Conformité DORA : avantages de LockPass pour la mutuelle Intériale

La réglementation DORA impose aux acteurs financiers, dont les mutuelles, des exigences renforcées en matière de cybersécurité et de résilience opérationnelle. Pour Intériale, cette nouvelle réglementation constitue avant tout une opportunité d’améliorer en continu la sécurité du SI et la maîtrise de ses fournisseurs. Grâce à LockPass, la mutuelle déploie une solution souveraine et certifiée, facilitant la traçabilité, le contrôle et la gestion sécurisée des accès.

Richard Dhieux, Directeur sûreté et cybersécurité de l’enseigne revient sur les leviers activés par Intériale pour répondre efficacement aux exigences DORA.

Présentation de la mutuelle Intériale

1. Bonjour Richard, pouvez-vous nous présenter votre métier et l'organisation dans laquelle vous travaillez ? 

Intériale c’est la mutuelle de référence pour les agents de la fonction publique et les étudiants¹. Depuis peu, nous avons été retenus par le Ministère de la Justice dans le cadre d’un appel d'offres concernant la protection sociale complémentaire PSC.  Nous sommes reconnues pour notre expertise dans la protection sociale complémentaire de ces publics.

Au sein de l’organisation, j’occupe le poste de directeur sûreté et cybersécurité. Mon rôle consiste à piloter la stratégie de sécurité de l’information et à garantir la protection des données sensibles de nos adhérents et collaborateurs, dans un contexte où les enjeux cyber sont de plus en plus prégnants pour le secteur mutualiste.

Déploiement à grande échelle de LockPass : stratégie et mise en oeuvre

2. Vous avez fait le choix de mettre en place LockPass pour la gestion des accès. Qu'est-ce qui a orienté votre choix ? Quels étaient vos besoins ?

J’étais déjà client LockPass depuis 5 ans avant de rejoindre l’entreprise; ayant déployé LockPass dans mon précédent poste. En intégrant Intériale j’ai fait le choix de la continuité. 

Le déploiement s’est déroulé en trois phases :

• Test interne : J’ai commencé par faire tester la solution à mes collaborateurs afin de recueillir leurs avis et l’adéquation de l’outil avec nos besoins.
  
  
• Déploiement progressif : Ensuite, nous avons déployé LockPass progressivement, d’abord auprès d’un panel de personnes au sein de la DSI, puis à l’ensemble de la DSI.
  
  
• Généralisation : Aujourd’hui, LockPass est devenu l’outil de référence, et le seul utilisé pour la gestion des mots de passe à la DSI. La solution répond à notre besoin de sécuriser et centraliser la gestion des accès, tout en facilitant leur administration au quotidien.
  
  

Aujourd’hui ce sont plus de 70 collaborateurs équipés. Nous entamons un déploiement progressif sur l’ensemble des équipes dès ce mois d’avril 2025, afin de généraliser cette solution sécurisée à toute l’organisation.

____

La mise en place d’un gestionnaire de mots de passe comme LockPass répondait à plusieurs besoins structurants pour Intériale. D’abord, il s’agissait de s’aligner avec les exigences de notre feuille de route cybersécurité et de notre gouvernance, mais aussi avec les principaux référentiels d’hygiène informatique, tels que l’ISO 27001 (et son annexe A/ISO 27002) ou encore le guide d’hygiène informatique de l’ANSSI, qui recommandent explicitement l’utilisation d’un coffre-fort numérique pour la gestion des accès et des identifiants.

Au-delà de la conformité, notre objectif était double :

• Sécuriser la gestion des mots de passe en centralisant les accès dans un espace protégé, avec une traçabilité et un contrôle fin des droits d’accès.
  
• Simplifier l’usage au quotidien pour les équipes, en remplaçant des pratiques peu sûres et dispersées (stockage dans les navigateurs, fichiers partagés, etc.) par une solution unique, ergonomique et facile à prendre en main.
  
  

En effet, les coffres-forts des navigateurs présentent des limites importantes : en cas de vol ou de compromission du poste de travail, l’accès aux mots de passe est direct et non sécurisé. LockPass permet d’éliminer ce risque en offrant une authentification renforcée, un chiffrement avancé des données et une gestion centralisée des accès à l’échelle de l’organisation.

En résumé, LockPass a été choisi pour répondre à nos impératifs de conformité, de sécurité et de simplicité, tout en garantissant une gestion professionnelle et maîtrisée des accès.

3. Pourquoi avoir fait le choix de déployer LockPass à l'ensemble de vos utilisateurs ? Qu'avez-vous mis en place pour assurer la réussite de ce déploiement à grande échelle ?

Sans outil dédié, nos collaborateurs étaient confrontés à des défis récurrents : difficulté à créer des mots de passe robustes, à mémoriser les identifiants multiples et absence de traçabilité. LockPass agit comme un « coffre-fort unique » : les utilisateurs retiennent un seul mot de passe principal, tandis que l’outil génère et stocke automatiquement des mots de passe complexes pour chaque application.

____

Pour faciliter l’adoption de LockPass nous avons opté pour une approche en trois temps : sensibiliser, équiper, adapter.

• Le volet humain : Nous avons organisé un « coffee-meeting » pour présenter LockPass aux équipes. L’idée, c’est de montrer l’outil en action, avec des cas concrets pour casser les idées reçues ou éventuelles réticences (ex : comment partager un mot de passe au sein d’une équipe en 3 clics).
  
  
• Le volet technique : Le plugin LockPass, qui permet l’auto-complétion a été déployé automatiquement via GPO (Group Policy Object) sur tous les postes. Plus besoin de demander à chaque collaborateur d’installer quoi que ce soit ! Ils auront tous accès par défaut à LockPass pour créer, stocker, partager des accès et se connecter à leurs outils.
  
  
• Le volet sécurité : Nous avons d’ores et déjà une politique de mots de passe en place dans l’entreprise. Avec le déploiement généralisé de LockPass, nous allons également instaurer des politiques différenciées selon les groupes d’utilisateurs. Chaque politique de mots de passe sera ainsi adaptée au niveau de criticité des données gérées par chacun. (ex : 16+ caractères avec symboles pour les équipes IT, 12+ caractères pour les autres services). L’avantage avec LockSelf c’est que le générateur intégré à l’outil respectera automatiquement la politique de mot de passe correspondant au groupe dans lequel se trouve le mot de passe. Cela nous permet de maintenir des politiques de mots de passe robustes et cohérentes, adaptées aux profils des collaborateurs, à l’échelle de toute l’organisation.

Les atouts de LockPass

4. Pourquoi avoir choisi LockPass ? Quels sont, selon-vous, ses avantages ?

LockPass permet un vrai renforcement de notre posture de sécurité et s’est imposé pour plusieurs raisons : 

• Centralisation : En centralisant tous les mots de passe dans un coffre-fort numérique sécurisé, LockPass nous permet d’éliminer les anciennes pratiques risquées comme les fichiers Excel, les post-its ou autres partages non chiffrés sur le réseau.
  
  
• Alternative sécurisée aux coffre-forts natifs des navigateurs : L’intégration avec des outils professionnels, comme les navigateurs ou le protocole RDP (Remote Desktop Protocol), permet de simplifier l’accès aux applications et aux environnements distants sans sacrifier la sécurité. Les mots de passe ne sont plus stockés dans les navigateurs de chaque collaborateur mais unifiés dans un coffre-fort professionnel robuste.
  
  
• Meilleure entropie des mots de passe : L’outil offre également la possibilité de générer automatiquement des mots de passe forts, réduisant ainsi le risque d’erreurs humaines et de mots de passe faibles ou réutilisés. Grâce à LockPass, les mots de passe ne sont plus accessibles en clair, ce qui diminue considérablement les risques de fuite ou d’usurpation.
  
  
• Contrôle, sécurité et simplicité d’usage : Parmi les autres avantages, LockPass facilite le partage sécurisé des mots de passe entre collaborateurs, tout en gardant un contrôle précis sur les droits d’accès et la traçabilité des actions. LockPass se distingue par sa simplicité aussi bien du côté de l’utilisation pour nos collaborateurs que dans l’administration avec une interface intuitive, adaptée aux besoins des entreprises. Le tout certifié par l’ANSSI, ce qui garantit un haut niveau de fiabilité et de conformité avec les standards de cybersécurité.

Règlement DORA : LockPass comme facilitateur de mise en conformité

5. DORA va impacter de nombreuses structures du secteur financier et notamment les mutuelles. Comment cela vous impacte concrètement ?

DORA², c’est une obligation légale, une couche réglementaire supplémentaire, à laquelle les assureurs mais plus largement tout le tissu des acteurs financiers européen doit se conformer. Mais c’est aussi une opportunité de renforcer notre sécurité qui a été prise en compte à l’échelle de toute l’entreprise. 

La journalisation et la traçabilité des actions sont des exigences vraiment marquées dans DORA. On doit pouvoir documenter précisément qui accède à quoi, quand, et comment. LockPass nous permet de journaliser toutes les actions liées aux mots de passe et de pouvoir faire des contrôles et des revues périodiques des accès pour vérifier que les droits sont toujours adaptés, ce qui facilite la conformité. 

Cette réglementation fait aussi un vrai focus sur tout ce qui touche à la résilience, au PCA, et à la maîtrise des fournisseurs. Là encore, la mise en place de LockPass nous permet d’être sereins dans la gestion des accès partenaires et la sécurisation du SI.

Nous devons fournir un certain nombre de documents spécifiques (avenant DORA dans nos contrats) avec des clauses d’auditabilité. Aujourd’hui, en cas d’audit, on peut fournir toutes les données nécessaires, les logs, et prouver que tout est bien sous contrôle.

6. De votre point de vue, les structures du secteur mutuelles ont-elles anticipé cette réglementation ? Sont-elles pleinement investies dans ce processus de mise en conformité ou est-ce que cela prend vraiment beaucoup plus de temps avec mise en conformité encore en cours pour la plupart des acteurs ?

DORA, c’est comme le RGPD en 2018 : un enjeu de cybersécurité qui demande du temps. Aujourd’hui, je dirais que nous sommes dans la moyenne haute en termes de maîtrise de DORA, mais je ne pense pas qu’une entreprise puisse prétendre dès la mi-année 2025 « tout contrôler à 100% ».

Pour 2025, il est peu probable que les autorités comme l’ACPR imposent des amendes – elles savent que le règlement vient de sortir et que les organisations ont besoin d’un certain temps pour adresser tous les pans de leur mise en conformité. En revanche, dès le 15 avril, nous devions fournir une cartographie de nos prestataires critiques via un template très exigeant. 

Chez Intériale, nous avons anticipé notre mise en conformité DORA dès 2024 avec un plan d’action structuré :  

1. Nous avons débuté par une formation au niveau de la DSI pour permettre à tous de comprendre DORA et de prioriser les chantiers à mener.
   
   
2. Nous avons également fait une sensibilisation à l’ensemble des collaborateurs sur ce qu’est DORA.
   
   
3. Enfin, une analyse d’écart par rapport aux exigences de DORA ainsi qu’un plan d’action clair sur ce qui doit être amélioré ou mis en place ont été réalisés.

En parallèle, nous avançons vers la certification ISO 27001. L’annexe A de cette norme, plus généraliste que DORA, couvre un spectre plus large, ce qui nous permet de renforcer encore davantage la cybersécurité de notre organisation.

7. Quels sont les leviers prioritaires pour assurer la mise en conformité avec DORA pour une entreprise comme Intériale ?

La maîtrise des fournisseurs est vraiment le point central. DORA a profondément changé la donne : là où, auparavant, externaliser une prestation pouvait donner l’illusion de transférer le risque, la réglementation impose désormais une responsabilité pleine et entière sur l’ensemble de la chaîne, fournisseurs compris. Aujourd’hui, nous devons garantir que chaque prestataire respecte des exigences de sécurité et de résilience strictes.

Cela passe d’abord par une cartographie précise de nos fournisseurs, une évaluation régulière de leurs garanties en matière de cybersécurité, et l’intégration de clauses contractuelles spécifiques : auditabilité, reporting d’incidents, continuité d’activité, réversibilité des services… DORA nous oblige à documenter et à surveiller en continu la conformité de nos partenaires, et à pouvoir démontrer à tout moment que la sécurité est assurée, même en cas d’incident ou de crise.

LockPass contribue d’ailleurs à assurer la maîtrise des accès fournisseurs : 

• Grâce à une gestion fine et au moindre privilège des accès,
• Au chiffrement des données,
• Au partage d’accès temporaire, limité dans le temps,
• À sa fonctionnalité “accès aveugle”, qui garantit que le mot de passe peut-être utilisé mais reste caché (pas d’accès en clair),
• Avec une traçabilité complète.

L’outil nous permet d’accorder à un prestataire externe un accès temporaire, sans jamais exposer les identifiants en clair. Cela répond directement aux exigences de DORA sur le chiffrement, la traçabilité et la gestion « just-in-time » des accès critiques.

Nous avons également fait le choix d’un hébergement en cloud privé souverain pour notre instance LockSelf, afin de garantir la disponibilité de nos accès sensibles même en cas de crise majeure sur notre SI. 

La certification CSPN de l’ANSSI³ et l’hébergement souverain sont pour nous des critères essentiels : ils apportent une garantie supplémentaire de conformité et de confiance, notamment face aux exigences croissantes en matière de souveraineté et de sécurité des données.

Je pense aussi que demain, la certification SECNUMCLOUD sera de plus en plus importante. Avec LockSelf, nous avons la possibilité d’opter pour un hébergement cloud privé certifié SecNumCloud, ce qui constitue un véritable atout, que nous allons déployer très prochainement.

Dans le contexte géopolitique et réglementaire actuel, la souveraineté numérique est une priorité stratégique pour les entreprises comme la nôtre. S’appuyer sur des solutions souveraines, notamment pour des enjeux critiques comme la gestion des mots de passe, n’est plus une option.

_____

Merci Richard !

Sources :

1. https://www.groupeinteriale.fr/
2. https://www.zataz.com/dora-2025-leurope-serre-la-vis-sur-la-cybersecurite-financiere/
3. https://cyber.gouv.fr/presentation-de-la-certification-de-securite-de-premier-niveau-cspn