification ?
Commencez par le centre de sécurité et de conformité de Didit à l'didit.me/security-compliance. Le certificat ISO 27001 est distribuable ; le rapport SOC 2 Type 1 est partagé sous NDA.
Prêt à commencer ?
Consultez l'ensemble de l'attestation de Didit sur le centre de sécurité et de conformité, explorez comment la vérification d'identité s'intègre dans un flux d'intégration de l'UE sur la page produit de vérification d'identité, et examinez les tarifs transparents par vérification sur la page de tarification. Lorsque vous êtes prêt, commencez gratuitement — 500 vérifications KYC gratuites chaque mois, sur la même API /v3/ unifiée que votre registre DORA documentera.