Points clés de cet article :
  • DORA renforce les exigences de cybersécurité : les institutions financières doivent prouver leur résilience face aux incidents, y compris ceux liés à leurs fournisseurs cloud, sous peine de sanctions financières importantes.
  • Le cloud accroît la surface d’attaque : l’adoption massive des infrastructures cloud s’accompagne d’un risque accru de violations de données, souvent liées à des erreurs de configuration, des identifiants compromis ou des vulnérabilités non corrigées.
  • Une sécurité cloud adaptée est indispensable : des solutions comme ESET Cloud Workload Protection permettent de protéger les machines virtuelles, améliorer la visibilité et faciliter la conformité aux cadres réglementaires tels que DORA.

Les nouvelles réglementations, qui placent la gestion des risques tiers et la résilience opérationnelle au cœur des exigences de cybersécurité, représentent un défi majeur pour les organisations. Sans préparation adéquate, elles peuvent exposer les entreprises non seulement à des cyberattaques, mais aussi à des sanctions réglementaires importantes.

C’est précisément dans ce contexte que des cadres comme le Digital Operational Resilience Act (DORA) ont été introduits. Cette réglementation européenne impose aux institutions financières, banques, assureurs ou sociétés d’investissement, de démontrer leur capacité à résister, détecter et répondre aux incidents informatiques, y compris ceux liés à leurs fournisseurs de services. Face à ces obligations, de nombreuses organisations s’interrogent désormais : leur niveau de sécurité est-il réellement suffisant pour répondre aux exigences réglementaires ?

Le cloud : un levier d’innovation… et une nouvelle surface d’attaque

Le Digital Operational Resilience Act (DORA) vise à renforcer la posture de cybersécurité du secteur financier européen. L’une de ses particularités est d’introduire un principe de responsabilité élargie, où la direction d’une organisation peut être tenue responsable en cas de manquement. La réglementation impose notamment des exigences strictes en matière de gestion des risques liés aux fournisseurs tiers. En pratique, cela signifie que les entreprises restent responsables de la sécurité des services cloud qu’elles utilisent.

Par exemple, si une vulnérabilité affecte une machine virtuelle dans un cloud public et entraîne une fuite de données sensibles, l’entreprise utilisatrice peut être tenue responsable, même si l’infrastructure appartient à un fournisseur. Ce scénario n’est pas théorique. Plusieurs incidents récents ont démontré que les couches critiques du cloud, notamment les services d’identité, peuvent devenir des vecteurs d’attaque majeurs. Une compromission de ces services peut exposer un grand nombre de clients en aval.

Une adoption massive du cloud

L’adoption du cloud continue de s’accélérer. En 2025, près de 69 % des entreprises utilisaient une infrastructure cloud publique comme environnement principal. Les principaux fournisseurs, AWS, Microsoft Azure et Google Cloud représentent à eux seuls plus de 60 % du marché mondial. Cette transformation apporte de nombreux avantages opérationnels, mais elle s’accompagne aussi d’une augmentation des incidents de sécurité. Selon plusieurs études, près de 44 % des organisations ont subi une violation de données liée au cloud, avec un coût moyen dépassant 5 millions de dollars par incident. Ces incidents s’expliquent en partie par la nature même des environnements cloud : dynamiques, distribués et parfois peu visibles pour les outils de sécurité traditionnels. Les erreurs de configuration, les identifiants compromis ou les vulnérabilités non corrigées constituent ainsi des points d’entrée privilégiés pour les attaquants.

Le poids réglementaire de DORA

Dans le cadre de DORA, une non-conformité peut entraîner des sanctions allant jusqu’à 2 % du chiffre d’affaires annuel mondial ou 10 millions d’euros pour une entreprise. Les dirigeants peuvent également être sanctionnés personnellement. Toute entité financière opérant dans l’UE, même étrangère, doit s’y conformer. Aucune échappatoire.

Les prestataires technologiques critiques ne sont pas épargnés : ils peuvent être soumis à des amendes allant jusqu’à 5 millions d’euros, ou 1 % de leur chiffre d’affaires mondial. Ainsi, un incident de sécurité affectant un service cloud tiers peut avoir des conséquences juridiques et financières importantes pour l’ensemble de la chaîne de valeur.

Adapter la sécurité aux environnements cloud

De nombreuses organisations exploitent aujourd’hui des environnements de travail hybrides, combinant infrastructures locales et environnements cloud. Cette complexité peut créer des angles morts de sécurité. En réalité, seule une minorité d’entreprises dispose d’une visibilité complète sur ses environnements cloud. Cette situation est problématique, notamment lorsque les réglementations exigent une traçabilité et une capacité d’audit élevées. Une machine virtuelle compromise peut rapidement devenir le point de départ d’un incident majeur, notamment via des techniques avancées comme l’évasion de machine virtuelle, permettant d’interagir avec le système hôte. Pour limiter ces risques, les organisations doivent mettre en place une protection des environnements de travail en temps réel, capable de détecter les comportements suspects, d’isoler automatiquement les systèmes compromis et de partager la télémétrie nécessaire à une réponse rapide. L’objectif est clair : appliquer des politiques de sécurité cohérentes sur l’ensemble des environnements, sans complexifier l’exploitation.

ESET Cloud Workload Protection

Pour répondre à ces nouveaux enjeux, ESET propose ESET Cloud Workload Protection (ECWP), une solution conçue pour protéger les machines virtuelles déployées dans les environnements cloud publics. Fidèle à la réputation de légèreté des technologies ESET, ce module s’intègre directement à ESET PROTECT et à ses capacités XDR, ce qui permet de corréler les événements de sécurité provenant des Endpoints et des infrastructures cloud. Les équipes de sécurité bénéficient ainsi d’une visibilité unifiée et d’une meilleure capacité de détection et de réponse. Cette approche permet également de faciliter les audits de conformité en générant les preuves nécessaires pour différents cadres réglementaires ou normatifs tels que DORA, NIS2, RGPD etc

Une protection cloud accessible

Contrairement à certaines solutions concurrentes, la protection des environnements de travail cloud est intégrée dans les abonnements ESET PROTECT, à partir de l’offre Advanced. Cette approche permet aux organisations, y compris les plus petites, de bénéficier d’une protection étendue sans complexifier leur architecture de sécurité. ECWP vient ainsi compléter le portefeuille de sécurité cloud d’ESET, qui inclut déjà ESET Cloud Office Security pour la protection des environnements collaboratifs.

Vers une résilience cloud durable

Le cloud est désormais un élément central des infrastructures informatiques modernes, mais aussi un amplificateur de risques. Face à ces risques et aux exigences réglementaires croissantes, les organisations doivent adopter une approche proactive : anticiper les menaces, renforcer leur visibilité et s’appuyer sur des solutions de sécurité éprouvées. Une stratégie de cybersécurité adaptée au cloud ne se limite pas à répondre aux incidents : elle constitue un levier essentiel pour assurer la résilience opérationnelle de l’entreprise.