NIS2 + DORA : L'importance de la Vérification d'Identité pour les Infrastructures Critiques (FR)

Deux règlements européens transforment la manière dont les organisations essentielles et financières se défendent. La directive NIS2 (deuxième directive sur la sécurité des réseaux et des systèmes d'information) élève le niveau de base de la cybersécurité dans les secteurs critiques et importants – énergie, transport, santé, infrastructure numérique, et plus encore. Le règlement DORA (Digital Operational Resilience Act) fait de même spécifiquement pour le secteur financier, avec un accent prononcé sur le risque lié aux Technologies de l'Information et de la Communication (TIC) et les tiers dont dépendent les entités financières.

Ils abordent le problème sous des angles différents, mais convergent vers les mêmes contrôles : savoir qui a accès, prouver rigoureusement les identités et gérer le risque introduit par vos fournisseurs. La vérification d'identité est au centre de ces trois aspects. Cet article explique les exigences de NIS2 et DORA, pourquoi l'identité est essentielle, et comment Didit – à la fois en tant que moteur de vérification et fournisseur attesté – vous aide à les respecter.

Points clés à retenir

• NIS2 impose des mesures de gestion des risques, un contrôle d'accès strict et une sécurité de la chaîne d'approvisionnement dans les secteurs essentiels et importants.
• DORA régit le risque TIC dans les services financiers, incluant un registre des prestataires tiers TIC et une gestion rigoureuse des risques fournisseurs.
• Les deux régimes s'appuient fortement sur la vérification d'identité et le contrôle d'accès – vous ne pouvez pas sécuriser un système sans des réponses fiables à la question « qui est cette personne ? ».
• Didit fournit une vérification d'identité de haute assurance – vérification de documents, NFC, détection de vivacité, correspondance biométrique faciale – pour l'intégration des employés, des sous-traitants et des clients à forte valeur ajoutée.
• En tant que tiers TIC lui-même, Didit réduit votre charge de risque fournisseur grâce à des attestations concrètes : SOC 2 Type 1 (ATOM, à partir du 09/04/2026), ISO/IEC 27001:2022 (Bureau Veritas, cert nº ES144068, valide jusqu'au 03/06/2027), et iBeta Level 1 PAD.
• Des pistes d'audit basées sur des webhooks (status.updated, data.updated) vous fournissent les preuves attendues par les deux régimes.

Ce que les règles exigent

NIS2 élargit le champ d'application de la directive originale à bien plus de secteurs et renforce les obligations. Parmi ses exigences fondamentales : des mesures de gestion des risques de cybersécurité proportionnées au risque, la gestion et la notification des incidents, la planification de la continuité des activités, et – ce qui est crucial pour l'identité – des politiques de contrôle d'accès, l'utilisation de l'authentification multifacteur ou continue le cas échéant, et la sécurité de la chaîne d'approvisionnement qui tient compte de la sécurité des fournisseurs directs et des prestataires de services. Les organes de direction sont responsables, et les autorités de surveillance peuvent agir lorsque les contrôles sont insuffisants.

DORA met l'accent sur les entités financières et leur résilience aux perturbations TIC. Il établit des exigences autour de cinq piliers : gestion des risques TIC, signalement des incidents, tests de résilience opérationnelle numérique, partage d'informations, et gestion des risques liés aux tiers TIC. Ce dernier pilier concerne tous les fournisseurs : les entités financières doivent tenir un registre d'informations sur tous les arrangements avec des tiers TIC, évaluer le risque introduit par un prestataire avant et pendant la relation, et s'assurer que des dispositions contractuelles et de surveillance sont en place. Des contrôles d'identité et d'accès robustes sous-tendent les piliers de la gestion des risques et des tests de résilience.

Le fil conducteur commun : vous ne pouvez pas démontrer la résilience opérationnelle ou la sécurité du réseau si vous ne pouvez pas établir de manière fiable l'identité – des personnes accédant aux systèmes, et des fournisseurs de votre chaîne.

Pourquoi c'est important

Les infrastructures critiques sont précisément l'endroit où les attaquants se concentrent, car le rayon d'impact est le plus large. NIS2 et DORA existent parce que les régulateurs ont observé des incidents chez un seul fournisseur se propager en pannes, violations et risques systémiques. Les sanctions le reflètent : amendes importantes, responsabilité de la direction et intervention des autorités de surveillance.

Pour l'identité spécifiquement, deux modes de défaillance récurrents. Premièrement, une vérification faible – laisser passer une identité frauduleuse ou usurpée lors de l'intégration ou de la récupération de compte, ce qui devient ensuite une défaillance du contrôle d'accès. Deuxièmement, un risque tiers non géré – s'appuyer sur un fournisseur (comme un fournisseur d'identité) dont vous ne pouvez pas prouver la posture de sécurité. Les deux régimes vous obligent à combler ces lacunes et à conserver des enregistrements prouvant que vous l'avez fait.

Comment Didit vous aide

Didit aborde les deux facettes de l'équation d'identité dans le cadre de NIS2 et DORA.

En tant que votre couche de vérification d'identité :

• Vérification à haute assurance pour l'intégration des clients, des employés et des sous-traitants : vérification de documents sur plus de 14 000 types de documents (0,15 $), lecture de puce NFC (0,15 $), détection de vivacité passive (0,10 $) et active (0,15 $), et Face Match 1:1 (0,05 $).
• Biométrie résistante aux attaques – Détection d'Attaque de Présentation testée au niveau 1 d'iBeta (ISO/IEC 30107-3) avec 0 % de succès d'attaque sur 360 tentatives – le type de preuve sur lequel les politiques de contrôle d'accès devraient reposer.
• Filtrage AML et sanctions (0,20 $, plus de 1 300 listes) et surveillance continue (0,07 $/utilisateur/an) lorsque les relations réglementées l'exigent.
• Orchestration composable via le Workflow Builder sans code, afin d'appliquer des contrôles proportionnés au risque.

En tant que tiers TIC attesté – facilitant votre registre DORA et vos obligations de chaîne d'approvisionnement NIS2 :

• Attestation SOC 2 Type 1 par ATOM, couvrant la Sécurité, la Disponibilité et la Confidentialité, à partir du 09/04/2026 (rapport complet à usage restreint sous NDA).
• Certification ISO/IEC 27001:2022 par Bureau Veritas, cert nº ES144068, valide jusqu'au 03/06/2027 – preuve distribuable d'un système de gestion de la sécurité de l'information certifié.
• Lettre de conformité iBeta Level 1 PAD – distribuable, pour l'assurance du contrôle biométrique.

Ces éléments fournissent les artefacts dont vos équipes d'approvisionnement et de risque ont besoin lorsqu'elles évaluent Didit en tant que fournisseur dans votre registre de tiers TIC.

Approfondissement : l'identité dans le registre des tiers DORA

Dans le cadre de DORA, chaque arrangement avec un tiers TIC est inscrit dans un registre d'informations que votre superviseur peut demander. Pour chaque fournisseur, vous devez comprendre la fonction qu'il prend en charge, la criticité de cette fonction et le risque que le fournisseur introduit – étayé par des preuves.

Lorsque le fournisseur est votre prestataire de vérification d'identité, les preuves que vous souhaitez sont exactement ce que Didit peut fournir : une attestation SOC 2 indépendante décrivant la conception de ses contrôles, un certificat ISO/IEC 27001 prouvant un système de sécurité de l'information géré, et un résultat biométrique iBeta quantifiant les performances anti-usurpation. Associez-les à la piste d'audit basée sur les webhooks de Didit – événements status.updated et data.updated enregistrant le cycle de vie de chaque vérification – et vous disposez à la fois de l'assurance au niveau du fournisseur pour le registre et des enregistrements au niveau des transactions pour les tests de résilience et l'enquête sur les incidents.

Cette combinaison transforme un fournisseur qui pourrait être une ligne de risque en un fournisseur qui raccourcit votre cycle de diligence raisonnable.

Cas d'utilisation

• Banques, IMÉ et établissements de paiement évaluant le risque lié aux tiers TIC de DORA pour leur pile d'identité.
• Prestataires de services sur crypto-actifs relevant du champ d'application de DORA pour le secteur financier.
• Opérateurs de services essentiels (énergie, transport, santé, infrastructure numérique) relevant de NIS2 renforçant le contrôle d'accès et la sécurité de la chaîne d'approvisionnement.
• Fournisseurs de services gérés qui doivent prouver la sécurité des outils d'identité qu'ils déploient pour leurs clients.

Questions fréquemment posées

NIS2 et DORA s'appliquent-ils aux mêmes organisations ?

Pas exactement. NIS2 couvre les entités essentielles et importantes dans de nombreux secteurs ; DORA couvre les entités financières et leurs fournisseurs TIC. De nombreuses organisations financières relèvent des deux, et les contrôles se chevauchent fortement.

La vérification d'identité est-elle réellement exigée par ces règles ?

Les règles exigent un contrôle d'accès strict, une gestion des risques et une surveillance des tiers. Une vérification d'identité fiable est fondamentale pour les trois – vous ne pouvez pas appliquer un contrôle d'accès ou vérifier les utilisateurs d'un fournisseur sans elle.

Que fournit Didit pour le registre des tiers TIC de DORA ?

Didit peut fournir des preuves SOC 2 Type 1, ISO/IEC 27001:2022 (cert ES144068) et iBeta Level 1 PAD, ainsi que des pistes d'audit basées sur des webhooks – les artefacts dont votre équipe de gestion des risques a besoin pour évaluer et documenter Didit en tant que fournisseur.

Le SOC 2 de Didit est-il de type 1 ou de type 2 ?

Il s'agit d'une attestation de Type 1 (conception des contrôles au 09/04/2026). Un examen de Type 2 est prévu. Le rapport complet est à usage restreint et partagé sous NDA.

Puis-je obtenir le certificat ISO 27001 pour le partager en interne ?

Oui – le certificat ISO/IEC 27001:2022 (Bureau Veritas, cert nº ES144068) est distribuable sur demande.

Prêt à commencer ?

Consultez les attestations et la posture de sécurité de Didit sur le centre de confiance, explorez le produit de vérification d'identité, et examinez les tarifs transparents sur la page des tarifs. Lorsque vous êtes prêt, démarrez gratuitement – 500 vérifications KYC gratuites chaque mois, avec un flux de vérification de base à partir de 0,33 $.