Cybercompliance

de quoi s’agit-il ?

Par Xavier Leonetti

Numéro#529

Mis en ligne le 13/11/2025

Face à l’explosion des cyberattaques, l’Union européenne a mis en place un arsenal législatif sans précédent. Entre NIS 2, DORA, CER et le Cyber Resilience Act, les entreprises doivent désormais naviguer dans un paysage normatif complexe tout en préservant leur capacité d’innovation. Décryptage d’une cybercompliance qui transforme la gestion des risques numériques.

Data protection, binary code with European Union flag

Aucune entreprise ne peut affirmer n’avoir jamais fait l’objet d’une cyberattaque. Selon le “Panorama de la cybermenace 2023” de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), plus de 60 % des cyberattaques concernent des petites structures. De surcroît, le recours de plus en plus fréquent à l’intelligence artificielle favorise une automatisation de ces attaques.

Dans ce contexte, l’architecture normative s’est adaptée, sous la forme d’une véritable cybercompliance. Pour autant, si chacun s’accorde sur la nécessité de réguler l’économie numérique, il demeure néanmoins un impératif d’efficacité et de réalisme afin que l’innovation entrepreneuriale ne se heurte pas au “mur” de l’inflation législative et de la surrégulation. Une protection juridique efficace doit par conséquent être pragmatique afin de s’adapter à l’entreprise et non l’inverse. Dans ce cadre, le rôle du juriste est moins celui d’un censeur que d’un guide qui accompagne la stratégie du groupe dans son ascension. Garant de la norme, il fixe la voie à emprunter sur le chemin de crête qui sépare le risque de non-conformité de celui de l’inaction par une application stricte du principe de précaution.

Cette approche de la cybercompliance peut s’exposer au travers de la présentation de la directive NIS 2 et des textes européens qui y sont liés en matière de gestion des risques et de la cyberrésilience.

Selon le “Panorama de la cybermenace 2023” de l’ANSSI, plus de 60 % des cyberattaques concernent des petites structures.

NIS 2 et la modernisation des règles en matière de cybersécurité

Entrée en vigueur en octobre 2024, NIS 2 impose aux États membres d’adopter une stratégie nationale de cybersécurité. Pour cela, les ils sont tenus de désigner : des équipes nationales de réaction aux incidents de sécurité informatique (CSIRT), des responsables du traitement des risques et des incidents, une autorité nationale compétente en matière de cybersécurité et un point de contact unique (SPOC) permettant d’assurer la coopération transfrontalière. Les États doivent également établir un groupe de coopération avec leurs homologues étrangers et garantir que les mesures de cybersécurité sont prises dans sept secteurs, tels que l’énergie, les transports, les banques, les infrastructures des marchés financiers…

Environ 600 entités, appartenant à 18 secteurs, sont concernées par la directive NIS 2 ¹. Les principaux critères d’intégration sont le nombre d’employés, le chiffre d’affaires et la nature de l’activité exercée. NIS 2 distingue alors deux catégories d’entités qui sont tenues de signaler les incidents de cybersécurité importants aux autorités nationales compétentes : les entités essentielles (EE)² et les entités importantes (EI)³.

Toutes les entités doivent respecter un certain nombre d’obligations, sous la forme de dix éléments clés. Il s’agit notamment de la gestion des incidents, de la sécurité de la chaîne d’approvisionnement, du traitement des vulnérabilités et de la divulgation, de l’utilisation de la cryptographie et, le cas échéant, du chiffrement. Il leur est également recommandé de mettre en place une structure de gouvernance claire, avec la définition précise des rôles et responsabilités. En outre, une analyse des risques pourra être engagée afin d’adopter des mesures de cybersécurité. Dans cette perspective, il pourra être utile de se reporter au référentiel de l’ANSSI qui préconise un certain nombre de mesures⁴.

Tout incident doit faire l’objet d’un signalement selon une approche en plusieurs étapes : dans les 24 heures, les entités doivent soumettre une alerte au Computer emergency response team (CSIRT) ; dans les 72 heures, les entités doivent adresser une notification d’incident plus détaillée⁵ ; dans le mois suivant la notification de l’incident, un rapport final doit être établi. En contrepartie de ces notifications, l’entité peut bénéficier du soutien des CSIRT, lesquels contribuent à la surveillance des systèmes, à la remédiation⁶ et à la coopération internationale.

La directive NIS 2 prévoit enfin une liste de contrôles réguliers (audits réguliers et ciblés, vérifications sur place et hors site, demandes d’informations et d’accès aux documents) par lesquels les autorités compétentes peuvent superviser chacune des entités (EE ou EI). En cas de non-conformité, l’ANSSI peut formuler des injonctions.

Des sanctions administratives⁷ sont prévues en cas de violation des obligations prévues par la directive. Ces sanctions comprennent des instructions contraignantes, l’ordre de mettre en œuvre les recommandations d’un audit de sécurité, l’ordre de mettre les mesures de sécurité en conformité avec les exigences de la SRI et des amendes administratives.

L’UE a instauré de nouvelles règles afin de mieux prévenir, gérer et réagir aux incidents et crises de cybersécurité à grande échelle.

NIS 2, CER, DORA et CRA : les réglementations en matière de gestion des risques et de résilience cyber

L’UE a instauré de nouvelles règles afin de mieux prévenir, gérer et réagir aux incidents et crises de cybersécurité à grande échelle.

À cet effet, NIS 2 renforce les exigences de sécurité et de reporting pour les entreprises, en imposant une approche de gestion des risques. De même, NIS 2 exige des États membres qu’ils mettent en place des plans nationaux d’incidents de cybersécurité, et le réseau CyCLONe (Cyber Crisis Liaison Organisation Network) qui rassemble l’Agence nationale de sécurité des systèmes d’information (ANSSI) et ses homologues européens.

La directive sur la résilience des entités critiques (CER)⁸, a été alignée avec NIS 2 afin de garantir que la résilience physique et cybernétique de ces entités soit traitée de manière globale. CER prévoit la mise en place de mesures permettant aux “entités critiques” de prévenir de manière plus efficace les incidents susceptibles de perturber la fourniture de leurs services en particulier les chaînes d’approvisionnement. Les secteurs concernés sont notamment l’énergie, les transports, le secteur bancaire, la santé, l’espace, etc.

De même, le règlement relatif à la résilience opérationnelle numérique pour le secteur financier (Digital Operational Resilience Act – DORA)⁹ vient compléter NIS 2. DORA définit des principes clés pour les entités financières afin d’assurer une bonne gestion des risques liés aux prestataires tiers de services informatiques. En particulier, les entités financières sont tenues : de maintenir des systèmes, protocoles et outils à jour ; d’identifier l’ensemble des fonctions opérationnelles ainsi que tous les processus qui dépendent de prestataires tiers de services informatiques.

Le règlement prévoit également : la sélection des prestataires tiers de services informatiques (avec une due diligence préalable), les principales dispositions contractuelles à insérer dans les contrats conclus avec ces prestataires (y compris les cas de résiliation et les stratégies de sortie), ainsi que leurs contrôles et la supervision en continu. Enfin, les entités financières sont tenues de détecter, de gérer et de notifier les incidents.

Pour sa part, le Cyber Resilience Act (CRA)¹⁰ vient compléter NIS 2 ¹¹ et DORA en renforçant la cybersécurité des produits intégrant des éléments numériques vendus sur le marché de l’UE¹². Le CRA a une portée extraterritoriale et concerne donc tous les fabricants, qu’ils soient basés dans l’UE ou non. Par exemple, une société basée aux États-Unis qui développe des applications mobiles ou un fabricant chinois de panneaux solaires devront se conformer au CRA s’ils vendent leurs produits en Europe.

Le CRA définit quatre objectifs principaux : veiller à ce que les fabricants améliorent la sécurité des produits comportant des éléments numériques depuis la phase de conception et de développement, et tout au long du cycle de vie ; garantir un cadre cohérent en matière de cybersécurité, en facilitant le respect des règles par les producteurs de matériels et de logiciels ; améliorer la transparence des propriétés de sécurité des produits comportant des éléments numériques ; permettre aux entreprises et aux consommateurs d’utiliser des produits comportant des éléments numériques en toute sécurité.

Le Petit Cyber-compliance (Dunod, 2025), par Xavier Leonetti.

Le développement d’une hygiène numérique dans l’entreprise

Ces législations nouvelles intègrent une approche managériale des risques, soumettant de plus en plus les entreprises à des obligations de prévention¹³ et d’hygiène numérique. En matière d’intelligence artificielle, les dispositions du règlement Artificial Intelligence Act (AI Act)¹⁴ viennent définir la conformité des systèmes d’IA développés et commercialisés.

De plus, la directive NIS 2 contribue au développement d’une culture de cybersécurité collective. En effet, la directive encourage toutes les entités à partager leurs informations en matière de cybersécurité. Des accords peuvent alors être conclus entre des entreprises, sur le modèle de l’accord conclu entre Airbus et Boeing¹⁵. En cela, la directive rejoint les finalités poursuivies par le DSA¹⁶ et le DMA¹⁷. De même, l’échange d’informations se retrouve dans le Data Act¹⁸, qui réglemente les rapports entre les entreprises et leurs clients.

La prévention nécessite également la surveillance des principaux cyberrisques tels que l’ingénierie sociale et l’hameçonnage¹⁹ qui regroupent des techniques utilisées par les attaquants dans le but de manipuler ou d’influencer les comportements humains.

Enfin, il convient de se préparer à l’incident en sauvegardant toutes les données de l’entreprise, sans oublier les logiciels installés sur le système. Pour cela, les entreprises peuvent réaliser un diagnostic en ligne via le site cybermalveillance.gouv.fr, et bénéficier de conseils personnalisés. En particulier, en cas d’incident, le premier conseil est de déconnecter son équipement ou son SI d’entreprise d’Internet, mais de ne pas éteindre ni modifier les ordinateurs et les matériels affectés par la cyberattaque. Il est également recommandé d’ouvrir une main courante pour tracer les actions et les événements liés à l’incident. Enfin, il est nécessaire de notifier la CNIL (en cas d’atteinte portée aux données personnelles gérées par l’entreprise), de gérer la communication autour de l’incident et de porter plainte.

NIS 2, CER, CRA et DORA prévoient des obligations qui pour être effectives et efficaces doivent être relayées en interne, via une charte informatique notamment, afin de contribuer à une véritable hygiène numérique.

Il convient de se préparer à l’incident en sauvegardant toutes les données de l’entreprise, sans oublier les logiciels installés sur le système.

1. Des entreprises de taille intermédiaire (ETI) peuvent être concernées par la directive en fonction de leurs secteurs d’activité. Pour les PME-PMI, l’enjeu de la NIS 2 est de promouvoir la sécurité numérique auprès d’entités ne disposant pas d’expertise en la matière.

2. Qui réalisent des activités dans les secteurs catégorisés comme hautement critiques et disposant de plus de 250 salariés ou avec un chiffre d’affaires supérieur à 50 millions d’euros.

3. Qui disposent d’un effectif compris entre 50 et 250 salariés, qui réalisent un chiffre d’affaires compris entre 10 et 50 millions d’euros.

4. NIS 2 en synthèse : https://bit.ly/3IQSPt8

5. La notification doit contenir une évaluation initiale de la gravité et de l’impact de l’incident, ainsi que des indicateurs de compromission s’ils sont disponibles.

6. Remise en état du système informatique

7. Les amendes administratives peuvent atteindre, pour les EE, un montant maximum de 10 000 000 € ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. En ce qui concerne les EI, la directive impose aux États membres de prévoir une amende maximale de 7 000 000 € ou au moins 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

8. La directive (UE) 2022/2557 sur la résilience des entités critiques (CER).

9. Le règlement 2022/2554 sur la résilience opérationnelle numérique du secteur financier (DORA), qui entre en vigueur le 17 janvier 2025.

10. Règlement (UE) 2022/0272 portant sur la cyberrésilience

11. Les produits matériels et logiciels sont confrontés à deux problématiques principales : un faible niveau de cybersécurité qui se traduit par des vulnérabilités généralisées et la fourniture insuffisante de mises à jour de sécurité pour y remédier ; les informations de cybersécurité disponibles sont souvent complexes et limitent le choix éclairé des consommateurs.

12. Les matériels numériques et logiciels font l’objet d’un nombre croissant de cyberattaques, dont le coût annuel est estimé à plus 6 milliards d’€ en Europe selon l’ANSSI

13. En complément des préconisations de la CNIL “10 conseils pour la sécurité de votre système d’information”, l’AFNOR propose un guide sur la prévention et la gestion des fuites d’informations.

14. Le règlement (UE) 2024/1689 du Parlement européen et du Conseil, Artificial Intelligence Act (AI Act), publié le 12 juillet 2024.

15. Le partage d’information porte notamment sur les cybermenaces, les incidents évités, les indicateurs de compromission ou encore des recommandations sur la configuration des outils de cybersécurité.

16. Le règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques Digital Services Act (DSA) impose aux acteurs de l’économie des obligations en matière de lutte contre les contenus illicites et de transparence sur le fonctionnement des algorithmes.

17. Le règlement (UE) 2022/1925 du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur du numérique Digital Markets Act (DMA) a pour objectif principal de cibler les contrôleurs d’accès (les GAFAM principalement).

18. Le règlement (UE) 2023/2854 du 13 décembre 2023 concernant les règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données dit Data Act, entré en vigueur le 11 janvier 2024, ne sera applicable dans tous les États membres qu’à partir du 12 septembre 2025.

19. Toutes les personnes disposant d’un appareil numérique sont susceptibles de recevoir des attaques par hameçonnage visant à leur faire communiquer des informations confidentielles ou bien à télécharger un maliciel (mail contenant une pièce jointe infectée).

Xavier Leonetti

Magistrat et docteur en droit, Xavier Leonetti est chercheur associé auprès de l’université de droit d’Aix-Marseille. Il est l’auteur notamment du Petit RGPD (Dunod, 2021), de Smartsécurité et Cyberjustice (PUF, 2021) et de Cybersécurité : mode d’emploi (PUF, 2024), Le Petit Cyber-compliance (Dunod, 2025).

18 vues

0 j'aime

0 commentaires

NIS 2 et la modernisation des règles en matière de cybersécurité

NIS 2, CER, DORA et CRA : les réglementations en matière de gestion des risques et de résilience cyber

Le développement d’une hygiène numérique dans l’entreprise

Agnès Buzyn

Remettre la science au cœur du débat public

Cybersécurité

introduction