LIVRE BLANC 2023

NIS 2 ET DORA :
2 réglementations européennes
nécessaires mais ambitieuses !
 Livre blanc 2023

ÉDITO

Par Mathieu Isaia, directeur général TheGreenBow

Des réponses multiples

Dans un contexte de menace cyber de plus en plus agressive, la réponse européenne ne s’est pas
faite attendre. Face au contexte géopolitique extrêmement tendu, à la professionnalisation et à l’in-
dustrialisation de la cybercriminalité, l’Europe renforce son arsenal législatif.
Directive NIS 2, règlements DORA, CRA, PART IS sont donc à l’honneur sur ces trois prochaines
années avec l’ambition de sécuriser notre capital informationnel. Les données doivent en effet être
protégées, aussi bien lorsqu’elles sont stockées que lorsqu’elles sont partagées ou échangées. Dans
des secteurs stratégiques ou vitaux comme la finance ou la Défense, le vol et l’altération des don-
nées, représentent de facto un risque systémique.
L’écosystème cyber, privé comme public, muscle aussi ses réponses : évolution de solutions techno-
logiques et logicielles pour contrer ces menaces, renforcement des contingents dédiés pour sensi-
biliser et accompagner la montée en maturité et compétences de l’ensemble de la société, dévelop-
pement et multiplication des dispositifs d’assistance aux victimes, etc.

Une opportunité
Cette « inflation » réglementaire symbolise le réveil de l’Europe pour protéger ses citoyens et leurs
données personnelles tout comme les entreprises face à la menace cyber. Particulièrement ambi-
tieux, ces textes vont permettre d’ancrer le bon niveau de cybersécurité dans leurs organisations
et toute leur chaîne de valeur. Protection globale et résilience sont plus que jamais à l’ordre du jour.
Avec un niveau de responsabilité accru pour les dirigeants par exemple, NIS 2 va incontestablement
créer un avant et un après. La cybersécurité sort enfin de son escarcelle technique pour devenir un
sujet de gouvernance de l’entreprise.

Un immense défi
S’il s’avère que ces réglementations sont et seront plus que bénéfiques, il n’en demeure pas moins
qu’elles sont aussi nombreuses que contraignantes. Ce renforcement en peu de temps et ces exi-
gences manquant parfois de cohérence entre elles, ajoutent au délai restreint de mise en œuvre une
difficulté supplémentaire pour les entreprises nouvellement assujetties notamment.
La mise en conformité sera donc un véritable challenge pour beaucoup d’organisations notamment
les petites et moyennes entreprises qui ne disposent pas de suffisamment de compétences internes
en cybersécurité. L’accompagnement sera donc un élément clé de la réussite de cette approche ré-
glementaire au bénéfice de la cybersécurité de l’ensemble de notre société.
Reste in fine un déficit de connaissance à combler eu égard à ces textes et à leur complexité. C’est
tout l’enjeu de ce livre blanc que nous avons voulu pragmatique pour refléter les enjeux, les obli-
gations, les solutions ; et illustratif grâce à des témoignages de celles et ceux qui construisent la
cybersécurité au quotidien. Un document qui a vocation à aider à la construction d’une feuille de
route vers la conformité pour une résilience cyber essentielle.

3
 Livre blanc 2023

SOMMAIRE

Edito

CHAPITRE I
NIS II : ENJEUX, OBLIGATIONS, SANCTIONS ET MISE EN CONFORMITÉ......................................6
1. Nouveaux secteurs concernés et nouvelle nomenclature................................................................7
2. Les collectivités territoriales et les sous-traitants désormais concernés....................................8
3. Des obligations : quelles nouveautés ?................................................................................................ 10
3.1 L’obligation de gestion des risques
3.1.1 Les politiques de sécurité des systèmes d’information
3.1.2 Les procédures de gestion des incidents
3.1.3 Les mesures de maintien de l’activité lors des périodes de crise,
la reprise des activités et la gestion des crises
3.1.4 L’usage d’outils
3.1.5 Une équipe chargée de la gestion des incidents
3.2 L’obligation d’information
4. Des obligations lourdes pour certaines entités................................................................................ 16
5. Des dirigeants davantage impliqués.................................................................................................... 18
6. Un renforcement du régime des sanctions ? ..................................................................................... 19
7. Une coordination accrue......................................................................................................................... 21
8. Quid de la transposition ?........................................................................................................................ 21
9. NIS 2 et la législation du numérique.................................................................................................... 22

CHAPITRE II
DORA, RENFORCER LA RÉSILIENCE OPÉRATIONNELLE NUMÉRIQUE DU SECTEUR
FINANCIER...................................................................................................................................................... 26
1. Pourquoi ce règlement ? ......................................................................................................................... 26
2. Qui est concerné ?..................................................................................................................................... 27
3. Evolutions réglementaires et sanctions.............................................................................................. 28
3.1 - 5 piliers pour un nouveau cadre de gouvernance et de contrôle interne
3.1.1 Une gouvernance et une gestion efficace des risques liés aux technologies
3.1.2 La gestion des incidents liés aux TIC
3.1.3 Les tests de résilience opérationnelle numérique
3.1.4 Gestion des prestataires de services TIC
3.1.5 Le partage d’informations liées aux cybermenaces
4. Des dispositions pour se mettre en conformité................................................................................ 36

Sources

A propos de THEGREENBOW

5
Livre blanc 2023

CHAPITRE I

ENJEUX, OBLIGATIONS,
SANCTIONS ET MISE
EN CONFORMITÉ

A
doptée par le Parlement européen le 10 novembre 2022, la Directive NIS 2 (Network and
Information Systems Directive) a été publiée au Journal Officiel de l’Union européenne le
27 décembre 2022. Les États membres disposent désormais de 18 mois pour transposer
la directive au sein de leur droit national. En France, la nouvelle réglementation devrait entrer en
vigueur à partir du mois de septembre 2024.

Quelles sont les principaux enjeux de cette nouvelle directive européenne ?

Quelles sont les principales évolutions et obligations ?
Quels secteurs sont concernés ? Comment se préparer et se conformer ?

Selon Thierry Breton, Commissaire européen au commerce intérieur, cette réforme doit « sécuriser
davantage les services critiques pour la société et l’économie ». Et permettre « de moderniser les
règles ». La directive NIS doit ainsi accroître le niveau de cyber-résilience d’acteurs tous secteurs
d’activités confondus, réduire les incohérences au sein de l’Union européenne pour les secteurs
d’activités déjà couverts par la directive NIS et favoriser le partage de l’information et des connais-
sances, ainsi que la capacité collective de préparation et de réponse aux attaques.

La directive NIS 2 s’appuie sur les acquis de la directive NIS 1 mais marque un réel changement de
paradigme, tant à l’échelon national qu’à l’échelon européen. Face à des acteurs malveillants tou-
jours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal proté-
gées, NIS 2 élargit ses objectifs et son périmètre d’applicabilité pour apporter davantage de protec-
tion. L’extension du périmètre prévue par NIS 2 est sans précédent en matière de réglementation
cyber. Les promesses de l’informatique quantique ont de quoi impressionner. Mieux comprendre les
cancers ou la maladie d’Alzheimer, percer les mystères de l’univers, anticiper l’arrivée d’ouragans,
mieux gérer le trafic automobile… l’informatique quantique pourrait améliorer notre quotidien.
Mais en étant capables de résoudre plus rapidement des problèmes mathématiques complexes, des
ordinateurs quantiques pourraient remettre en cause la sécurité des données et toutes les activités
économiques reposant sur le chiffrement.

6
 Livre blanc 2023

1. Nouveaux secteurs concernés et nouvelle

nomenclature

NIS 2 signe donc la fin des Opérateurs de Services Essentiels et crée deux nouvelles typologies d’en-
treprises : les entités essentielles (EE) et les entités importantes (EI). Une distinction qui s’applique
selon la criticité de l’activité de l’entreprise. Autre critère important : la taille de l’organisation lais-
sant craindre notamment une charge de mise en conformité disproportionnée pour les TPE/PME. Ce
dernier point a été précisé, et vise des organisations qui fournissent des services critiques et dont
une faille de sécurité pourrait avoir un impact négatif significatif sur la sécurité publique ou la santé
publique. Ces fournisseurs entrent dans le champ d’application NIS2, quelle que soit leur taille.
A l’échelle nationale, environ 600 types d’entités différentes seront concernés, parmi eux des admi-
nistrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40. Les secteurs
concernés passent de 19 à 35. La directive concerne désormais plus de 160 000 entités au sein de
l’UE.

Les entités essentielles passent de 7 à 11 et comprennent :

l’énergie,
les transports,
le secteur bancaire,
les infrastructures des marchés financiers,
la santé,
l’eau potable,
les eaux usées,
les infrastructures numériques,
la gestion des services TIC,
les administrations publiques,
et l’espace.

On retrouvera ici les fournisseurs de services cloud, les data center ou encore les fournisseurs de
services managés (y compris de sécurité). Elles emploient plus de 50 personnes et ont un chiffre d’af-
faires supérieur à 10 millions d’euros. « Il est possible que beaucoup de RSSI découvriront bientôt la
classification de son SOC managé comme entité essentielle au sens NIS 2… » souligne Garance Ma-
thias, avocate associée, fondatrice de Mathias Avocats. La première des actions est donc pour chaque
entité de déterminer si elle est affectée par NIS2. « Dès lors qu’il fut vraisemblable que nous entrions
dans le champ des nouvelles entités importantes, j’ai pris l’initiative de mandater notre Conseil pour
réaliser une étude de NIS 2 et ses impacts concrets sur le Groupement. La première chose est de dé-
finir le périmètre de nos activités concernées, clarifier le service essentiel, mettre en place le niveau
de protection 1 : analyse, protection, correction. Cela s’appuie sur notre démarche cybersécurité déjà
en place. Dans un second temps, nous devrons travailler sur le niveau 2 : résilience et continuité. Tout
cela devra être mis en face des exigences de NIS 2 pour vérifier notre conformité sur le périmètre
concerné » témoigne Fabrice Bru, directeur cybersécurité du groupe Les Mousquetaires.
Un questionnement partagé par de nombreux acteurs : « Au regard de la volumétrie d’opérateurs
qui va être adressée, il va être nécessaire d’expliquer les modalités de gouvernance « qui décide ? qui
contrôle ? qui déploie ? » soutient Olivier Ligneul, en charge du CGEA (collège des grandes entreprises
et administrations) du CESIN.
7
Livre blanc 2023

Les 6 entités importantes sont :

1. Services postaux et de courrier

2. Gestion des déchets

3. Fabrication, production et distribution de produits chimiques

4. Production, transformation et distribution des denrées alimentaires

5. Fabrication

6. Fournisseurs numériques

La directive ne s’appliquera pas aux entités exerçant des activités dans des domaines tels que la dé-
fense ou la sécurité nationale, la sécurité publique et l’application des lois, ni au pouvoir judiciaire,
aux parlements et aux banques centrales.

« Le secteur de la Chimie était concerné par NIS 1 pour certains acteurs par le biais de la Loi de
Programmation Militaire. Pour les nouveaux acteurs assujettis, généralement des PME, la directive
suscite des premières interrogations. Il s’agit d’un domaine d’activité où la culture cybersécurité
doit encore se développer. Pour autant de nombreuses questions subsistent, et un dialogue renfor-
cé est nécessaire pour mieux appréhender les contours de cette directive, ses impacts et les actions
qui vont devoir en découler, dont la question de la proportionnalité des obligations. » témoigne Si-
mon Gianordoli, Responsable ChemTech, Transformation Numérique & PME/ETI au sein de France
Chimie.

2. Collectivités territoriales
et les sous-traitants désormais concernés

Oubliés de la première version, les sous-traitants et prestataires de services ayant un accès à une
infrastructure critique seront également soumis à la directive NIS 2.
La sécurité de la chaîne d’approvisionnement, dont les acteurs du numérique, fait l’objet d’un focus
spécifique. Une première en Europe.
Autre nouveauté, et non des moindres, les administrations centrales des Etats-membres ainsi que
certaines collectivités territoriales intègreront également le périmètre de NIS 2.

Les sociétés de prestations de services et autres ESN auront notamment l’obligation de prévenir
en moins de 72 heures tout incident de sécurité, afin d’endiguer la propagation de l’attaque. Les
petites et moyennes entreprises devraient ainsi chercher à recruter rapidement un profil RSSI
pour répondre aux nouvelles exigences de sécurité et ainsi continuer à travailler auprès des grands
comptes. De quoi renforcer la tension qui pèse d’ores et déjà sur le secteur en matière de ressources
humaines.

8
 Livre blanc 2023

« Le plan France Relance est un atout pour les collectivités pour déterminer si elles sont concernées
par NIS 2 et appréhender leur niveau de maturité. Avec cette nouvelle directive, nous passons du
déclaratif à la mise en œuvre. Il est donc essentiel de cartographier son système d’information, dis-
poser d’un outil d’analyse de risques, et de mettre en place des procédures. La sensibilisation sera
un enjeu majeur, tout comme le partage d’informations. Il va également falloir créer des postes de
RSSI car il est vital de disposer de compétences dédiées pour réaliser les analyses, comprendre les
résultats, communiquer en interne et assurer le contact avec l’écosystème et l’ANSSI. Paris, Lyon,
Marseille et les grandes métropoles sont déjà prêtes. Pour ce qui est des collectivités de plus petite
taille, beaucoup reste à faire et un accompagnement sera nécessaire. Le rôle des délégués régio-
naux de l’ANSSI pourrait ainsi évoluer. Des services mutualisés doivent être envisagés. » explique
Jérôme Poggi, Responsable de la Sécurité des Systèmes Industriels de la Ville de Marseille.

Le VPN Français,

l’allié cybersécurité du secteur public

« Parce que la force de la France se trouve dans son esprit collectif et sa dé-
termination à préserver les libertés de chacun, TheGreenBow propose aux
collectivités territoriales une offre dédiée : “Le VPN Français” pour protéger
les connexions distantes pour moins d’1€ par mois. TheGreenBow est le pre-
mier fournisseur européen de technologies VPN à obtenir il y a 10 ans déjà une
certification Critères Communs EAL3+, une qualification standard et un agré-
ment Diffusion Restreinte OTAN et UE pour notre client VPN Windows. Ce
VPN se veut multiplateforme (disponible pour tous les terminaux (ordinateurs,
tablettes, smartphones) et tous les OS (Windows, Linux, Mac, iOs, Android) et
universel (interopérable avec la majorité des concentrateurs VPN du marché
et compatibles avec tous les systèmes d’authentification.) Robuste et de qua-
lité avec des visas de sécurité de l’ANSSI, le VPN français est simple à installer
et rapidement adopté par les utilisateurs », explique Mathieu Isaia, Directeur
général TheGreenBow.

Le plan France Relance est un atout pour les collectivités

pour déterminer si elles sont concernées par NIS 2 et
appréhender leur niveau de maturité. Avec cette nouvelle
directive, nous passons du déclaratif à la mise en œuvre.
Il est donc essentiel de cartographier son système
d’information, disposer d’un outil d’analyse de risques, et
de mettre en place des procédures. »
Jérôme Poggi

9
Livre blanc 2023

3. Des obligations : quelles nouveautés ?

Ces entités essentielles et importantes devront « prendre des mesures techniques, opérationnelles
et organisationnelles appropriées pour gérer les risques liés à la sécurité des réseaux et des sys-
tèmes d’information. »
Deux obligations fondamentales à la charge des Etats Membres sont à préciser : l’obligation de ges-
tion des risques et l’obligation d’information.

3.1 L’obligation de gestion des risques

Les mesures visées sont fondées sur une approche « tous risques », et comprennent :

3.1.1 LES POLITIQUES DE SÉCURITÉ DES SYSTÈMES D’INFORMATION

L’analyse des risques et la prise en compte des cybermenaces définie par le règlement 2019/881
relatif à l’ENISA et à la certification de cybersécurité des technologies de l’information et des
communications, comme : « toute circonstance, tout événement ou toute action potentiels sus-
ceptibles de nuire ou de porter autrement atteinte aux réseaux et systèmes d’information, aux
utilisateurs de tels systèmes et à d’autres personnes, ou encore de provoquer des interruptions
de ces réseaux et systèmes ».

Ces entités essentielles et importantes devront « prendre des

mesures techniques, opérationnelles et organisationnelles
appropriées pour gérer les risques liés à la sécurité des réseaux
et des systèmes d’information. »

« Ce volet sera compliqué à mettre en œuvre pour les collectivités car au même titre que le Rè-
glement Général de Sécurité, il faudrait que ce soit viral pour que la responsabilité s’applique aux
prestataires. » soutient Jérôme Poggi, RSSI de la Ville de Marseille et d’ajouter « une dimension mul-
ti-risques est aussi à prendre en compte. Pour ce qui nous concerne, une étude scientifique annonce
que des tsunamis pourraient avoir lieu d’ici à 10 ans, sur le bord de la Méditerranée. Nous devons
prendre en compte et anticiper cette percussion des risques car cette menace environnementale
représente un risque pour notre système d’information avec une salle des machines à déplacer par
exemple. »

« La directive NIS 2, tout comme la LPM, contribuent à une prise de conscience de la nécessité de
maîtriser les risques cyber, et c’est une excellente chose. Pour autant, beaucoup reste à modéliser.
Nos installations sont multiples et nos architectures très diverses. Cela complique cette modélisa-
tion. » témoigne Eric Vautier, RSSI Groupe ADP.P.

10
 Livre blanc 2023

Il s’agit d’une démarche à mettre en place par les professionnels en

cybersécurité pour leur permettre de signaler des vulnérabilités qu’ils
découvrent afin que celles-ci puissent être rapidement et efficacement
corrigées par les fournisseurs de service. À cette fin, une base de données
des vulnérabilités connues sera tenue par l’Agence de l’Union européenne
pour la cybersécurité (ENISA). »
Garance Mathias

3.1.2 LES PROCÉDURES DE GESTION DES INCIDENTS

La détection et la remédiation des vulnérabilités, définies dans la directive NIS 2 comme : « une
faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une
cybermenace ».

La détection des incidents, définis comme : « un événement compromettant la disponibilité, l’au-

thenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un
traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent acces-
sible ».

3.1.3 LES MESURES DE MAINTIEN DE L’ACTIVITÉ LORS DES PÉRIODES DE CRISE,

PAR EXEMPLE LA GESTION DES SAUVEGARDES ET LA REPRISE DES ACTIVITÉS,
ET LA GESTION DES CRISES
Le traitement des incidents est défini comme : « toutes les actions et procédures visant à préve-
nir, détecter, analyser et contenir un incident ou à y répondre et à y remédier ». NIS 2 étend les
obligations de déclaration de tout incident susceptible de causer des dommages opérationnels ou
financiers importants (incluant les incidents potentiels). Elle introduit également des dispositions
précises sur le processus de notification des incidents (y compris le calendrier et le contenu des
rapports), ainsi que l’obligation de nommer une équipe dédiée à la gestion de ces derniers. Elle en-
courage le processus connu sous le nom de «vulnerability disclosure». « Il s’agit d’une démarche à
mettre en place par les professionnels en cybersécurité pour leur permettre de signaler des vulné-
rabilités qu’ils découvrent afin que celles-ci puissent être rapidement et efficacement corrigées par
les fournisseurs de service. À cette fin, une base de données des vulnérabilités connues sera tenue
par l’Agence de l’Union européenne pour la cybersécurité (ENISA). A noter également l’obligation
de signaler tout incident de sécurité est renforcée. Les entités affectées disposeront d’un délai de
24 heures pour signaler un incident à compter du moment où il est identifié, et devront fournir un
rapport dans un délai maximum d’un mois suivant cette notification initiale. » témoigne Garance
Mathias, avocate associée, fondatrice de Mathias Avocats. Dans les 72h après l’incident, le signale-
ment devrait être précisé avec l’évaluation de l’impact réel.

11
Livre blanc 2023

La directive élargit également les pouvoirs des autorités de contrôle par les autorités nationales,
en autorisant un contrôle ex ante pour les opérateurs essentiels, et ex post pour les opérateurs
importants. Elle intègre des mécanismes de surveillance plus exigeants à l’égard des autorités
nationales afin d’harmoniser les régimes de sanctions. « La typologie des audits, des contrôles
et des procédures devra être précisée. Cela donnera lieu à des décrets et des arrêtés issus de la
transposition de la directive en droit français. » explique Garance Mathias, avocate associée,
fondatrice de Mathias Avocats et d’ajouter : « Les autorités nationales, comme l’ANSSI, vont avoir des
prérogatives renforcées dans le cadre des contrôles ainsi qu’un pouvoir de sanction administrative
renforcée. En effet, la directive NIS 2 prévoit que les autorités compétentes nationales devront
disposer de pouvoirs coercitifs leur permettant d’imposer des mesures d’exécution aux entités
essentielles et importantes telles que des inspections sur place et des contrôles à distance, des
audits de sécurité réguliers et ciblés, des demandes d’informations nécessaires à l’évaluation ex
post des mesures de gestion des risques en matière de cybersécurité, des demandes d’accès à
des données, à des documents et à des informations nécessaires à l’accomplissement de leurs
tâches de supervision. Les autorités compétentes devront également être en mesure d’émettre
des avertissements, des injonctions et d’imposer des amendes administratives ou de demander à
l’organe compétent en droit national de prononcer lesdites amendes. »

« Des capacités d’audit supplémentaires vont être nécessaires. Ce sera compliqué, mais ce ne sera
pas Armageddon. N’oublions pas que la cybersécurité est une démarche au long cours. Il faut ainsi
percevoir nos actions dans une approche d’amélioration continue. » souligne Eric Vautier, RSSI
Groupe ADP.

3.1.4 L’USAGE D’OUTILS

L’usage d’outils cryptographiques de chiffrement des données, la sécurité des ressources
humaines, des politiques de contrôle d’accès et la gestion des actifs, l’utilisation de solutions
d’authentification à plusieurs facteurs ou d’authentification continue, de communications
vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence
au sein de l’entité, selon les besoins.

« Les communications sécurisées sont vitales. De même de nombreux besoins vont survenir en
matière de SOC et d’EDR. Dans le contexte actuel, il me paraît primordial de privilégier des solutions
souveraines. » déclare Jérôme Poggi, RSSI de la Ville de Marseille.

Des capacités d’audit supplémentaires vont être

nécessaires. Ce sera compliqué, mais ce ne sera
pas Armageddon. N’oublions pas que
la cybersécurité est une démarche au long cours.
Il faut ainsi percevoir nos actions dans
une approche d’amélioration continue. »
Eric Vautier

12
 Livre blanc 2023

Contrôler les accès distants avec un VPN

Le développement de la sous-traitance amène les prestataires à effectuer des missions dans les murs
de l’entreprise ou dans des locaux extérieurs. Les développeurs, les ingénieurs ou les consultants en
sous-traitance ont souvent besoin d’accéder à des ressources extrêmement critiques depuis leur
poste de travail. La confidentialité des projets R&D et donc le contrôle de l’accès à l’organisation
deviennent un enjeu majeur. Pour empêcher l’interception de données mais surtout cloisonner
son système d’information et contenir les accès des sous-traitants à un périmètre restreint, un
donneur d’ordre peut contraindre ses sous-traitants à déployer un client VPN dont il a le contrôle.
L’administrateur peut ainsi restreindre les accès des tierces parties dans son système d’information.
L’ouverture d’un tunnel spécifique permet d’établir une liaison sécurisée et exclusive avec les sous-
traitants. Par ce moyen, l’administrateur accorde un accès restreint aux ressources internes aux
postes équipés d’un client VPN qu’il a configuré avec des protocoles et des certificats numériques
qu’il maîtrise totalement. Acteur majeur des technologies VPN, TheGreenBow a conçu une gamme
de client VPN pour permettre aux entreprises donneuses d’ordre de protéger les connexions depuis
des postes de travail (Windows, macOs, Linux), des smartphones ou des tablettes (Android, iOS)
vers leur système d’information.

3.1.5 UNE ÉQUIPE CHARGÉE DE LA GESTION DES INCIDENTS

La nouvelle réglementation impose une obligation de gestion des risques associés à l’ensemble
des organismes tiers, appartenant à la supply chain des acteurs concernés par la directive
(sous-traitants, fournisseurs, etc.),

Des mesures garantissant des procédures d’audit de ces dernières mises en place, les pratiques de
base en matière de cyberhygiène et la formation à la cybersécurité sont de rigueur. La solidité et
l’efficacité de ces différentes procédures seront examinées périodiquement par le biais d’audits.

3.2 L’obligation d’information

La directive NIS 2 met à la charge des entités subissant un incident important des obligations de
notification.

Au sens de l’article 23 de la directive NIS 2, un incident important est caractérisé par le fait que
l’incident litigieux :

• a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des
pertes financières pour l’entité concernée et

• a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des
dommages matériels, corporels ou moraux considérables.

En cas d’incident important, l’entité concernée devra le notifier à son Centre de Réponse aux
Incidents de Sécurité Informatique (CSIRT) ou à l’autorité compétente dans les 24 heures puis par
une notification d’incident dans les 72 heures. Cette notification devra, le cas échéant, contenir des
éléments permettant à ces derniers d’identifier si ledit incident a un impact transfrontière.

L’entité concernée devra aussi notifier, sans retard injustifié, aux destinataires de leurs services, les
incidents importants susceptibles de nuire à la fourniture desdits services.
13
Livre blanc 2023

10 measures to be compliant

#1 Risk analysis and information system security policies

#2 Incident handling (prevention, detection, and response to incidents)

#3 Business continuity and crisis management

#4 Supply chain security

#5 Security in network and information systems acquisition, development and maintenance,

including vulnerability handling and disclosure;

#6 Policies and procedures (testing and auditing) to assess the effectiveness of cybersecurity risk
management measures;

#7 Basic cyber hygiene practices and cybersecurity training;

#8 Policies and procedures regarding the use of cryptography and, where appropriate,
encryption;

#9 Human resources security, access control policies and asset management;

#10 The use of multi-factor authentication or continuous authentication solutions.

secured voice, video and text communications and secured emergency
communication systems.

La première chose à faire est de s’assurer que l’on respecte les règles
de base. Cela passe d’abord par l’établissement d’une cartographie
exhaustive de son système d’information. L’entreprise doit se demander :
quels sont nos actifs matériels (serveurs, PC…) et immatériels (logiciels
de base, logiciel métier…) ? Et ainsi, cartographier son système
d’information par activité métier (RH, comptabilité, commercial…). »

Une fois qu’elle est parvenue à cartographier jusqu’au plus petit détail (bande de paiement can-
tine, borne d’ouverture parking, etc.), elle doit chercher à connaître l’ensemble de ses flux réseaux,
d’échanges entre ses logiciels : qui échange avec qui ? Ces échanges et ces accès sont-ils logiques
ou justifiés ? Il convient ensuite d’identifier l’ensemble des comptes utilisateurs, en particulier les
comptes à privilèges.

Une fois que tout cela a correctement été identifié, l’on peut commencer à entrer dans le vif du su-
jet, et notamment, chercher à gérer les comptes utilisateurs selon la règle du « moindre privilège »,
puis gérer les arrivées/départs pour supprimer tous les comptes inutiles.

14
 Livre blanc 2023

Il faut s’atteler par ailleurs à segmenter les flux et les réseaux. Dans cette hypothèse, l’achat de logi-
ciel(s) ou de matériel (pare-feu, firewall, antivirus…) commence à s’envisager, tout comme le recours
à des prestataires. Ce sont des coûts d’investissement certes, mais des coûts forcément rentables
sur le long terme. » détaille Sébastien Morey, Responsable du Pôle cybersécurité de l’Agence régio-
nale du numérique et de l’Intelligence artificielle (ARNia), ainsi que du CSIRT (Computer Security
Incident Response Team) régional Bourgogne-Franche-Comté.

« La question de la proportionnalité doit être abordée pour ce qui concerne certaines obligations
pour les entreprises de secteurs d’activités en émergence afin de ne pas pénaliser économiquement
leur montée en puissance » témoigne Olivier Ligneul, en charge du CGEA (collège des grandes en-
treprises et administrations) du CESIN et d’ajouter « le caractère automatisé rendu nécessaire par
cette actualisation de la directive, va nécessiter la création de plateformes, de portails, ce qui com-
pliquera la mise en conformité pour les petites structures qui auront besoin d’un accompagnement
spécifique. »

« Nous avons encore des interrogations à savoir : les exigences de sécurité pour les opérateurs d’im-
portance vitale, déjà élevées, vont-elles être rehaussées avec la directive NIS 2 ? Quelles typologies
de PME vont être exactement concernées ? Des centaines de sites chimie pourraient alors être
concernés. Et tous ne disposent pas d’un niveau de maturité cyber homogène.
Par ailleurs, le nouveau critère relatif à la perte de production reste flou. Il aura pour autant des
des implications conséquentes sur les entreprises. Cela devrait être un des points éclaircis avec la
transposition en droit français. » détaille Simon Gianordoli, Responsable ChemTech, Transforma-
tion Numérique & PME/ETI au sein de France Chimie.

« La mise en œuvre du dispositif opérationnel a été conçue pour répondre aux besoins des Etats,
par les Etats, ce qui était nécessaire. Cependant, les opérateurs sont en grande majorité des ac-
teurs du secteur privé. Quel sera le processus de coordination de la gestion de crise cyber et de-
communication des incidents des Etats vis-à-vis des opérateurs, dont certains sont présents dans
plusieurs pays européens ? Le processus de qualification des vulnérabilités effectuée par les Etats
pourrait être enrichi par les contextes de processus métiers maitrisés par les opérateurs » propose
Olivier Ligneul, en charge du CGEA (collège des grandes entreprises et administrations) du CESIN
et d’ajouter « l’échange d’informations est vital en cybersécurité et cette directive offre l’opportu-
nité d’étendre le cercle de confiance, en y intégrant l’ensemble des flux d’informations à l’échelle de
l’Europe, pour tous les opérateurs de chaque secteur au coeur même des schémas de communica-
tion. Il me semble que cette approche apporterait de la fluidité et faciliterait le passage à l’échelle.
Le partage d’informations est très compliqué, notamment dans le domaine aérien. Nous avons par
exemple une réglementation spécifique, Part-IS qui introduit des exigences pour l’identification et
la gestion des risques liés à la sécurité de l’information qui pourraient affecter la sécurité de l’avia-
tion civile. Elle établit les exigences relatives à la détection des événements liés et des incidents
pouvant impacter la sécurité aérienne. Les dispositions seront applicables à partir de février 2026.
Comment allons-nous faire converger les exigences de NIS 2 et de Part-IS ? Ce volet de la NIS 2 est
donc très structurant mais très difficile à mettre en œuvre dans les délais impartis. » détaille Eric
Vautier, RSSI Groupe ADP.

La mise en œuvre du dispositif opérationnel a été conçue

pour répondre aux besoins des Etats, par les Etats, ce qui
était nécessaire. »
Eric Vautier
15
Livre blanc 2023

Si les dispositions seront applicables à partir d’octobre 2025 pour les organisations relevant de
l’acte délégué « il le sera à partir de février 2026 pour toutes les autres organisations et autorités
compétentes couvertes par l’acte d’exécution. Comment allons-nous faire converger les exigences
de NIS 2 et de Part-IS ? Ce volet de NIS 2 est donc très structurant mais très difficile à mettre en
oeuvre dans les délais impartis. » ajoute Eric Vautier, RSSI Groupe ADP.

4. Des obligations lourdes pour certaines entités

Ces nouvelles obligations pourraient bien être lourdes à mettre en place pour certaines entreprises.
Au-delà des grandes entreprises qui ont les moyens de mettre en place ces contraintes, même si cela
a un coût, et des pure player qui ont déjà intégré ces nouvelles règles dans leur modèle d’affaires dès
leur création, les entreprises de plus petites tailles vont avoir des difficultés notamment financières
mais aussi techniques pour se mettre en conformité. L’application d’une telle politique de sécurité
impliquera un investissement financier dans des produits de cybersécurité. Qu’il soit sous la forme
d’outil d’analyse de risques, de SOC, d’EDR ou XDR, de VPN… la réponse à ces exigences peut de-
venir complexe pour certaines collectivités et PME qui rencontrent déjà un retard dans l’utilisation
d’outils de cybersécurité ainsi que dans le recrutement de compétences internes dédiées à leurs uti-
lisations. Les acteurs nouvellement soumis à la réglementation devraient faire face à une augmen-
tation maximale de 22% des dépenses actuellement engagées en matière de sécurité, contre une
hausse de 12% pour les entités déjà soumise à la directive NIS. Ces investissements pouvant mener
à terme à la réduction des coûts de gestion des incidents de cybersécurité : 11,3 milliards d’euros
sur 10 ans selon l’analyse d’impact. Pour les budgets nationaux et les administrations, une augmen-
tation estimée à environ 20-30% des ressources serait à prévoir à court et moyen terme (chiffres
selon l’Impact Assessment Report). « La question des compétences est cruciale. Nous savons que
notre secteur comme beaucoup d’autres, va devoir procéder à des recrutements nombreux. Mais le
manque de ressources humaines actuel ne nous permettra pas de répondre à tous les besoins. Cela
va nécessairement engendrer des difficultés supplémentaires. » ajoute Simon Gianordoli, Respon-
sable ChemTech, Transformation Numérique & PME/ETI au sein de France Chimie.

Un accompagnement spécifique et des délais supplémentaires seront sans doute nécessaires.

« Le contexte est très délicat, notamment pour les PME, avec les incertitudes bancaires, la crise
énergétique, les enjeux liés aux changements climatiques, l’inflation. Aussi, nous paraît-il important
que l’Etat face preuve de souplesse lors de la transposition, sur le calendrier d’application mais aussi
sur les sanctions. Nous espérons un set de règles plus graduelles. Pour autant, la directive est un
atout indiscutable pour les entreprises et peut représenter un enjeu de compétitivité fort. Cela va
les aider sur les champs de la résilience et de la souveraineté. » poursuit Simon Gianordoli, Respon-
sable ChemTech, Transformation Numérique & PME/ETI au sein de France Chimie.

16
 Livre blanc 2023

D’ici à l’entrée en vigueur de NIS 2, les exigences de NIS 1 demeurent applicables

et l’ANSSI continuera à contrôler leur mise en œuvre. Les futures exigences de NIS
2 s’inscriront dans le prolongement naturel des efforts de NIS 1 et tous les travaux
d’ores et déjà entrepris par les opérateurs seront valorisés dans NIS 2.

Des aides financières sont également accessibles pour accompagner les organisations dans cette
mise en conformité. A l’échelle européenne, le Programme pour une Europe numérique (DIGITAL)
prévoit 7,5 milliards d’euros de financement pour la période 2021- 2027. En France, le plan France
Relance consacre un volet cybersécurité, dont le pilotage a été confié à l’ANSSI. Doté d’un fonds de
136 millions d’euros, il a pour objectif de renforcer la sécurité des administrations, des collectivités,
des établissements de santé et des organismes publics tout en dynamisant l’écosystème industriel
français.

« Pour toutes les entités nouvellement concernées au premier rang desquelles les administrations
publiques et les entreprises de taille moyenne, l’ensemble de ces nouvelles obligations pourrait en
effet être perçu comme lourd à établir techniquement et financièrement. Néanmoins, la cyberme-
nace expose pleinement leur économie : les attaques peuvent aussi bien concerner les données
clients, les données « produits », les secrets de fabrication, les brevets, les chaînes d’approvision-
nement et paralyser l’activité pendant plusieurs semaines. Si à première vue la mise en conformité
peut donc apparaître comme un coût d’investissement supplémentaire, le bénéfice tiré de l’amortis-
sement des conséquences de l’attaque et de la vitesse de réponse pourrait être bien plus rentable.
Cette mise en conformité pourrait même constituer à la longue un véritable argument de valorisa-
tion pour les acteurs privés : nous protégeons vos données, nous protégeons nos propres investis-
sements. » ajoute Sébastien Morey, Responsable du Pôle cybersécurité de l’Agence régionale du
numérique et de l’Intelligence artificielle (ARNia), ainsi que du CSIRT (Computer Security Incident
Response Team) régional Bourgogne-Franche-Comté.

Le regard de l’ANSSI

« L’ANSSI est d’ores et déjà mobilisée pour préparer la transposition de la directive et a engagé un
dialogue avec les associations regroupant toutes les parties prenantes. Elle amorce ainsi une dé-
marche de co-construction avec les futures entités régulées afin de s’assurer de la pertinence et de
la soutenabilité des exigences réglementaires : cette démarche permettra d’obtenir un niveau de
préparation au risque cyber à la fois ambitieux et réaliste. L’ANSSI est bien consciente que certaines
entités découvriront concrètement les enjeux de la cybersécurité. Son accompagnement se maté-
rialisera par une action de sensibilisation et, si nécessaire, la mise à disposition de nouveaux outils. »
déclare Yves VERHOEVEN, Sous-Directeur Stratégie de l’ANSSI.

L’ANSSI conseille à chaque entité de se préparer dès aujourd’hui. Pour les petites et moyennes en-
treprises qui intègreront le périmètre, le Guide des TPE/PME constitue par exemple une base solide
de mesures concrètes et pérennes. Par ailleurs, pour les entités déjà désignées au titre de NIS 1, il
n’est pas d’actualité de relâcher l’effort ! D’ici à l’entrée en vigueur de NIS 2, les exigences de NIS 1
demeurent applicables et l’ANSSI continuera à contrôler leur mise en œuvre. Les futures exigences
de NIS 2 s’inscriront dans le prolongement naturel des efforts de NIS 1 et tous les travaux d’ores et
déjà entrepris par les opérateurs seront valorisés dans NIS 2.

17
Livre blanc 2023

5. Des dirigeants davantage impliqués

La responsabilité des dirigeants des entités essentielles et importantes, détaillée dans l’article 20
intitulé « gouvernance » est renforcée, sous le contrôle des Etats membres.

• Les Etats membres veillent à ce que les organes de direction des entités essentielles et impor-
tantes approuvent les mesures de gestion des risques en matière de cybersécurité prises par ces
entités afin de se conformer à la directive, supervisent sa mise en œuvre et puissent être tenus
responsables de la violation de leurs obligations par ces entités.
• Les Etats membres veillent à ce que les membres des organes de direction des entités essentielles
et importantes soient tenus de suivre une formation et ils encouragent les entités essentielles et
importantes à offrir régulièrement une formation similaire aux membres de leur personnel afin
que ceux-ci acquièrent des connaissances et des compétences suffisantes pour déterminer les
risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact
sur les services fournis par l’entité.

« Ce renforcement de la formation du top et du middle management est une excellente chose. C’est
un aspect qui va surprendre mais cela est essentiel. Nous avons déjà initié cette démarche, mais elle
va se renforcer sous l’impulsion de la réglementation. Cela permet in fine de véritablement sortir
d’un sujet d’expert et de faire de la cybersécurité un sujet de société. » témoigne Eric Vautier, RSSI
Groupe ADP.

Concrètement, NIS 2 permet aux autorités des Etats membres de tenir les dirigeants personnel-
lement responsables si une négligence grave est prouvée après un incident de sécurité. « Les au-
torités peuvent ainsi ordonner aux organisations en situation de manquement de rendre publics
les aspects de non-conformité avec la directive. Ou encore de faire une déclaration publique qui
identifie la ou les personnes physiques et morales responsables de la violation, et la nature de cette
violation. » Si l’organisation est une EE, NIS 2 permet aux autorités d’interdire (temporairement) à
une personne d’exercer des fonctions de direction en cas de négligence répétée.

« La directive prévoit une responsabilité des dirigeants, en cas de violation fréquente des obligations
de cybersécurité, les états membres pourront prévoir des sanctions pénales spécifiques : la loi de
transposition devra traitée cette faculté. » précise Garance Mathias, avocate associée, fondatrice
de Mathias Avocats.

Ce renforcement de la formation du top et du middle management

est une excellente chose. C’est un aspect qui va surprendre mais cela est
essentiel. Nous avons déjà initié cette démarche, mais elle va se renforcer
sous l’impulsion de la réglementation. Cela permet in fine de véritablement
sortir d’un sujet d’expert et de faire de la cybersécurité
un sujet de société. »
Eric Vautier

18
 Livre blanc 2023

Cette obligation pour les dirigeants est un autre

point positif de la directive car la cybersécurité
est fractale. La désignation d’un point d’entrée en
matière de gouvernance est cruciale. Désormais,
il ne sera plus possible d’invoquer le fait qu’on ne
savait pas, ou d’arguer d’un manque de budget ou
d’anticipation. »
Eric Vautier

« La règlementation en général et la directive NIS 2 en particulier, nous permettent d’améliorer notre

protection cyber. Cela est valable pour l’ensemble du Groupement. Dans le contexte actuel, cela
me parait vital. En parallèle de la protection des infrastructures, cette protection cyber renforcée
apporte aux métiers une confiance en leurs outils de travail. C’est une démarche bénéfique globale
qui nous permettra in fine plus de résilience. » soutient Fabrice Bru, directeur cybersécurité du
groupe Les Mousquetaires.

6. Un renforcement du régime des sanctions ?

NIS 2 adopte une approche dissuasive en définissant des barèmes de sanctions renforcés. Au-
delà de la responsabilité engagée des décideurs et des cadres dirigeants (les C-level) au sein des
organisations, qui constitue la vraie nouveauté punitive, des amendes administratives sont prévues.
En cas de manquement aux obligations de reporting et de mise en place de mesures de réduction
des risques, elles pourraient atteindre 10 millions d’euros ou 2% de leur chiffre d’affaires annuel
mondial consolidé pourront être infligées (le montant le plus élevé est retenu) pour une EE. Comme
avec le RGPD, le pourcentage est calculé sur la base du CA « groupe » en cas d’amende visant une
filiale. Une EI s’expose quant à elle à une amende administrative d’un montant maximal s’élevant
à au moins 7 millions d’euros, ou à au moins 1,4 % du chiffre d’affaires annuel mondial total de
l’exercice précédent de l’entreprise à laquelle l’entité importante appartient, le montant le plus élevé
étant retenu. En cas de récidive, des sanctions pourraient viser l’équipe de direction. S’agissant de
l’administration, la directive prévoit qu’il appartiendra à chaque Etat membre de déterminer si une
entité publique pourra être ou non sanctionnée. Chaque Etat membre devra également définir les
sanctions associées aux violations de dispositions nationales adoptées conformément NIS 2. Ces
derniers devront veiller à ce que les sanctions administratives prévues par le droit national soient
effectives, proportionnées et dissuasives, compte tenu des circonstances de chaque cas.

19
Livre blanc 2023

La directive NIS 2 prévoit que les autorités compétentes nationales devront disposer de pouvoirs
coercitifs leur permettant d’imposer des mesures d’exécution aux entités essentielles et impor-
tantes telles que des inspections sur place et des contrôles à distance, des audits de sécurité régu-
liers et ciblés, des demandes d’informations nécessaires à l’évaluation ex post des mesures de ges-
tion des risques en matière de cybersécurité, des demandes d’accès à des données, à des documents
et à des informations nécessaires à l’accomplissement de leurs tâches de supervision. Les autorités
compétentes devront également être en mesure d’émettre des avertissements, des injonctions et
d’imposer des amendes administratives ou de demander à l’organe compétent en droit national de
prononcer lesdites amendes (articles 32 et 33).

Les sanctions sont prononcées par l’autorité compétente à l’échelle nationale. En France, cela
pourrait être l’ANSSI mais rien n’est validé. « Qu’en sera t-il de l’autonomie de l’ANSSI ? En effet,
l’ANSSI n’est pas une autorité administrative indépendante comme la CNIL. Par ailleurs, concernant
l’appel d’une sanction, le conseil d’Etat pourrait-il être saisi et sous quels délais ? » questionne
Garance Mathias, avocate associée, fondatrice de Mathias Avocats et d’ajouter : « Il se pose des
enjeux juridiques structurants de gouvernance, de transparence et de conformité par rapport à
notre Etat de droit. »

Les bonnes pratiques

GOUVERNANCE ET SENSIBILISATION
Sensibiliser le top management aux sanctions prévues
Sensibiliser les collaborateurs à la gestion du risque en matière de cybersécurité
Sécuriser la chaîne d’approvisionnement
Planifier et chiffrer l’augmentation du budget alloué à la cyber-protection

PROCEDURES ET TESTS
Sécuriser les réseaux et systèmes d’informations de l’acquisition à la maintenance
Analyser les risques et politiques de sécurité
Effectuer des tests et audits pour évaluer l’efficacité des mesures liées à la cybersécurité
Rationnaliser la réponse aux incidents et assurer la continuité en cas de crise
Désigner un correspondant auprès de l’ANSSI
Surveiller et évaluer les réseaux ou les systèmes d’informations
Procéder au reporting des incidents
Informer les utilisateurs sur les risques inhérents à leurs données personnelles
et les mesures mises en place pour y remédier

Garance Mathias, avocate associée, fondatrice de Mathias Avocats.

20
 Livre blanc 2023

7. Une coordination accrue

La responsabilité du système repose sur 3 types d’intervenants :

• Les « centres de réponse aux incidents de sécurité informatique » (Computer Security Incident
Response Teams – CSIRTs). Il s’agit d’un centre établi par (et dans) chaque État membre, confor-
mément la directive NIS 1, chargé de répondre aux incidents de sécurité.

Les Centres régionaux de réponse aux incidents cyber (les « CSIRT ») occuperont à l’échelle ré-
gionale un rôle différent. Ils s’adresseront aux collectivités, au tissu économique privé (depuis la
PME jusqu’à l’ETI), ainsi qu’aux associations nationales avec un ancrage régional, qui pourront être
conseillés par eux directement.
• Le Groupe de Coopération NIS, qui rédige les lignes directrices à l’intention des autorités natio-
nales et coordonne leur action ;
• EU-CyCLONe (European cyber crises liaison organisation network), nouvelle instance en charge
de la réponse aux incidents de grande échelle.

L’interaction entre ces 3 intervenants devrait permettre d’assurer une coopération transfron-
talière accrue.

Les autorités compétentes devront également être en mesure d’émettre

des avertissements, des injonctions et d’imposer des amendes
administratives ou de demander à l’organe compétent en droit national
de prononcer lesdites amendes (articles 32 et 33).

8. Quid de la transposition ?

« Le mécanisme de la transposition reste peu lisible pour beaucoup d’acteurs, notamment ceux qui
n’étaient pas assujettis à NIS v1. » souligne Olivier Ligneul, en charge du CGEA (collège des grandes
entreprises et administrations) du CESIN et d’ajouter « Un risque de millefeuille réglementaire ap-
parait également. Lorsque plusieurs directives ou règlements, au travers de lois, décrets et arrêtés
s’appliqueront sur un même périmètre, quelle sera le texte qui prévaudra ? Il me semble que des
réflexions doivent être engagées pour conserver de la lisibilité et une cohérence globale. »

21
Livre blanc 2023

NIS 2 a vocation à s’insérer dans les efforts législatifs entrepris par

l’Union européenne pour encadrer l’importance exponentielle prise
par les outils numériques et informatiques.

« NIS 2 aura t-elle des incidences en matière de cyber-assurance ? Cette directive pourrait-elle
encourager un cyber score sectoriel ? Ces questions sont posées par les dirigeants et les directeurs
cybersécurité, RSSI et CISO des entreprises chimiques. Un cyber score sectoriel permettrait
d’établir des critères de convergence. Qu’en sera t-il de la convergence des certifications ISO et
NIS 2 ? Nous espérons obtenir des éléments de précision. » ajoute Simon Gianordoli, Responsable
ChemTech, Transformation Numérique & PME/ETI au sein de France Chimie.

9. NIS 2 et la législation du numérique

NIS 2 a vocation à s’insérer dans les efforts législatifs entrepris par l’Union européenne pour enca-
drer l’importance exponentielle prise par les outils numériques et informatiques.

La directive a été alignée sur la législation sectorielle et se coordonne avec les textes suivants :

• le projet de directive relatif à la résilience des entités critiques (CER), qui prévoit des obligations
visant à assurer le maintien des services essentiels et leur sécurité face aux menaces physiques.
• le règlement dit « cyber-résilience » également en cours de rédaction. Ce dernier se reposera ainsi
sur les définitions « d’incident » et de « vulnérabilité » établies par la directive NIS 2.
• le projet de règlement « DORA » (Digital Operational Resilience Act) qui prévoit des obligations
relatives à la cybersécurité des acteurs de services financiers.

Au plus tard le 17 juillet 2024 et tous les 18 mois par la suite, EU-CyCLONe soumet au Parlement
européen et au Conseil un rapport évaluant ses travaux.
A cette même date, la Commission adopte des actes d’exécution fixant les exigences techniques et
méthodologiques des mesures concernant les prestataires de services DNS, les registres de noms
TLD, les prestataires de services de cloud, les prestataires de services de centres de données, four-
nisseurs de services cloud, fournisseurs de services de centres de données, fournisseurs de réseaux
de diffusion de contenu, fournisseurs de services gérés, fournisseurs de services de sécurité gérés,
fournisseurs de marchés en ligne, de moteurs de recherche en ligne et de plateformes de services
de réseautage social, et les fournisseurs de services de confiance.

Le 17 janvier 2025, le groupe de coopération établira, avec l’aide de la Commission et de l’ENISA et,
le cas échéant, du réseau des CSIRT, la méthodologie et les aspects organisationnels des examens
par les pairs en vue d’apprendre des expériences partagées, de renforcer la confiance mutuelle,
d’atteindre un niveau commun élevé de cybersécurité, et de renforcer les capacités et les politiques
des États membres en matière de cybersécurité nécessaires à la mise en œuvre de la directive.

22
 Livre blanc 2023

La participation aux examens par les pairs sera volontaire. Les examens par les pairs seront ef-
fectués par des experts en cybersécurité. Ces derniers seront désignés par au moins deux États
membres, différents de l’État membre examiné. Au plus tard le 17 avril 2025, les États membres
établiront une liste des entités essentielles et importantes ainsi que des entités fournissant des ser-
vices d’enregistrement de noms de domaine. Les États membres réexamineront et, le cas échéant,
mettront à jour cette liste régulièrement et au moins tous les deux ans par la suite. A la même date,
et tous les deux ans par la suite, les autorités compétentes notifieront à la Commission et au groupe
de coopération le nombre d’entités essentielles et importantes pour chaque secteur. Au plus tard
le 17 octobre 2027 et tous les 36 mois par la suite, la Commission examine le fonctionnement de la
directive et effectuera son rapport au Parlement européen et au Conseil.

10 étapes pour se mettre en conformité (By Yogosha)

• Déterminez si vous êtes affecté par NIS2

• Sensibilisez le top management aux sanctions et amendes prévues par NIS2

• Éduquez et formez les cadres supérieurs à la gestion du risque en matière de cybersécurité

• Planifiez et chiffrez l’augmentation du budget

• Passez en revue les 10 mesures de gestion du risque de cybersécurité exigées par NIS2

• Rationalisez la réponse aux incidents

• Évaluez la sécurité de la chaîne d’approvisionnement

• Assurez-vous qu’il y a un plan de continuité d’activité et de gestion de crise

• Implémentez un SMSI en tenant compte de NIS2

• Encouragez les méthodes de développement sécurisé

• Mettez en place une politique de divulgation des vulnérabilités

• Effectuez des tests et des audits de sécurité réguliers

NIS 2 a vocation à s’insérer dans les efforts

législatifs entrepris par l’Union européenne
pour encadrer l’importance exponentielle prise
par les outils numériques et informatiques.

23
Livre blanc 2023

« NIS 2 aura t-elle des incidences en matière de

cyber-assurance ? Cette directive pourrait-elle
encourager un cyber score sectoriel ? Ces questions
sont posées par les dirigeants et les directeurs
cybersécurité, RSSI et CISO des entreprises
chimiques. Un cyber score sectoriel permettrait
d’établir des critères de convergence. Qu’en sera t-il
de la convergence des certifications ISO et NIS 2 ?
Nous espérons obtenir des éléments de précision. »
ajoute Simon Gianordoli, Responsable ChemTech,
Transformation Numérique & PME/ETI au sein de
France Chimie.

24
Livre blanc 2023

CHAPITRE II

DORA, RENFORCER LA
RÉSILIENCE OPÉRATIONNELLE
NUMÉRIQUE DU SECTEUR
FINANCIER

Le Règlement Digital Operational Resilience Act (DORA) a également été adopté par le Parlement
Européen puis par le Conseil de l’Union européenne fin novembre avant sa publication au Journal
Officiel de l’UE en décembre 2022.

Le règlement de la Commission européenne « DORA » (Digital Operational Resilience Act) a pour

objectif d’améliorer la résilience opérationnelle informatique des acteurs des services financiers
en mettant en place un cadre de gouvernance et de contrôle interne spécifique (ICT risk manage-
ment framework). Alors que sa mise en œuvre devra être effective fin 2024, quels sont les grands
changements induits par ce règlement qui s’appliquera à tous les Etats membres ? Comment se
préparer et s’y conformer ?

DORA se veut être le règlement européen qui est une déclinaison sectorielle de la directive NIS
pour le secteur financier, un secteur bien habitué des réglementations. Mais si ce règlement n’est
pas nouveau, il se révèle particulièrement exigeant notamment en ce qui concerne la relation
contractuelle avec les prestataires de services informatiques.

1. Pourquoi ce règlement ?

Les transactions bancaires passant par les réseaux et les masses de données personnelles manipu-
lées sont les principaux centres d’intérêt des cybercriminels. L’étude d’IBM x-Force Threat Intelli-
gence Index 2022 révèle une nouvelle fois que le secteur financier est bien l’un des secteurs les plus
attaqués, juste après l’industrie manufacturière. Selon cette étude, le secteur financier concentre-
rait 22% des attaques et incidents relevés en 2021. Ces attaques visant surtout les banques (70%
des attaques contre 16% pour les assurances).

Le risque cyber est désormais bien identifié et suivi par la Banque de France et la Banque Centrale
Européenne en figurant parmi l’ensemble des risques systémiques. La coopération et le partage
d’information entre les institutions, tout comme la conformité aux réglementations en vigueur
(LPM ou directive européenne NIS), sont évidemment incontournables. Selon la Banque de France,
la résilience passe aussi par des initiatives de type « exercices de crise et travaux réglementaires
pour renforcer le système financier face aux attaques cyber ».

26
 Livre blanc 2023

Au-delà de l’impact sur une entité à proprement parlé, le risque craint est celui d’un effondrement
du système bancaire et donc de nos économies. L’Union Européenne l’a bien compris et a décidé
prendre le sujet à bras le corps en approfondissant la notion de risque opérationnel numérique.

Un enjeu d’au moins 100 milliards selon le FMI

Le FMI s’est lancé dans un exercice de quantification des impacts des risques cyber dans 50 pays.
« Les résultats semblent montrer que les pertes annuelles moyennes potentielles imputables
aux cyberattaques pourraient être élevées, à savoir près de 9 % du bénéfice net mondial des
banques ou environ 100 milliards de dollars. Dans un scénario plus pessimiste, où la fréquence des
cyberattaques serait deux fois plus élevée que dans le passé, avec un effet de contagion supérieur,
les pertes pourraient être deux fois et demie à trois fois et demie plus élevées et atteindre 270 à
350 milliards de dollars.
Le cadre peut être utilisé pour analyser des scénarios de risque extrêmes supposant des attaques
massives. Selon la distribution des données collectées, dans un tel scénario, qui représente la tranche
de 5 % des cas les plus graves, les pertes moyennes potentielles pourraient être aussi élevées que
la moitié du bénéfice net des banques, ce qui mettrait en danger l’ensemble du secteur financier. »
Fonds Monétaire International, 2020

2. Qui est concerné ?

DORA s’appliquera en l’état dans tous les pays de l’Union. Le règlement concerne 21 catégories
d’entités du secteur financier, ce qui représente plus de 22 000 entités au sein de l’UE.
• Etablissements de crédit
• Etablissements de paiement
• Etablissements de paiement et de monnaie électronique
• Entreprises d’investissement
• Prestataires de services fournisseurs de services de crypto-actifs
• Emetteurs de jetons référencés comme actifs
• Dépositaires centraux de titres
• Contreparties centrales
• Plateformes de négociation
• Référentiels centraux
• Gestionnaires de fonds d’investissement alternatifs et les sociétés de gestion
• Prestataires de services d’information de données
• Entreprises d’assurance
• Intermédiaires d’assurance et d’assurance d’auxiliaires
• Institutions de retraite professionnelle
• Agences de notation de crédit
• Administrateurs de benchmark
• Prestataires de services de crowdfunding
• Référentiels de titrisation

Des cas particuliers restent à débattre (clauses de revue) dont les systèmes et activités de traitement
des paiements (à 6 mois) et les commissaires aux comptes (à 3 ans). Environ 20 000 organismes
financiers localisés en Europe sont concernés.
27
Livre blanc 2023

Avec la réglementation DORA, les défaillances informatiques ne sont plus uniquement l’affaire de
la DSI et des services de conformité, mais il faut désormais en tenir compte au plus haut niveau.
Les institutions financières doivent mesurer l’impact d’une vulnérabilité ou d’un vol de données. »
Mathieu Isaia

3. Evolutions réglementaires et sanctions

L’une des principales évolutions réglementaires de DORA réside en effet dans la création d’un cadre
de surveillance au niveau de l’UE permettant d’identifier et de superviser les prestataires de ser-
vices TIC (Technologies de l’information et de la communication) jugés « critiques » pour les insti-
tutions financières. « Les tiers « fournisseurs TIC » devront identifier s’ils sont considérés comme
« critiques » sur la base de critères réglementaires. » détaille Garance Mathias, avocate associée,
fondatrice de Mathias Avocats. Chaque prestataire de services TIC « critique » sera contrôlé par
une autorité de supervision qui évaluera si le prestataire de services a mis en place les dispositifs
adéquats de maîtrise des risques liés aux TIC pouvant impacter les institutions financières (article
37).
L’autorité compétente pourra procéder à des contrôles sur pièces ou sur place (articles 33 à 35) et
aura le pouvoir de prononcer des sanctions en cas de non-conformité, notamment des pénalités
financières et des astreintes journalières à un taux de 1% du chiffre d’affaires mondial de la précé-
dente année d’exercice réalisé par le prestataire de services TIC concerné et ce pendant une pé-
riode totale de 6 mois maximum.

Le régulateur pourra également demander aux entités du secteur des services financiers de mettre
fin à leurs accords avec le prestataire en question. Si la responsabilité des tiers est engagée, le futur
règlement DORA ne supprime ou ne réduit pas les responsabilités des banques. « Avec la régle-
mentation DORA, les défaillances informatiques ne sont plus uniquement l’affaire de la DSI et des
services de conformité, mais il faut désormais en tenir compte au plus haut niveau. Les institutions
financières doivent mesurer l’impact d’une vulnérabilité ou d’un vol de données. » soutient Mathieu
Isaia.
Disponibilité, authenticité, intégrité et confidentialité sont les quatre critères clés du règlement qui
rythment la définition des « incidents opérationnels » ou « liés au TIC » de l’article 3, la gouvernance
et l’organisation dans l’article 5 ou encore l’article 9 consacré à la protection et prévention.

Ce règlement n’est pas une nouveauté : les obligations de résilience sont en place depuis longtemps
dans le secteur financier. Néanmoins, DORA regroupe, fédère et harmonise au niveau européen
les réglementations existantes. Opérer des standards non homogènes pour un grand groupe est
complexe. DORA se veut un standard de référence assez ambitieux qui s’appliquera à l’ensemble de
l’Union européenne. Par ailleurs, DORA accroît la sphère d’action des autorités qui ont désormais
la légitimité pour faire entrer dans leur périmètre de surveillance de nouveaux acteurs. Auparavant,
elles avaient la capacité de regarder les services délivrés à un assujetti à une réglementation. Avec
DORA, si elles se rendent compte qu’un prestataire fournit un service à plusieurs établissements
financiers, elles s’intéresseront directement au prestataire dans son ensemble.

28
 Livre blanc 2023

L’impact de DORA sur le monde de l’assurance reste en effet très limité, puisque les obligations
s’appliquent déjà via la directive NIS 2. Le nombre d’acteurs financiers, et donc d’assureurs, qui ne
seraient pas soumis aux obligations DORA reste en conséquence très faible. « Les établissements
de crédit, financiers, seront quant à eux concernés, par les obligations de DORA », illustre Garance
Mathias, avocate associée, fondatrice de Mathias Avocats.

« Nous sommes nouvellement concernés par le règlement DORA et engagés dans une étude et
une analyse d’impacts pour bien comprendre quelles sont nos activités concernées. Nous devrons
mettre tout cela en perspective de nos métiers, décliner une feuille de route et des actions opéra-
tionnelles à mettre en oeuvre. Si cette nouvelle mise en conformité peut inquiéter sous certains
aspects, il me semble essentiel de démontrer de l’engagement de l’organisation dans sa démarche
de mise en conformité. Il s’agit à mon sens d’un processus d’amélioration continue. » déclare Fabrice
Bru, directeur cybersécurité du groupe Les Mousquetaires.

Si la question des grands groupes est assez claire, le niveau imposé aux PME et TPE qui pourrait
remettre en question la vie même de l’entreprise nécessite encore des éclaircissements.

3.1 5 piliers pour un nouveau cadre de gouvernance

et de contrôle interne

• Une gouvernance renforcée et la gestion des risques liés aux TIC (articles 4 à 14)
• La gestion des incidents liés aux TIC (articles 15 à 20)
• Des tests de résilience opérationnelle numérique (articles 21 à 24)
• La gestion des risques liés aux prestataires de services TIC (articles 25 à 39)
• Le partage d’informations liées aux cybermenaces (article 40)

3.1.1 UNE GOUVERNANCE ET UNE GESTION EFFICACE DES RISQUES

LIÉS AUX TECHNOLOGIES
L’article 4 souligne l’importance d’une gouvernance forte placée sous la responsabilité de la
direction. Cette dernière doit d’ores et déjà s’assurer de la mise en place d’une gestion efficace
des risques liés aux technologies. « La pleine responsabilité de l’organe de direction dans la ges-
tion des risques informatiques de l’entité financière » est un principe général qui se décline en
une série d’exigences spécifiques, telles que « la définition de la stratégie de résilience opéra-
tionnelle numérique, l’attribution de rôles et de responsabilités clairs pour toutes les fonctions
liées à l’informatique, un engagement continu dans le contrôle du suivi de la gestion des risques
informatiques, ainsi que dans l’ensemble des processus d’approbation et de contrôle, et une
répartition appropriée des investissements et des formations dans le domaine informatique »
détaille Garance Mathias, avocate associée, fondatrice de Mathias Avocats.

Les établissements de crédit, financiers, seront

quant à eux concernés, par les obligations de
DORA ».

29
Livre blanc 2023

Cela implique :
• la détermination du niveau de tolérance aux risques liés aux technologies,
• l’approbation, la surveillance et la revue périodique de la politique de continuité des activités et du
plan de reprise d’activité liés aux technologies,
• la revue périodique des plans d’audit couvrant les risques informatiques,
• l’approbation et le suivi des contrats d’externalisation de services TIC,
• l’allocation et le suivi périodique des budgets pour répondre aux besoins de résilience opération-
nelle informatique,
• le suivi des incidents informatiques et leurs impacts, ainsi que les réponses apportées, les mesures
de rétablissement et de correction.

Les membres de la direction devront disposer d’une formation spécifique pour comprendre et éva-
luer les risques informatiques ainsi que leurs impacts sur les opérations.

La mise en place d’un cadre de gestion des risques implique notamment une cartographie des
risques, des mécanismes de détection rapide, des procédures de réponse et de rétablissement, etc.
mais aussi un réexamen annuel du cadre de gestion des risques ou encore la réalisation d’audits
internes réguliers.

DORA contraint les organisations à démontrer la mise en œuvre d’une gouvernance du risque
cyber et renforce leur gestion des risques liés aux prestataires de services informatiques. Les
efforts portent principalement sur la résilience opérationnelle et le basculement vers la maîtrise
des systèmes d’information.

Identifier / Prévenir et protéger / Détecter / Répondre et rétablir / Apprendre et évoluer / Communiquer

3.1.2 LA GESTION DES INCIDENTS LIÉS AUX TIC

Le règlement encadre la notification des incidents liés aux TIC et impose aux entités finan-
cières d’établir et de mettre en œuvre un processus de gestion de ces incidents et de les classer
en fonction de critères spécifiques.
Les exigences sont les suivantes :
• la classification des incidents sur la base des critères définis par le règlement
• la formalisation d’un processus de gestion des incidents (indicateurs d’alerte précoce, remon-
tée d’information, communication de crise, etc.)
• la notification des incidents majeurs (notification initiale, rapport intermédiaire, rapport fi-
nal) dans les délais à fixer par les autorités européennes de surveillance.
• l’harmonisation, la centralisation et les retours d’information des notifications d’incidents
• la présentation de rapports d’incidents anonymisés par les autorités de surveillance.

30
 Livre blanc 2023

La déclaration des incidents cyber auprès de différentes autorités, dans

des délais et des formats différents représente un véritable challenge
et pourrait s’avérer être un problème majeur. »

Les entités financières devront reconsidérer leur méthodologie de classification des incidents afin
de se conformer aux exigences du règlement. Les banques devront s’aligner à un langage commun
pour faire face aux incidents. Les entités financières devront également mettre en œuvre les pro-
cessus et mécanismes requis pour être en mesure d’informer rapidement le régulateur en cas d’in-
cident majeur.

La déclaration des incidents cyber auprès de différentes autorités, dans des délais et des formats
différents représente un véritable challenge et pourrait s’avérer être un problème majeur. En effet,
lors de la gestion d’un incident, les équipes sont déjà extrêmement mobilisées. Alourdir les process
n’est dans l’intérêt de personne. Aussi, disposer d’un cadre commun de déclarations est important
à clarifier et définir.

En cas de non-conformité, les astreintes journalières pour régulariser sa situation pourraient s’éle-
ver jusqu’à 1 % du chiffre d’affaires mondial de la société sanctionnée.

Stratégie de communication
• Définir une stratégie de communication en cas d’incidents liés aux TIC ou d’identification de
vulnérabilités majeures vis-à-vis des parties prenantes.

Définir des objectifs TIC alignés avec la stratégie business et le cadre d’appétence aux risques
• Expliquer comment le dispositif de gestion des risques liés aux TIC soutient la stratégie
commerciale et les objectifs de l’institution financière ;
• Définir et fixer les seuils maximum de perturbation des TIC en cohérence avec le cadre d’appétence
aux risques et sur la base d’une analyse des impacts des perturbations liées aux TIC ;
• Définir des objectifs clairs en matière de sécurité de l’information.

« L’encadrement des risques liés aux prestataires TIC implique le suivi complet du risque, de la
conclusion du contrat à son exécution, sa résiliation, y compris la phase post-contractuelle. En
conséquence, découlera la mise à jour des éléments contractuels pour tous contrats conclus entre
une institution financière et un fournisseur de service TIC » détaille Garance Mathias, avocate
associée, fondatrice de Mathias Avocats.

31
Livre blanc 2023

Contenu du contrat : impératives minimales quel que soit le niveau de criticité des prestataires
• Une description complète des services ;
• L’indication des lieux où les données doivent être traitées ;
• Une description complète des niveaux de service accompagnée d’objectifs de performance
quantitatifs et qualitatifs ;
• Des dispositions pertinentes sur l’accessibilité, la disponibilité, l’intégrité, la sécurité et la
protection des données à caractère personnel ;
• Des garanties d’accès, de récupération et de restitution en cas de défaillance des tiers prestataires
de services informatiques ;
• Les délais de préavis et les obligations d’information incombant aux tiers prestataires de services
informatiques ;
• Les droits d’accès, d’inspection et d’audit par l’entité financière ou un tiers désigné ;
• Des droits de résiliation clairs et des stratégies de sortie spécifiques.

3.1.3 LES TESTS DE RÉSILIENCE OPÉRATIONNELLE NUMÉRIQUE

DORA exige la mise en place d’un programme de tests de résilience opérationnelle numérique
(analyses de vulnérabilité, analyses de sources ouvertes, tests fondés sur des scénarios, tests
de performance, tests de bout en bout, tests de pénétration, etc.)

Ces tests devront :

• être réalisés auprès de toutes les entités financières au moins une fois par an
• être appliqués spécifiquement pour les entités financières identifiées comme importantes par les
autorités compétentes, sous forme d’analyses de vulnérabilité, d’analyses de sources ouvertes, de
tests avancés d’outils, de systèmes et de processus informatiques sur la base de tests. Ces tests
seront fondés sur des scénarios, des tests de performance, des tests de bout en bout, des tests de
pénétration, etc.). DORA vise davantage des tests de pénétration que des tests traditionnels de
résilience opérationnelle. Un maintien et un réexamen du programme de tests sera nécessaire.
Ces derniers devront être effectués au moins tous les trois ans.

Chiffrer le flux d’administration

Dans les mesures de protections recommandées par l’ANSSI, figure par exemple un cloisonnement
et des mesures de filtrage réseau adaptés au sein du SI d’administration. C’est dans ce cadre qu’in-
tervient TheGreenBow pour protéger les flux d’administration grâce à un tunnel VPN IPsec. « De-
puis plusieurs mois, nous sommes sollicités sur les périmètres les plus sensibles au sein de groupes
bancaires comme les CERT (Computer Emergency Response Team) et les SOC (Security Operations
Center). Qu’il s’agisse des banques françaises internationales ou des banques centrales, les clients
VPN TheGreenBow leur permettent de sécuriser les connexions de leurs postes les plus confiden-
tiels. Ce sont généralement des postes de travail d’administrateurs ou de membres du COMEX. Puis
une fois la solution éprouvée, ils envisagent alors des déploiements plus massifs auprès d’autres
populations au sein de leurs différentes entités et filiales. » Mathieu Isaia, Directeur général The-
GreenBow.

32
 Livre blanc 2023

Surveiller, tester et améliorer le dispositif

• Analyser le nombre d’incidents majeurs liés aux TIC qui ont été signalés et l’impact de ces inci-
dents sur l’efficacité des mesures de prévention ;
• Définir et mettre en œuvre un programme global de conduite des tests de résilience opération-
nelle numérique.

3.1.4 GESTION DES PRESTATAIRES DE SERVICES TIC

L’article 28 du règlement rappelle dans les principes généraux que « les entités financières qui
ont conclu des accords contractuels pour l’utilisation de services TIC dans le cadre de leurs
activités restent à tout moment pleinement responsables du respect et de l’exécution de toutes
les obligations découlant du présent règlement et du droit applicable aux services financiers ».
Impossible donc de rejeter la responsabilité sur un quelconque prestataire externe. Le
paragraphe 5 de cet article indique ensuite que « lorsque ces accords contractuels portent sur
des fonctions critiques ou importantes, les entités financières prennent en considération, avant
la conclusion des accords, l’utilisation par les prestataires tiers de services TIC des normes les
plus actualisées et les plus élevées en matière de sécurité de l’information. » Autrement dit,
les prestataires de services IT critiques font partie intégrante de l’évaluation des risques et les
entités financières doivent s’assurer de leur hygiène informatique.

Les grands principes du règlement DORA en ce qui concerne le processus d’externalisation

impliquent de :
• Identifier et évaluer la criticité et les risques, tout au long du processus de sélection et d’évaluation
• Disposer des éléments contractuels obligatoires
• Constituer un registre d’informations
• Le suivi permanent de la performance et de la qualité des services fournis par les sous-traitants
La création d’un oversight framework européen est également prévu.

« L’un des premiers défis sera l’évaluation précontractuelle des fournisseurs selon une approche
basée sur les risques. Il faudra donc définir et créer une matrice de priorisation afin de sélectionner
les fournisseurs sur la base de critères prédéfinis encore non communiqués » Garance Mathias,
avocate associée, fondatrice de Mathias Avocats et d’ajouter : « l’évaluation et la gestion des risques
en amont de la contractualisation se fera selon les critères définis par le règlement notamment, des
clauses obligatoires devront intégrer une description des niveaux de services, l’obligation d’assister
l’entité financière en cas d’incident, etc.), et un suivi permanent de la performance et de la qualité du
service sera exigée, etc. »

L’un des premiers défis sera l’évaluation précontractuelle des fournisseurs selon
une approche basée sur les risques. Il faudra donc définir et créer une matrice de
priorisation afin de sélectionner les fournisseurs sur la base de critères prédéfinis
encore non communiqués. »

33
Livre blanc 2023

Gestion des prestataires de services TIC

• Définir une stratégie holistique multi-prestataires de services TIC au niveau de l’entité en
soulignant les dépendances existantes à l’égard des prestataires et justifiant la politique de
passation de marché avec ces prestataires ;
• Revoir le processus de sélection et de contractualisation ainsi que les accords contractuels
conclus entre les prestataires de services TIC afin de s’assurer du respect des exigences définies
par DORA ;
• Tenir et mettre à jour au niveau des entités et, aux niveaux sous-consolidé et consolidé, un registre
d’informations concernant tous les accords contractuels relatifs aux services TIC délivrés par des
prestataires de services.

3.1.5 LE PARTAGE D’INFORMATIONS

3.1.5.a L’usage du chiffrement

L’article 9 « Protection et prévention » du règlement impose d’élaborer une politique de sécurité numé-
rique. Le paragraphe 2 du même article précise les dispositions à prendre pour protéger les informations :
« les entités financières conçoivent, acquièrent et mettent en œuvre des stratégies, des politiques, des
procédures, des protocoles et des outils de sécurité de TIC qui visent à garantir la résilience, la continuité
et la disponibilité des systèmes de TIC, en particulier ceux qui soutiennent des fonctions critiques ou im-
portantes, et à maintenir des normes élevées en matière de disponibilité, d’authenticité, d’intégrité et de
confidentialité des données, que ce soit au repos, en cours d’utilisation ou en transit ». C’est bien le chif-
frement des données qui permet de répondre à l’obligation d’authenticité, d’intégrité et de confidentialité.
« On reconnaît là également les trois avantages intrinsèques d’une solution VPN qui permet spécifique-
ment de protéger ces données quand elles sont « en cours d’utilisation », c’est-à-dire quand un utilisateur
souhaite accéder au SI pour les consulter. » témoigne Arnaud Dufournet, Chief Marketing Officer The-
GreenBow. L’article 30 impose que ces mêmes dispositions pour protéger les informations, soient prises
par les « prestataires tiers de services TIC ». Elles doivent même figurer dans les contrats qui régissent la
relation afin de garantir « la disponibilité, l’authenticité, l’intégrité et la confidentialité en ce qui concerne
la protection des données, y compris les données à caractère personnel ».

DORA introduit également des lignes directrices sur la mise en place d’accords de partage d’informations
entre les établissements financiers afin d’échanger des renseignements liés aux cybermenaces, notam-
ment tactiques, techniques, les procédures, les alertes de cybersécurité et outils de configuration permet-
tant d’établir un environnement sécurisé.

Bien que de nombreuses organisations disposent déjà de tels accords, des questions se posent :
• Comment déterminer quelles informations il convient de partager ?
• Quel sera le canal utilisé pour partager ces informations de manière efficace et sécurisée ?
• Quel processus mettre en place pour collecter, trier et analyser les informations obtenues par les autres
établissements ?

Les entités financières conçoivent, acquièrent et mettent

en œuvre des stratégies, des politiques, des procédures, des
protocoles et des outils de sécurité de TIC qui visent à garantir la
résilience, la continuité et la disponibilité des systèmes de TIC. »

34
 Livre blanc 2023

3.1.5.b Protéger ses communications

Comme pour la cybersécurité, la confiance est un pilier du système financier. « Etant donné l’inter-
connexion des réseaux, un incident interne ou externe remettant en cause l’un de ces quatre prin-
cipes, est de nature à compromettre le système financier. » ajoute Arnaud Dufournet et de préciser :
« Les visas de sécurité de l’ANSSI dont disposent les clients VPN TheGreenBow attestent de leur
haut niveau de sécurité. Leurs usages dans le secteur bancaire peuvent être multiples : protéger
les communications distantes des collaborateurs en télétravail, sécuriser les flux d’administration
grâce à un tunnel VPN IPsec, maîtriser les accès au SI octroyés aux prestataires externes grâce à des
configurations spécifiques du client VPN… »

Etant donné l’interconnexion des réseaux,

un incident interne ou externe remettant
en cause l’un de ces quatre principes,
est de nature à compromettre le système
financier. »
Arnaud Dufournet

Protéger les communications à l’ère du quantique

Pour faire face à la menace quantique, TheGreenBow travaille déjà avec des grandes banques cen-
trales sur des projets de déploiement de clients VPN intégrant des algorithmes de chiffrement ré-
sistants aux attaques quantiques. En 2022, la Banque de France a réalisé avec succès la mise en
oeuvre expérimentale d’une solution de sécurisation de communications par des algorithmes dits
« post-quantiques », c’est-à-dire résistants à la puissance de calcul des futurs ordinateurs quan-
tiques qui, d’ici quelques années, menacent de casser les clés utilisées par les algorithmes actuels.
Conduite par le LAB, l’expérimentation a consisté à mettre en oeuvre, dans une chaîne opération-
nelle complète, une bibliothèque d’algorithmes « quantum résistants », issus de l’appel à contribu-
tions du National Institute of Standards and Technology (NIST), et à la combiner à des algorithmes
actuels pour des échanges sécurisés de données. Elle a bénéficié sur ce projet de l’assistance de
Cryptonext Security et de l’Université Paris-Sorbonne. La Banque de France a ainsi pu vérifier la ca-
pacité de ces algorithmes post-quantiques à s’intégrer dans son système d’information dans une lo-
gique hybride conforme aux préconisations des autorités de sécurité de l’information nationales et
internationales, permettant une évolution souple vers les futurs standards de sécurisation des don-
nées. Cette expérimentation permet à la Banque de France de progresser dans l’acquisition de la
maîtrise de l’intégration dans son système d’information de cette technologie « quantum résistante
» et s’inscrit dans sa démarche de définition d’une stratégie de réponse à la menace quantique. « Au
travers de la mise en oeuvre réussie d’algorithmes post-quantiques, la Banque de France démontre
sa capacité à maîtriser les nouvelles technologies de chiffrement pour rester à l’état de l’art dans la
sécurité de ses communications face aux risques de sécurité que pourrait poser à terme l’informa-
tique quantique » déclare Valérie Fasquelle, Directeur Général Adjoint à la Direction Générale du
Système d’Information de la Banque de France.

35
Livre blanc 2023

4. Des dispositions pour se mettre en conformité

DORA prescrit des exigences fortes concernant la résilience opérationnelle, imposant un champ
d’application beaucoup plus large et des contraintes techniques spécifiques.

Les établissements devraient d’ores et déjà prendre des dispositions afin de se préparer à leur
mise en conformité DORA, par exemple :

• déterminer les fournisseurs qui relèveront du champ d’application,

• débuter la collecte des données qui permettront de consolider le registre d’informations pour
tous les fournisseurs tiers de TIC,
• commencer à définir les scénarios pour les tests de pénétration
• et identifier les forces et faiblesses de leur organisation actuelle afin de constituer une feuille de
route vers la mise en conformité DORA.

L’Autorité de contrôle prudentiel et de résolution (ACPR) invite les assureurs à poursuivre leurs
efforts. « Des progrès doivent encore être accomplis afin d’accroître leur résilience face au risque
cyber et anticiper certains travaux dans la perspective de l’entrée en application en janvier 2025 du
règlement DORA. » déclare t-elle.

Parmi eux :
- systématiser l’analyse des risques et des enjeux de sécurité des SI liés à l’utilisation de solutions
externes et plus particulièrement des services en nuage (cloud) dont le niveau réel de sécurisation
n’est pas mesuré et le dispositif de réversibilité n’est pas toujours prévu. Le pilotage de la sous-
traitance doit également être renforcé ;

- soumettre régulièrement le plan de continuité d’activité à des tests éprouvant sa robustesse et de

réaliser des exercices de simulation de gestion de crise cyber ;

- adapter le système de contrôle interne afin que les trois lignes de défense prennent le risque
cyber pleinement en charge. À cet égard, la fonction de sécurité de l’information doit jouir de
l’indépendance suffisante vis-à-vis des fonctions opérationnelles en matière de technologies
de l’information et de la communication et doit disposer des informations ad hoc pour mesurer,
surveiller et piloter le risque cyber et rendre compte de l’état de la sécurité de l’information de
l’entreprise aux instances dirigeantes.

La question des normes, la granularité dans la gestion des incidents, le niveau pour ce qui concerne
les déclarations des incidents, le seuil de remontée des déclarations d’incidents, etc. sont des
éléments qui devraient être précisés en fin d’année 2023.

36
 Livre blanc 2023

En 2024, suivront des tests d’intrusion avec les nouveaux frameworks soumis à DORA. Cela sera
précisé sur les pentest.

Gestion du risque Incidents Tests Risque de tiers

RTS on ICT risk RTS on criteria for the RTS to specify RTS to specify the policy
management framework classification of ICT-related threat-led penetration on ICT services
(31/12/2023) incidents testing aspects (31/12/2023)
(31/12/2023) (30/06/2024)

RTS on simplified ICT risk RTS on reporting of major ITS to establish the
management framework ICT-related incidents templates for the register
(31/12/2023) (30/06/2024) of information
(31/12/2023)

ITS to establish the RTS on subcontracting

reporting for major critical or important
ICT-related incidents functions
(30/06/2024) (30/06/2024)

GL on aggregating GL on the structure

costs/losses caused of oversight
by major ICT incidents (30/06/2023)
(30/06/2024)

RTS to specify information

on oversight conduct
(30/06/2024)

Le 17 juillet prochain au plus tard, la Commission européenne publiera des lignes directrices clari-
fiant la zone de partage entre DORA et NIS 2 et apportera plus de visibilité aux entités concernées
par ces deux textes. De nouvelles informations devraient être diffusées autour de DORA et des
dispositions techniques d’ici à la fin de l’année. Une dernière communication est prévue pour juin
2024. Avec une entrée en application le 17 janvier 2025, il reste à peine deux ans pour les acteurs
du secteur financier et leurs prestataires informatiques pour se conformer au règlement DORA.

Des progrès doivent encore être accomplis afin

d’accroître leur résilience face au risque cyber
et anticiper certains travaux dans la perspective
de l’entrée en application en janvier 2025 du
règlement DORA. »

37
Livre blanc 2023

SOURCES
https://ec.europa.eu/commission/presscorner/detail/fr/ip_22_2985
SOUVERAINETÉ NUMÉRIQUE - RAYNA STAMBOLIYSKA - 14 DÉCEMBRE 2022
https://www.ssi.gouv.fr/directive-nis-2-ce-qui-va-changer-pour-les-entreprises-et-ladministration-francaises/
https://www.stormshield.com/fr/actus/directive-europeenne-nis2-nouveautes/
https://www.usine-digitale.fr/article/cybersecurite-dans-l-ue-ce-que-va-changer-la-nouvelle-directive-nis2.
N2064302
https://www.droit-technologie.org/actualites/directive-nis-2-renforcer-la-securite-it-en-europe/
https://www.cybersecurite-solutions.com/directive-europeenne-nis2-adoption-changements-et-prochaines-etapes/
https://www.avocats-mathias.com/cybersecurite/nis-2-quels-enjeux-obligations-et-sanction
https://www.avocats-mathias.com/cybersecurite/directive-nis-2-quelle-securite-pour-demain
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=uriserv%3AOJ.L_.2022.333.01.0080.01.
FRA&toc=OJ%3AL%3A2022%3A333%3ATOC
https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX:52020PC0829
https://www.ssi.gouv.fr/actualite/blue-olex-2020-les-etats-membres-de-lunion-europeenne-lancent-le-reseau-de-
coordination-cyclone/
https://www.eba.europa.eu/sites/default/documents/files/documents/10180/2761380/6565c789-487b-4528-8a17-
4b94147dc5b8/EBA%20revised%20Guidelines%20on%20outsourcing_FR.pdf?retry=1
Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL sur la résilience opérationnelle
numérique du secteur financier et modifiant les règlements (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014
et (UE) nº 909/2014
Communiqué de presse, Conseil de l’Union européenne – Finance numérique : accord provisoire concernant le
règlement sur la résilience opérationnelle numérique – 11 mai 2022
EBA – Rapport final sur les orientations relatives à l’externalisation – 25 février 2019
Banque Centrale Européenne – Supervision bancaire : Cartographie des risques du MSU et tableau des vulnérabilités
pour 2021
Europe’s digital migration during COVID-19 : getting past the broad trends and averages – McKinsey Digital – July 24,
2020
Banque Centrale Européenne – Supervision bancaire : Are banks Cyber-proof in the digital world ? – 22 octobre 2020
https://www.mazars.fr/Accueil/Insights/Le-Blog/Que-retenir-du-projet-de-reglement-DORA
https://blog-conformite.esbanque.fr/reglement-dora-la-resilience-operationnelle-informatique-sans-frontieres/
https://www.revue-banque.fr/dossiers/la-cyber-resilience-a-un-nom-dora-JP12480393
https://www.pwc.fr/fr/expertises/gestion-des-risques/maitrise-des-risques-technologiques/dora-exigences-
reglementaires-europeennes.html
https://www.contrepoints.org/2022/12/04/444684-directive-nis2-les-enjeux-de-la-nouvelle-cybersecurite-
europeenne
https://www.argusdelassurance.com/juriscope/cyber-la-directive-nis-2-entre-en-vigueur.210431
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12475-Cybersecurity-review-of-EU-rules-
on-the-security-of-network-and-information-systems_en
Communiqué de presse, La Banque de France réalise avec Cryptonext Security une expérimentation de sécurité post-
quantique, septembre 2022.
https://yogosha.com/fr/blog/nis2-directive-guide-conformite/#en_resume
https://acpr.banque-france.fr/synthese-de-lenquete-declarative-de-2022-sur-la-gestion-de-la-securite-des-
systemes-dinformation-des
https://acpr.banque-france.fr/sites/default/files/media/2022/12/06/2022_presentations_matin_session_1.pdf

38
 Livre blanc 2023

© THEGREENBOW - 2023

Auteure : Mélanie BENARD-CROZAT

Conception graphique : Laurence CORCHIA
Tous droits de reproduction et adaptation, même partielles, réservés pour tous
pays.
Une copie ou une reproduction par quelque procédé que ce soit, photographie,
microfilm, bande magnétique, disque ou autre, constitue une contrefaçon
passible des peines prévues par la loi du 11 mars 1957 sur la reproduction des
droits d’auteur.

© Mélanie BENARD-CROZAT - ESPRIT COM’

© THEGREENBOW
Imprimé en France

39
 A propos de TheGreenBow
Créé en 1998, TheGreenBow est un éditeur français de logiciels de Cybersécurité qui fournit des
solutions VPN de confiance et dont l’expertise repose sur la sécurisation des communications. En
2013, TheGreenBow devient le premier opérateur à obtenir une certification CC EAL3+ de l’ANSSI
pour son client VPN Windows. Acteur de référence des Clients VPN, nos logiciels sont distribués
dans plus de 70 pays. Depuis fin 2019, TheGreenBow détient le label « Utilisé par les armées fran-
çaises » pour le produit TheGreenBow VPN Client Windows Certifié CC EAL3+. Ce label atteste de
la mise en œuvre du logiciel par les services du Ministère des Armées.

www.thegreenbow.com