{"id":68,"date":"2025-09-29T07:50:59","date_gmt":"2025-09-29T07:50:59","guid":{"rendered":"https:\/\/informatique-de-demain.fr\/?p=68"},"modified":"2025-10-28T14:56:30","modified_gmt":"2025-10-28T14:56:30","slug":"nis2-et-dora-deux-directives-europeennes-indispensables-pour-la-cybersecurite-a-lere-numerique","status":"publish","type":"post","link":"https:\/\/informatique-de-demain.fr\/index.php\/2025\/09\/29\/nis2-et-dora-deux-directives-europeennes-indispensables-pour-la-cybersecurite-a-lere-numerique\/","title":{"rendered":"NIS2 et DORA : Deux Directives Europ\u00e9ennes Indispensables pour la Cybers\u00e9curit\u00e9 \u00e0 l&#8217;\u00c8re Num\u00e9rique"},"content":{"rendered":"\n<p>Le paysage num\u00e9rique actuel est en constante \u00e9volution, apportant son lot d&#8217;innovations mais aussi de menaces cybern\u00e9tiques de plus en plus sophistiqu\u00e9es. En r\u00e9ponse \u00e0 ces d\u00e9fis, l&#8217;Union Europ\u00e9enne a mis en place deux directives majeures : <strong>NIS2<\/strong> (Network and Information Systems Directive 2) et le <strong>Digital Operational Resilience Act (DORA)<\/strong>. Ces r\u00e9glementations visent \u00e0 renforcer la <strong>r\u00e9silience num\u00e9rique<\/strong> et la <strong>cybers\u00e9curit\u00e9<\/strong> \u00e0 travers divers secteurs critiques, transformant ainsi la mani\u00e8re dont les entreprises et les professionnels abordent la s\u00e9curit\u00e9 de leurs syst\u00e8mes d&#8217;information.<\/p>\n\n\n\n<p><strong>La Directive NIS2 : Un Imp\u00e9ratif Strat\u00e9gique pour la R\u00e9silience en Cybers\u00e9curit\u00e9<\/strong><\/p>\n\n\n\n<p>La directive NIS2 (UE 2022\/2555), entr\u00e9e en vigueur en janvier 2023 et effective depuis octobre 2024, marque un tournant d\u00e9cisif dans la gouvernance des risques num\u00e9riques dans les secteurs critiques. Elle \u00e9tend consid\u00e9rablement le champ d&#8217;application de la directive NIS originale, introduisant des exigences plus strictes et des m\u00e9canismes d&#8217;application renforc\u00e9s.<\/p>\n\n\n\n<p><strong>Qui est concern\u00e9 par NIS2 ?<\/strong> NIS2 s&#8217;applique \u00e0 un large \u00e9ventail de secteurs jug\u00e9s critiques pour la stabilit\u00e9 nationale et \u00e9conomique. Ces entit\u00e9s sont class\u00e9es en deux cat\u00e9gories : &#8220;essentielles&#8221; et &#8220;importantes&#8221;. Pour le secteur automobile, cela inclut les fabricants de v\u00e9hicules et les \u00e9quipementiers (essentiels), ainsi que les fournisseurs de pi\u00e8ces et de services (importants, sous certaines conditions de taille et de secteur). Plus largement, la directive couvre:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>L&#8217;\u00e9nergie<\/li>\n\n\n\n<li>La sant\u00e9<\/li>\n\n\n\n<li>Les transports<\/li>\n\n\n\n<li>Les infrastructures num\u00e9riques<\/li>\n\n\n\n<li>La banque et la finance (\u00e9galement couvertes par DORA)<\/li>\n\n\n\n<li>L&#8217;administration publique<\/li>\n\n\n\n<li>La fabrication<\/li>\n\n\n\n<li>Les services postaux et de messagerie<\/li>\n\n\n\n<li>La gestion des d\u00e9chets<\/li>\n\n\n\n<li>L&#8217;approvisionnement en eau et les eaux us\u00e9es<\/li>\n\n\n\n<li>Les fournisseurs de services num\u00e9riques (par exemple, les services cloud)<\/li>\n\n\n\n<li>Les produits et services TIC<\/li>\n\n\n\n<li>La recherche<\/li>\n\n\n\n<li>L&#8217;espace<\/li>\n<\/ul>\n\n\n\n<p>Un aspect particuli\u00e8rement marquant de NIS2 est son <strong>accent sur la cha\u00eene d&#8217;approvisionnement<\/strong>. La directive n&#8217;est pas seulement cibl\u00e9e sur les fabricants d&#8217;\u00e9quipement d&#8217;origine (OEM) ; elle impose des obligations directes et indirectes \u00e0 tous les niveaux de l&#8217;\u00e9cosyst\u00e8me de la cha\u00eene d&#8217;approvisionnement, des fournisseurs de rang 1 \u00e0 3 et au-del\u00e0.<\/p>\n\n\n\n<p><strong>Quelles sont les obligations cl\u00e9s sous NIS2 ?<\/strong> Les entreprises couvertes par NIS2 doivent mettre en \u0153uvre des mesures techniques et organisationnelles appropri\u00e9es, notamment:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Gestion des risques cybern\u00e9tiques et gouvernance<\/strong> : Mise en place de politiques, de formations et de responsabilisation au niveau du conseil d&#8217;administration.<\/li>\n\n\n\n<li><strong>S\u00e9curit\u00e9 de la cha\u00eene d&#8217;approvisionnement<\/strong> : \u00c9valuation et gestion des risques de cybers\u00e9curit\u00e9 pos\u00e9s par les fournisseurs et prestataires de services.<\/li>\n\n\n\n<li><strong>Signalement des incidents<\/strong> : Les incidents de s\u00e9curit\u00e9 doivent \u00eatre signal\u00e9s aux autorit\u00e9s nationales dans les 24 heures suivant leur prise de connaissance.<\/li>\n\n\n\n<li><strong>Planification de la continuit\u00e9 des activit\u00e9s et de la reprise<\/strong> : \u00c9tablissement de strat\u00e9gies document\u00e9es pour la r\u00e9silience op\u00e9rationnelle en cas de perturbation.<\/li>\n\n\n\n<li><strong>Responsabilit\u00e9 ex\u00e9cutive<\/strong> : Les administrateurs d&#8217;entreprise peuvent \u00eatre tenus personnellement responsables en cas de non-conformit\u00e9, avec des sanctions et des mesures correctives obligatoires possibles.<\/li>\n<\/ul>\n\n\n\n<p>De plus, NIS2 exige l&#8217;adoption des principes de <strong>&#8220;Secure by Design&#8221;<\/strong> et de <strong>&#8220;Privacy by Design (PbD)&#8221;<\/strong>. Le PbD, introduit dans les ann\u00e9es 1990 par le Dr Ann Cavoukian, est un cadre proactif qui int\u00e8gre la protection des donn\u00e9es et la s\u00e9curit\u00e9 dans le tissu m\u00eame des syst\u00e8mes technologiques et des processus m\u00e9tier, d\u00e8s la phase de conception. Cela signifie que la confidentialit\u00e9 et la s\u00e9curit\u00e9 ne sont pas des ajouts ult\u00e9rieurs, mais des \u00e9l\u00e9ments fondamentaux int\u00e9gr\u00e9s par d\u00e9faut.<\/p>\n\n\n\n<p><strong>Cons\u00e9quences de la non-conformit\u00e9 :<\/strong> Pour de nombreux fournisseurs, ne pas respecter ces nouvelles normes signifie risquer l&#8217;exclusion du march\u00e9. Les \u00e9quipementiers, tenus de faire preuve de diligence raisonnable envers leurs fournisseurs, exigeront des preuves de conformit\u00e9. Les amendes peuvent atteindre jusqu&#8217;\u00e0 10 millions d&#8217;euros ou 2% du chiffre d&#8217;affaires annuel mondial. La maturit\u00e9 en cybers\u00e9curit\u00e9 est donc devenue une exigence commerciale, et non plus un simple facteur de diff\u00e9renciation.<\/p>\n\n\n\n<p><strong>DORA : Une Nouvelle Doctrine pour la R\u00e9silience Num\u00e9rique du Secteur Financier<\/strong><\/p>\n\n\n\n<p>Le <strong>Digital Operational Resilience Act (DORA)<\/strong>, en vigueur depuis janvier 2025, est une r\u00e9glementation essentielle pour le secteur financier europ\u00e9en. Son objectif est de garantir que les institutions financi\u00e8res puissent r\u00e9sister, r\u00e9agir et se remettre des perturbations li\u00e9es aux technologies de l&#8217;information.<\/p>\n\n\n\n<p><strong>Qui est concern\u00e9 par DORA ?<\/strong> DORA s&#8217;applique principalement aux <strong>institutions financi\u00e8res<\/strong> (banques, assurances, fonds d&#8217;investissement, etc.), mais \u00e9galement aux <strong>entreprises informatiques et \u00e0 de nombreux autres fournisseurs de services TIC<\/strong> op\u00e9rant dans ce secteur.<\/p>\n\n\n\n<p><strong>Les cinq piliers de DORA :<\/strong> DORA repose sur cinq piliers fondamentaux pour la r\u00e9silience op\u00e9rationnelle:<\/p>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li>Gestion des risques TIC<\/li>\n\n\n\n<li>Signalement des incidents majeurs<\/li>\n\n\n\n<li>Tests de r\u00e9silience<\/li>\n\n\n\n<li>Surveillance des fournisseurs tiers critiques<\/li>\n\n\n\n<li>Partage d&#8217;informations<\/li>\n<\/ol>\n\n\n\n<p><strong>Le signalement des incidents sous DORA :<\/strong> DORA \u00e9tablit des d\u00e9lais stricts pour le signalement des incidents TIC mat\u00e9riels:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Notification initiale<\/strong> : Dans les <strong>4 heures<\/strong> suivant la prise de connaissance de l&#8217;incident.<\/li>\n\n\n\n<li><strong>Rapport interm\u00e9diaire<\/strong> : Au plus tard dans les <strong>3 jours ouvrables<\/strong>.<\/li>\n\n\n\n<li><strong>Rapport final<\/strong> : Au plus tard <strong>1 mois<\/strong> apr\u00e8s la notification initiale.<\/li>\n<\/ul>\n\n\n\n<p>Ces d\u00e9lais n\u00e9cessitent une coordination parfaite entre les \u00e9quipes SOC (Security Operations Center), juridiques et de conformit\u00e9.<\/p>\n\n\n\n<p><strong>Impact des menaces cybern\u00e9tiques intelligentes :<\/strong> DORA arrive \u00e0 un moment critique o\u00f9 les cyberattaques sont de plus en plus sophistiqu\u00e9es, souvent orchestr\u00e9es par l&#8217;<strong>intelligence artificielle (IA)<\/strong>. Elles sont automatis\u00e9es, s&#8217;auto-adaptent, et peuvent \u00eatre presque invisibles pour les d\u00e9fenses traditionnelles. DORA exige donc une approche proactive, anticipatoire et int\u00e9gr\u00e9e pour faire face \u00e0 ces attaques syst\u00e9miques. Cela inclut l&#8217;int\u00e9gration de l&#8217;IA dans la cha\u00eene d\u00e9fensive pour d\u00e9tecter les anomalies, simuler des sc\u00e9narios d&#8217;attaque et automatiser les rapports d&#8217;incidents.<\/p>\n\n\n\n<p><strong>Impact sur les Entreprises et les Individus (Leurs M\u00e9tiers)<\/strong><\/p>\n\n\n\n<p>Les directives NIS2 et DORA sont bien plus que de simples listes de conformit\u00e9 ; elles repr\u00e9sentent une transformation profonde dans la gestion de la cybers\u00e9curit\u00e9 et de la r\u00e9silience num\u00e9rique.<\/p>\n\n\n\n<p><strong>Pour les entreprises :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Investissement strat\u00e9gique<\/strong> : La cybers\u00e9curit\u00e9 doit \u00eatre vue comme un facteur strat\u00e9gique essentiel pour la fid\u00e9lisation des clients, l&#8217;acc\u00e8s au march\u00e9 et la r\u00e9silience \u00e0 long terme, et non comme une simple d\u00e9pense r\u00e9glementaire.<\/li>\n\n\n\n<li><strong>Maturit\u00e9 requise<\/strong> : Les entreprises doivent nommer un responsable cybers\u00e9curit\u00e9, effectuer des \u00e9valuations des risques, aligner leurs politiques avec des normes reconnues (comme ISO\/IEC 27001, ISO 31000, ISO 22301, ISO\/IEC 42001 pour l&#8217;IA) et documenter leurs capacit\u00e9s de r\u00e9ponse aux incidents.<\/li>\n\n\n\n<li><strong>Gouvernance int\u00e9gr\u00e9e<\/strong> : Une approche unifi\u00e9e de la gouvernance des risques, int\u00e9grant la s\u00e9curit\u00e9 de l&#8217;information, la gestion des risques et la continuit\u00e9 des activit\u00e9s, est cruciale pour une r\u00e9silience op\u00e9rationnelle globale.<\/li>\n\n\n\n<li><strong>Coop\u00e9ration avec les tiers<\/strong> : Les entreprises doivent renforcer leurs relations contractuelles avec les fournisseurs critiques, incluant des tests conjoints et le partage de m\u00e9triques de robustesse.<\/li>\n\n\n\n<li><strong>Avantage concurrentiel<\/strong> : Les &#8220;early adopters&#8221; qui priorisent la confidentialit\u00e9 et la s\u00e9curit\u00e9 gagnent une r\u00e9putation de fiabilit\u00e9 et d&#8217;innovation, attirant clients et partenaires.<\/li>\n<\/ul>\n\n\n\n<p><strong>Pour les individus et leurs m\u00e9tiers :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Demande accrue de professionnels de la cybers\u00e9curit\u00e9<\/strong> : Le secteur fait face \u00e0 une p\u00e9nurie significative de comp\u00e9tences. Des r\u00f4les comme analyste SOC, analyste GRC, analyste de s\u00e9curit\u00e9 informatique, ou CISO (Chief Information Security Officer) sont en forte demande.<\/li>\n\n\n\n<li><strong>Responsabilit\u00e9 accrue des dirigeants<\/strong> : Les cadres dirigeants et les membres du conseil d&#8217;administration ont une responsabilit\u00e9 directe dans la gestion des risques cybern\u00e9tiques et la conformit\u00e9. Ils doivent avoir une visibilit\u00e9 et une supervision claires des risques cybern\u00e9tiques.<\/li>\n\n\n\n<li><strong>N\u00e9cessit\u00e9 d&#8217;une alphab\u00e9tisation \u00e0 l&#8217;IA (AI Literacy)<\/strong> : Avec l&#8217;adoption croissante de l&#8217;IA, notamment dans les syst\u00e8mes d&#8217;IA \u00e0 haut risque, la directive europ\u00e9enne sur l&#8217;IA (EU AI Act) exige des programmes d&#8217;alphab\u00e9tisation \u00e0 l&#8217;IA pour le personnel concern\u00e9. Cela est crucial pour comprendre le fonctionnement de l&#8217;IA, \u00e9valuer ses applications, interpr\u00e9ter ses r\u00e9sultats et superviser son d\u00e9ploiement de mani\u00e8re responsable.<\/li>\n\n\n\n<li><strong>\u00c9volution des r\u00f4les existants<\/strong> : Les avocats sp\u00e9cialis\u00e9s en cybers\u00e9curit\u00e9 doivent combiner une expertise juridique approfondie avec une compr\u00e9hension des technologies modernes et du monde num\u00e9rique, en s&#8217;adaptant rapidement aux nouvelles exigences l\u00e9gislatives. Les \u00e9quipes SOC doivent \u00eatre form\u00e9es pour identifier et classer les incidents selon les crit\u00e8res r\u00e9glementaires de DORA.<\/li>\n\n\n\n<li><strong>D\u00e9placement et cr\u00e9ation d&#8217;emplois<\/strong> : L&#8217;IA d\u00e9placera certains emplois r\u00e9p\u00e9titifs, mais en cr\u00e9era de nouveaux dans la supervision de l&#8217;IA, l&#8217;ing\u00e9nierie des &#8220;prompts&#8221;, la gestion des donn\u00e9es et l&#8217;\u00e9thique. Le d\u00e9veloppement des comp\u00e9tences et l&#8217;adaptation des strat\u00e9gies de main-d&#8217;\u0153uvre sont essentiels.<\/li>\n<\/ul>\n\n\n\n<p><strong>Conclusion<\/strong><\/p>\n\n\n\n<p>NIS2 et DORA sont des catalyseurs puissants pour la professionnalisation de la cybers\u00e9curit\u00e9 en Europe. La conformit\u00e9 n&#8217;est pas une fin en soi, mais une fondation. La v\u00e9ritable r\u00e9silience est une question d&#8217;\u00e9tat d&#8217;esprit : la capacit\u00e9 d&#8217;une organisation \u00e0 absorber, s&#8217;adapter, apprendre et pivoter face aux perturbations. Pour les entreprises, cela implique des investissements strat\u00e9giques et une gouvernance robuste. Pour les professionnels, cela signifie une opportunit\u00e9 de carri\u00e8re majeure et la n\u00e9cessit\u00e9 d&#8217;un apprentissage continu pour naviguer dans ce paysage num\u00e9rique complexe et en constante \u00e9volution.<\/p>\n\n\n\n<p><em>Cet article est extrait, traduit et r\u00e9sum\u00e9 du Magazine n\u00b051 (avril-juin 2025) \u00e9dit\u00e9 par PECB, un organisme ax\u00e9 sur la formation, la certification et l&#8217;expertise dans les domaines de la gouvernance, des risques, de la conformit\u00e9 (GRC), de la cybers\u00e9curit\u00e9, de la s\u00e9curit\u00e9 de l&#8217;information, de la continuit\u00e9 des activit\u00e9s et de l&#8217;intelligence artificielle (IA).<\/em><\/p>\n\n\n\n<p><a href=\"https:\/\/learneo.fr\/formation-it-et-management\/formation-pecb\/\">PECB a con\u00e7u des programmes de formation et certifications d\u00e9di\u00e9s NIS2, d\u00e9livr\u00e9s via son r\u00e9seau de partenaires agr\u00e9\u00e9s comme Learneo<\/a>.<\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;Union europ\u00e9enne r\u00e9pond aux menaces cybern\u00e9tiques avec les directives NIS2 et DORA. Ces r\u00e9glementations majeures visent \u00e0 renforcer la cybers\u00e9curit\u00e9 et la r\u00e9silience num\u00e9rique des entreprises.<\/p>\n","protected":false},"author":1,"featured_media":72,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10],"tags":[],"class_list":["post-68","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurite"],"_links":{"self":[{"href":"https:\/\/informatique-de-demain.fr\/index.php\/wp-json\/wp\/v2\/posts\/68","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/informatique-de-demain.fr\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/informatique-de-demain.fr\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/informatique-de-demain.fr\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/informatique-de-demain.fr\/index.php\/wp-json\/wp\/v2\/comments?post=68"}],"version-history":[{"count":1,"href":"https:\/\/informatique-de-demain.fr\/index.php\/wp-json\/wp\/v2\/posts\/68\/revisions"}],"predecessor-version":[{"id":70,"href":"https:\/\/informatique-de-demain.fr\/index.php\/wp-json\/wp\/v2\/posts\/68\/revisions\/70"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/informatique-de-demain.fr\/index.php\/wp-json\/wp\/v2\/media\/72"}],"wp:attachment":[{"href":"https:\/\/informatique-de-demain.fr\/index.php\/wp-json\/wp\/v2\/media?parent=68"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/informatique-de-demain.fr\/index.php\/wp-json\/wp\/v2\/categories?post=68"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/informatique-de-demain.fr\/index.php\/wp-json\/wp\/v2\/tags?post=68"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}