Dans un paysage numérique en constante évolution, on ne saurait trop insister sur la nécessité de mettre en place des mesures de sécurité solides. En particulier, cela concerne le domaine de la gouvernance d’entreprise.
L’Organisation de Coopération et de Développement Économiques (OCDE) a récemment souligné la nécessité pour les conseils d’administration de renforcer leurs activités avec des protocoles de sécurité rigoureux. L’Authentification Multi-Facteur (AMF) est l’une de ces mesures. De plus, elle se distingue comme un protocole fondamental garantissant la sécurité et la protection.
Commençons par comprendre ce qu’est l’Authentification Multi-Facteurs. Ensuite, nous aborderons les vulnérabilités des conseils d’administration. Enfin, nous explorerons comment l’Authentification Multi-Facteurs renforce la sécurisation des conseils d’administration.
Qu’est-ce que l’Authentification Multi-Facteurs ?
L’Authentification Multi-Facteurs est un système qui exige des utilisateurs qu’ils fournissent plus d’une forme d’identification avant d’accéder à une plateforme. Traditionnellement, se connecter à un système implique de fournir un nom d’utilisateur ou un e-mail, ainsi qu’un mot de passe.
L’Authentification Multi-Facteurs ajoute une sécurité en plus, car elle nécessite une vérification supplémentaire une fois que les informations habituelles ont été saisies. Cette vérification supplémentaire peut se présenter sous différentes formes : code unique, jeton physique, empreinte digitale ou scan oculaire. Cette approche multi-niveaux renforce considérablement la sécurité. Même si quelqu’un accède à votre mot de passe, il ne pourra pas se connecter au système. En effet, un facteur supplémentaire sera requis. Cela réduit considérablement les risques d’accès non-autorisés. Par ailleurs, il réduit aussi les violations de données associées aux attaques de phishing, aux logiciels malveillants et aux vols d’identifiants.
En France, la CNIL recommande explicitement l’utilisation de l’authentification multifacteur pour protéger les accès aux systèmes contenant des données sensibles. Pour les conseils d’administration, dont les documents constituent les informations les plus stratégiques de l’organisation, cette recommandation prend valeur d’obligation de fait.
Comprendre les Vulnérabilités des Conseils d’Administration
Les cyberrisques sont en hausse et les enjeux de la gouvernance d’entreprise sont plus élevés que jamais. En 2025, l’ANSSI a traité 3 586 événements de sécurité sur le sol français, dont 1 366 incidents avérés. Une atteinte aux activités du conseil d’administration, pouvant inclure des données financières, compromet non seulement la confidentialité. Elle met aussi en danger la confiance, la crédibilité et l’intégrité d’une organisation.
Les conseils d’administration sont souvent la cible des cybercriminels en raison de la nature lucrative des informations qui peuvent mettre à disposition. Par conséquent, les secrétaires et les membres du conseil ne peuvent négliger la mise en place de mesures de sécurité robustes. L’absence de prise en compte de telles vulnérabilités pourrait entraîner des dommages considérables. Par ailleurs, il y a aussi des conséquences juridiques et des répercussions financières graves.
Au-delà des attaques de piratage bien connues, les principales méthodes pour violer la sécurité et voler des informations confidentielles tournent autour du vol de dispositifs physiques, du vol d’identifiants et des tactiques d’ingénierie sociale telles que le phishing. Les erreurs humaines, qu’il s’agisse de partager involontairement ou sciemment des identifiants, exigent une action proactive par le biais d’une formation régulière et d’une sensibilisation aux risques au sein des entreprises. Les initiatives de formation dans ces domaines mettent en évidence les risques potentiels tout en fournissant aux employés les meilleures pratiques. Par exemple, décourager le stockage des informations de connexion sur les appareils, similaire au bouton « Se souvenir de moi » souvent vu sur les pages de connexion, agit comme une mesure préventive contre le vol d’identifiants.
À lire : Qu’est-ce que la cybersécurité ?
La combinaison de mesures proactives telles que la formation des employés pour une sensibilisation accrue, ainsi que des barrières de sécurité physique comme l’AMF peuvent atténuer considérablement les risques. Cependant, il est crucial de comprendre qu’une mise en place sans l’autre peut encore laisser des vulnérabilités. Donc, l’intégration des deux est essentielle pour une défense solide contre les cyber risques.
Renforcer les conseils d’administration avec l’Authentification Multi-Facteurs
Alors que les conseils d’administration commencent à se tourner vers des prestataires de services pour faciliter leurs activités quotidiennes, l’affichage de fonctions utiles et d’interfaces de qualité est important mais loin d’être suffisant. Cependant, les fonctionnalités de sécurité et les normes sont désormais un facteur instrumental lors du processus de sélection.
Les prestataires de services fiables devraient garantir la mise en place de protocoles de sécurité stricts pour renforcer les activités de gouvernance, comme le souligne le rapport de l’OCDE. L’AMF se présente comme un pivot renforçant la sécurité des conseils d’administration face aux vulnérabilités numériques. De plus, elle ne devrait pas seulement être considérée comme une mesure protectrice, mais aussi comme un investissement stratégique pour les conseils.
DORA, NIS2 et sécurité du conseil : ce que la réglementation impose
Les exigences de sécurité autour du conseil d’administration ne relèvent plus seulement des bonnes pratiques. Deux textes réglementaires en vigueur en France les rendent désormais opposables.
DORA (Digital Operational Resilience Act), applicable depuis janvier 2025 aux entités financières, impose un cadre de résilience numérique. Ce cadre inclut explicitement la sécurisation des accès aux systèmes d’information sensibles. En effet, les outils utilisés par le conseil d’administration et les comités (Board Portal, messagerie sécurisée, systèmes de vote) entrent dans le périmètre des systèmes TIC dont la résilience doit être prouvée. Pour aller plus loin, consultez notre article sur la préparation à la conformité DORA.
NIS2, transposée en droit français, étend les obligations de sécurité à un périmètre d’organisations plus large. Elle impose notamment la mise en place de mécanismes d’authentification forte pour les accès aux systèmes critiques.
Dans ce contexte réglementaire, le choix d’un Board Portal sécurisé n’est plus une décision discrétionnaire : c’est une composante de la conformité de l’organisation. De plus, pour mieux comprendre l’exposition cyber globale de votre organisation, lisez notre analyse sur les cyberattaques en entreprise.
Une solution la plus sécurisée pour vos activités de gouvernance
Comme vous l’avez compris jusqu’ici, il est impératif de sécuriser les activités de votre Conseil d’Administration. Non seulement pour protéger vos données, mais aussi pour être en accord avec les recommandations de l’OCDE. Si vous êtes déjà à la recherche de solutions pour numériser et optimiser vos conseils ou si vous recherchez un fournisseur doté de mesures de sécurité strictes pour protéger vos activités… le module Board Portal de DiliTrust est la solution.
Le module Board Portal (Instances Digitalisées) de DiliTrust
Notre solution SaaS vous aide non seulement à gagner en efficacité et en productivité, mais elle facilite également la prise de décision au sein de vos conseils. De plus, nous suivons les normes de sécurité les plus élevées.
Voici l’ensemble des fonctionnalités de sécurité intégrées au Board Portal DiliTrust :
| Fonctionnalité | Ce qu’elle apporte |
|---|---|
| Authentification à deux facteurs (2FA/MFA) | Chaque connexion requiert un code unique à usage unique |
| SSO (Single Sign-On) | Connexion via l’infrastructure d’identité existante de l’organisation (Active Directory, etc.) |
| Chiffrement de bout en bout | Les données sont chiffrées avant de quitter l’appareil et déchiffrées uniquement au serveur de destination |
| Contrôle d’accès granulaire | Permissions configurables jusqu’au niveau du document, avec règles distinctes pour la consultation, l’impression et le téléchargement |
| Filigrane (watermark) | Identifie la source de tout document en cas de fuite ou de partage non autorisé |
| Timeout d’inactivité | Déconnexion automatique après une période d’inactivité configurable |
| Piste d’audit complète | Trois types de journaux (contenus consultés, connexions, activité) tracent chaque action en temps réel |
| Hébergement EU souverain | Données hébergées sur des serveurs certifiés situés dans l’Union européenne |
Pour accéder à la plateforme, nos utilisateurs reçoivent un message texte avec un code qui complète le processus d’authentification. Chaque code ne peut être utilisé qu’une seule fois et correspond à une tentative de connexion spécifique.
DiliTrust est certifié ISO 27001, ISO 27701 et SOC 2 Type II, des normes internationales qui établissent un cadre pour les systèmes de gestion de la sécurité de l’information et les systèmes de gestion des informations sur la confidentialité. En savoir plus.
DiliTrust se conforme aux réglementations sur la protection des données et protège les données personnelles de tous nos clients et partenaires.
Le module Instances Digitalisées de la suite DiliTrust permet aux conseils de naviguer efficacement et en toute sécurité à travers les complexités de la gouvernance.
Vous souhaitez en savoir plus sur notre module ou notre suite ?
FAQ : sécurité du conseil d’administration et MFA
Pourquoi le conseil d’administration est-il une cible prioritaire pour les cybercriminels ?
Le conseil d’administration concentre les informations les plus sensibles d’une organisation : stratégie, résultats financiers, projets d’acquisition, informations réglementaires. Pour un attaquant, c’est une cible à haute valeur. En parallèle, les administrateurs utilisent souvent des appareils personnels et des réseaux non sécurisés pour accéder aux documents du conseil, ce qui augmente la surface d’exposition. C’est précisément pour cette raison que l’AMF et un Board Portal dédié sont des mesures de protection incontournables.
Quelle est la différence entre MFA et SSO pour un Board Portal ?
La MFA (authentification multifacteurs) protège chaque connexion en demandant une vérification supplémentaire au-delà du mot de passe. Le SSO (Single Sign-On) permet aux utilisateurs de se connecter une seule fois via l’infrastructure d’identité de leur organisation (Active Directory, par exemple) pour accéder à plusieurs systèmes. Les deux sont complémentaires : le SSO simplifie l’expérience utilisateur pour les administrateurs, la MFA ajoute une couche de vérification pour chaque session. Un Board Portal sécurisé doit proposer les deux.
Un Board Portal sécurisé est-il obligatoire dans le cadre de DORA ?
DORA n’impose pas l’utilisation d’un Board Portal spécifique, mais il impose que les systèmes TIC utilisés par les entités financières — y compris les outils de gouvernance — respectent des exigences de résilience, de sécurité des accès et de traçabilité. Un Board Portal certifié ISO 27001, hébergé en Europe, avec MFA, piste d’audit et chiffrement répond directement à ces exigences et simplifie la documentation de conformité DORA.
