Académique Documents
Professionnel Documents
Culture Documents
NIS 2 ET DORA :
2 réglementations européennes
nécessaires mais ambitieuses !
Livre blanc 2023
ÉDITO
Une opportunité
Cette « inflation » réglementaire symbolise le réveil de l’Europe pour protéger ses citoyens et leurs
données personnelles tout comme les entreprises face à la menace cyber. Particulièrement ambi-
tieux, ces textes vont permettre d’ancrer le bon niveau de cybersécurité dans leurs organisations
et toute leur chaîne de valeur. Protection globale et résilience sont plus que jamais à l’ordre du jour.
Avec un niveau de responsabilité accru pour les dirigeants par exemple, NIS 2 va incontestablement
créer un avant et un après. La cybersécurité sort enfin de son escarcelle technique pour devenir un
sujet de gouvernance de l’entreprise.
Un immense défi
S’il s’avère que ces réglementations sont et seront plus que bénéfiques, il n’en demeure pas moins
qu’elles sont aussi nombreuses que contraignantes. Ce renforcement en peu de temps et ces exi-
gences manquant parfois de cohérence entre elles, ajoutent au délai restreint de mise en œuvre une
difficulté supplémentaire pour les entreprises nouvellement assujetties notamment.
La mise en conformité sera donc un véritable challenge pour beaucoup d’organisations notamment
les petites et moyennes entreprises qui ne disposent pas de suffisamment de compétences internes
en cybersécurité. L’accompagnement sera donc un élément clé de la réussite de cette approche ré-
glementaire au bénéfice de la cybersécurité de l’ensemble de notre société.
Reste in fine un déficit de connaissance à combler eu égard à ces textes et à leur complexité. C’est
tout l’enjeu de ce livre blanc que nous avons voulu pragmatique pour refléter les enjeux, les obli-
gations, les solutions ; et illustratif grâce à des témoignages de celles et ceux qui construisent la
cybersécurité au quotidien. Un document qui a vocation à aider à la construction d’une feuille de
route vers la conformité pour une résilience cyber essentielle.
3
Livre blanc 2023
SOMMAIRE
Edito
CHAPITRE I
NIS II : ENJEUX, OBLIGATIONS, SANCTIONS ET MISE EN CONFORMITÉ......................................6
1. Nouveaux secteurs concernés et nouvelle nomenclature................................................................7
2. Les collectivités territoriales et les sous-traitants désormais concernés....................................8
3. Des obligations : quelles nouveautés ?................................................................................................ 10
3.1 L’obligation de gestion des risques
3.1.1 Les politiques de sécurité des systèmes d’information
3.1.2 Les procédures de gestion des incidents
3.1.3 Les mesures de maintien de l’activité lors des périodes de crise,
la reprise des activités et la gestion des crises
3.1.4 L’usage d’outils
3.1.5 Une équipe chargée de la gestion des incidents
3.2 L’obligation d’information
4. Des obligations lourdes pour certaines entités................................................................................ 16
5. Des dirigeants davantage impliqués.................................................................................................... 18
6. Un renforcement du régime des sanctions ? ..................................................................................... 19
7. Une coordination accrue......................................................................................................................... 21
8. Quid de la transposition ?........................................................................................................................ 21
9. NIS 2 et la législation du numérique.................................................................................................... 22
CHAPITRE II
DORA, RENFORCER LA RÉSILIENCE OPÉRATIONNELLE NUMÉRIQUE DU SECTEUR
FINANCIER...................................................................................................................................................... 26
1. Pourquoi ce règlement ? ......................................................................................................................... 26
2. Qui est concerné ?..................................................................................................................................... 27
3. Evolutions réglementaires et sanctions.............................................................................................. 28
3.1 - 5 piliers pour un nouveau cadre de gouvernance et de contrôle interne
3.1.1 Une gouvernance et une gestion efficace des risques liés aux technologies
3.1.2 La gestion des incidents liés aux TIC
3.1.3 Les tests de résilience opérationnelle numérique
3.1.4 Gestion des prestataires de services TIC
3.1.5 Le partage d’informations liées aux cybermenaces
4. Des dispositions pour se mettre en conformité................................................................................ 36
Sources
A propos de THEGREENBOW
5
Livre blanc 2023
CHAPITRE I
ENJEUX, OBLIGATIONS,
SANCTIONS ET MISE
EN CONFORMITÉ
A
doptée par le Parlement européen le 10 novembre 2022, la Directive NIS 2 (Network and
Information Systems Directive) a été publiée au Journal Officiel de l’Union européenne le
27 décembre 2022. Les États membres disposent désormais de 18 mois pour transposer
la directive au sein de leur droit national. En France, la nouvelle réglementation devrait entrer en
vigueur à partir du mois de septembre 2024.
Selon Thierry Breton, Commissaire européen au commerce intérieur, cette réforme doit « sécuriser
davantage les services critiques pour la société et l’économie ». Et permettre « de moderniser les
règles ». La directive NIS doit ainsi accroître le niveau de cyber-résilience d’acteurs tous secteurs
d’activités confondus, réduire les incohérences au sein de l’Union européenne pour les secteurs
d’activités déjà couverts par la directive NIS et favoriser le partage de l’information et des connais-
sances, ainsi que la capacité collective de préparation et de réponse aux attaques.
La directive NIS 2 s’appuie sur les acquis de la directive NIS 1 mais marque un réel changement de
paradigme, tant à l’échelon national qu’à l’échelon européen. Face à des acteurs malveillants tou-
jours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal proté-
gées, NIS 2 élargit ses objectifs et son périmètre d’applicabilité pour apporter davantage de protec-
tion. L’extension du périmètre prévue par NIS 2 est sans précédent en matière de réglementation
cyber. Les promesses de l’informatique quantique ont de quoi impressionner. Mieux comprendre les
cancers ou la maladie d’Alzheimer, percer les mystères de l’univers, anticiper l’arrivée d’ouragans,
mieux gérer le trafic automobile… l’informatique quantique pourrait améliorer notre quotidien.
Mais en étant capables de résoudre plus rapidement des problèmes mathématiques complexes, des
ordinateurs quantiques pourraient remettre en cause la sécurité des données et toutes les activités
économiques reposant sur le chiffrement.
6
Livre blanc 2023
NIS 2 signe donc la fin des Opérateurs de Services Essentiels et crée deux nouvelles typologies d’en-
treprises : les entités essentielles (EE) et les entités importantes (EI). Une distinction qui s’applique
selon la criticité de l’activité de l’entreprise. Autre critère important : la taille de l’organisation lais-
sant craindre notamment une charge de mise en conformité disproportionnée pour les TPE/PME. Ce
dernier point a été précisé, et vise des organisations qui fournissent des services critiques et dont
une faille de sécurité pourrait avoir un impact négatif significatif sur la sécurité publique ou la santé
publique. Ces fournisseurs entrent dans le champ d’application NIS2, quelle que soit leur taille.
A l’échelle nationale, environ 600 types d’entités différentes seront concernés, parmi eux des admi-
nistrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40. Les secteurs
concernés passent de 19 à 35. La directive concerne désormais plus de 160 000 entités au sein de
l’UE.
On retrouvera ici les fournisseurs de services cloud, les data center ou encore les fournisseurs de
services managés (y compris de sécurité). Elles emploient plus de 50 personnes et ont un chiffre d’af-
faires supérieur à 10 millions d’euros. « Il est possible que beaucoup de RSSI découvriront bientôt la
classification de son SOC managé comme entité essentielle au sens NIS 2… » souligne Garance Ma-
thias, avocate associée, fondatrice de Mathias Avocats. La première des actions est donc pour chaque
entité de déterminer si elle est affectée par NIS2. « Dès lors qu’il fut vraisemblable que nous entrions
dans le champ des nouvelles entités importantes, j’ai pris l’initiative de mandater notre Conseil pour
réaliser une étude de NIS 2 et ses impacts concrets sur le Groupement. La première chose est de dé-
finir le périmètre de nos activités concernées, clarifier le service essentiel, mettre en place le niveau
de protection 1 : analyse, protection, correction. Cela s’appuie sur notre démarche cybersécurité déjà
en place. Dans un second temps, nous devrons travailler sur le niveau 2 : résilience et continuité. Tout
cela devra être mis en face des exigences de NIS 2 pour vérifier notre conformité sur le périmètre
concerné » témoigne Fabrice Bru, directeur cybersécurité du groupe Les Mousquetaires.
Un questionnement partagé par de nombreux acteurs : « Au regard de la volumétrie d’opérateurs
qui va être adressée, il va être nécessaire d’expliquer les modalités de gouvernance « qui décide ? qui
contrôle ? qui déploie ? » soutient Olivier Ligneul, en charge du CGEA (collège des grandes entreprises
et administrations) du CESIN.
7
Livre blanc 2023
5. Fabrication
6. Fournisseurs numériques
La directive ne s’appliquera pas aux entités exerçant des activités dans des domaines tels que la dé-
fense ou la sécurité nationale, la sécurité publique et l’application des lois, ni au pouvoir judiciaire,
aux parlements et aux banques centrales.
« Le secteur de la Chimie était concerné par NIS 1 pour certains acteurs par le biais de la Loi de
Programmation Militaire. Pour les nouveaux acteurs assujettis, généralement des PME, la directive
suscite des premières interrogations. Il s’agit d’un domaine d’activité où la culture cybersécurité
doit encore se développer. Pour autant de nombreuses questions subsistent, et un dialogue renfor-
cé est nécessaire pour mieux appréhender les contours de cette directive, ses impacts et les actions
qui vont devoir en découler, dont la question de la proportionnalité des obligations. » témoigne Si-
mon Gianordoli, Responsable ChemTech, Transformation Numérique & PME/ETI au sein de France
Chimie.
2. Collectivités territoriales
et les sous-traitants désormais concernés
Oubliés de la première version, les sous-traitants et prestataires de services ayant un accès à une
infrastructure critique seront également soumis à la directive NIS 2.
La sécurité de la chaîne d’approvisionnement, dont les acteurs du numérique, fait l’objet d’un focus
spécifique. Une première en Europe.
Autre nouveauté, et non des moindres, les administrations centrales des Etats-membres ainsi que
certaines collectivités territoriales intègreront également le périmètre de NIS 2.
Les sociétés de prestations de services et autres ESN auront notamment l’obligation de prévenir
en moins de 72 heures tout incident de sécurité, afin d’endiguer la propagation de l’attaque. Les
petites et moyennes entreprises devraient ainsi chercher à recruter rapidement un profil RSSI
pour répondre aux nouvelles exigences de sécurité et ainsi continuer à travailler auprès des grands
comptes. De quoi renforcer la tension qui pèse d’ores et déjà sur le secteur en matière de ressources
humaines.
8
Livre blanc 2023
« Le plan France Relance est un atout pour les collectivités pour déterminer si elles sont concernées
par NIS 2 et appréhender leur niveau de maturité. Avec cette nouvelle directive, nous passons du
déclaratif à la mise en œuvre. Il est donc essentiel de cartographier son système d’information, dis-
poser d’un outil d’analyse de risques, et de mettre en place des procédures. La sensibilisation sera
un enjeu majeur, tout comme le partage d’informations. Il va également falloir créer des postes de
RSSI car il est vital de disposer de compétences dédiées pour réaliser les analyses, comprendre les
résultats, communiquer en interne et assurer le contact avec l’écosystème et l’ANSSI. Paris, Lyon,
Marseille et les grandes métropoles sont déjà prêtes. Pour ce qui est des collectivités de plus petite
taille, beaucoup reste à faire et un accompagnement sera nécessaire. Le rôle des délégués régio-
naux de l’ANSSI pourrait ainsi évoluer. Des services mutualisés doivent être envisagés. » explique
Jérôme Poggi, Responsable de la Sécurité des Systèmes Industriels de la Ville de Marseille.
« Parce que la force de la France se trouve dans son esprit collectif et sa dé-
termination à préserver les libertés de chacun, TheGreenBow propose aux
collectivités territoriales une offre dédiée : “Le VPN Français” pour protéger
les connexions distantes pour moins d’1€ par mois. TheGreenBow est le pre-
mier fournisseur européen de technologies VPN à obtenir il y a 10 ans déjà une
certification Critères Communs EAL3+, une qualification standard et un agré-
ment Diffusion Restreinte OTAN et UE pour notre client VPN Windows. Ce
VPN se veut multiplateforme (disponible pour tous les terminaux (ordinateurs,
tablettes, smartphones) et tous les OS (Windows, Linux, Mac, iOs, Android) et
universel (interopérable avec la majorité des concentrateurs VPN du marché
et compatibles avec tous les systèmes d’authentification.) Robuste et de qua-
lité avec des visas de sécurité de l’ANSSI, le VPN français est simple à installer
et rapidement adopté par les utilisateurs », explique Mathieu Isaia, Directeur
général TheGreenBow.
9
Livre blanc 2023
Ces entités essentielles et importantes devront « prendre des mesures techniques, opérationnelles
et organisationnelles appropriées pour gérer les risques liés à la sécurité des réseaux et des sys-
tèmes d’information. »
Deux obligations fondamentales à la charge des Etats Membres sont à préciser : l’obligation de ges-
tion des risques et l’obligation d’information.
« Ce volet sera compliqué à mettre en œuvre pour les collectivités car au même titre que le Rè-
glement Général de Sécurité, il faudrait que ce soit viral pour que la responsabilité s’applique aux
prestataires. » soutient Jérôme Poggi, RSSI de la Ville de Marseille et d’ajouter « une dimension mul-
ti-risques est aussi à prendre en compte. Pour ce qui nous concerne, une étude scientifique annonce
que des tsunamis pourraient avoir lieu d’ici à 10 ans, sur le bord de la Méditerranée. Nous devons
prendre en compte et anticiper cette percussion des risques car cette menace environnementale
représente un risque pour notre système d’information avec une salle des machines à déplacer par
exemple. »
« La directive NIS 2, tout comme la LPM, contribuent à une prise de conscience de la nécessité de
maîtriser les risques cyber, et c’est une excellente chose. Pour autant, beaucoup reste à modéliser.
Nos installations sont multiples et nos architectures très diverses. Cela complique cette modélisa-
tion. » témoigne Eric Vautier, RSSI Groupe ADP.P.
10
Livre blanc 2023
11
Livre blanc 2023
La directive élargit également les pouvoirs des autorités de contrôle par les autorités nationales,
en autorisant un contrôle ex ante pour les opérateurs essentiels, et ex post pour les opérateurs
importants. Elle intègre des mécanismes de surveillance plus exigeants à l’égard des autorités
nationales afin d’harmoniser les régimes de sanctions. « La typologie des audits, des contrôles
et des procédures devra être précisée. Cela donnera lieu à des décrets et des arrêtés issus de la
transposition de la directive en droit français. » explique Garance Mathias, avocate associée,
fondatrice de Mathias Avocats et d’ajouter : « Les autorités nationales, comme l’ANSSI, vont avoir des
prérogatives renforcées dans le cadre des contrôles ainsi qu’un pouvoir de sanction administrative
renforcée. En effet, la directive NIS 2 prévoit que les autorités compétentes nationales devront
disposer de pouvoirs coercitifs leur permettant d’imposer des mesures d’exécution aux entités
essentielles et importantes telles que des inspections sur place et des contrôles à distance, des
audits de sécurité réguliers et ciblés, des demandes d’informations nécessaires à l’évaluation ex
post des mesures de gestion des risques en matière de cybersécurité, des demandes d’accès à
des données, à des documents et à des informations nécessaires à l’accomplissement de leurs
tâches de supervision. Les autorités compétentes devront également être en mesure d’émettre
des avertissements, des injonctions et d’imposer des amendes administratives ou de demander à
l’organe compétent en droit national de prononcer lesdites amendes. »
« Des capacités d’audit supplémentaires vont être nécessaires. Ce sera compliqué, mais ce ne sera
pas Armageddon. N’oublions pas que la cybersécurité est une démarche au long cours. Il faut ainsi
percevoir nos actions dans une approche d’amélioration continue. » souligne Eric Vautier, RSSI
Groupe ADP.
« Les communications sécurisées sont vitales. De même de nombreux besoins vont survenir en
matière de SOC et d’EDR. Dans le contexte actuel, il me paraît primordial de privilégier des solutions
souveraines. » déclare Jérôme Poggi, RSSI de la Ville de Marseille.
12
Livre blanc 2023
Le développement de la sous-traitance amène les prestataires à effectuer des missions dans les murs
de l’entreprise ou dans des locaux extérieurs. Les développeurs, les ingénieurs ou les consultants en
sous-traitance ont souvent besoin d’accéder à des ressources extrêmement critiques depuis leur
poste de travail. La confidentialité des projets R&D et donc le contrôle de l’accès à l’organisation
deviennent un enjeu majeur. Pour empêcher l’interception de données mais surtout cloisonner
son système d’information et contenir les accès des sous-traitants à un périmètre restreint, un
donneur d’ordre peut contraindre ses sous-traitants à déployer un client VPN dont il a le contrôle.
L’administrateur peut ainsi restreindre les accès des tierces parties dans son système d’information.
L’ouverture d’un tunnel spécifique permet d’établir une liaison sécurisée et exclusive avec les sous-
traitants. Par ce moyen, l’administrateur accorde un accès restreint aux ressources internes aux
postes équipés d’un client VPN qu’il a configuré avec des protocoles et des certificats numériques
qu’il maîtrise totalement. Acteur majeur des technologies VPN, TheGreenBow a conçu une gamme
de client VPN pour permettre aux entreprises donneuses d’ordre de protéger les connexions depuis
des postes de travail (Windows, macOs, Linux), des smartphones ou des tablettes (Android, iOS)
vers leur système d’information.
Des mesures garantissant des procédures d’audit de ces dernières mises en place, les pratiques de
base en matière de cyberhygiène et la formation à la cybersécurité sont de rigueur. La solidité et
l’efficacité de ces différentes procédures seront examinées périodiquement par le biais d’audits.
La directive NIS 2 met à la charge des entités subissant un incident important des obligations de
notification.
Au sens de l’article 23 de la directive NIS 2, un incident important est caractérisé par le fait que
l’incident litigieux :
• a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des
pertes financières pour l’entité concernée et
• a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des
dommages matériels, corporels ou moraux considérables.
En cas d’incident important, l’entité concernée devra le notifier à son Centre de Réponse aux
Incidents de Sécurité Informatique (CSIRT) ou à l’autorité compétente dans les 24 heures puis par
une notification d’incident dans les 72 heures. Cette notification devra, le cas échéant, contenir des
éléments permettant à ces derniers d’identifier si ledit incident a un impact transfrontière.
L’entité concernée devra aussi notifier, sans retard injustifié, aux destinataires de leurs services, les
incidents importants susceptibles de nuire à la fourniture desdits services.
13
Livre blanc 2023
10 measures to be compliant
#6 Policies and procedures (testing and auditing) to assess the effectiveness of cybersecurity risk
management measures;
#8 Policies and procedures regarding the use of cryptography and, where appropriate,
encryption;
La première chose à faire est de s’assurer que l’on respecte les règles
de base. Cela passe d’abord par l’établissement d’une cartographie
exhaustive de son système d’information. L’entreprise doit se demander :
quels sont nos actifs matériels (serveurs, PC…) et immatériels (logiciels
de base, logiciel métier…) ? Et ainsi, cartographier son système
d’information par activité métier (RH, comptabilité, commercial…). »
Une fois qu’elle est parvenue à cartographier jusqu’au plus petit détail (bande de paiement can-
tine, borne d’ouverture parking, etc.), elle doit chercher à connaître l’ensemble de ses flux réseaux,
d’échanges entre ses logiciels : qui échange avec qui ? Ces échanges et ces accès sont-ils logiques
ou justifiés ? Il convient ensuite d’identifier l’ensemble des comptes utilisateurs, en particulier les
comptes à privilèges.
Une fois que tout cela a correctement été identifié, l’on peut commencer à entrer dans le vif du su-
jet, et notamment, chercher à gérer les comptes utilisateurs selon la règle du « moindre privilège »,
puis gérer les arrivées/départs pour supprimer tous les comptes inutiles.
14
Livre blanc 2023
Il faut s’atteler par ailleurs à segmenter les flux et les réseaux. Dans cette hypothèse, l’achat de logi-
ciel(s) ou de matériel (pare-feu, firewall, antivirus…) commence à s’envisager, tout comme le recours
à des prestataires. Ce sont des coûts d’investissement certes, mais des coûts forcément rentables
sur le long terme. » détaille Sébastien Morey, Responsable du Pôle cybersécurité de l’Agence régio-
nale du numérique et de l’Intelligence artificielle (ARNia), ainsi que du CSIRT (Computer Security
Incident Response Team) régional Bourgogne-Franche-Comté.
« La question de la proportionnalité doit être abordée pour ce qui concerne certaines obligations
pour les entreprises de secteurs d’activités en émergence afin de ne pas pénaliser économiquement
leur montée en puissance » témoigne Olivier Ligneul, en charge du CGEA (collège des grandes en-
treprises et administrations) du CESIN et d’ajouter « le caractère automatisé rendu nécessaire par
cette actualisation de la directive, va nécessiter la création de plateformes, de portails, ce qui com-
pliquera la mise en conformité pour les petites structures qui auront besoin d’un accompagnement
spécifique. »
« Nous avons encore des interrogations à savoir : les exigences de sécurité pour les opérateurs d’im-
portance vitale, déjà élevées, vont-elles être rehaussées avec la directive NIS 2 ? Quelles typologies
de PME vont être exactement concernées ? Des centaines de sites chimie pourraient alors être
concernés. Et tous ne disposent pas d’un niveau de maturité cyber homogène.
Par ailleurs, le nouveau critère relatif à la perte de production reste flou. Il aura pour autant des
des implications conséquentes sur les entreprises. Cela devrait être un des points éclaircis avec la
transposition en droit français. » détaille Simon Gianordoli, Responsable ChemTech, Transforma-
tion Numérique & PME/ETI au sein de France Chimie.
« La mise en œuvre du dispositif opérationnel a été conçue pour répondre aux besoins des Etats,
par les Etats, ce qui était nécessaire. Cependant, les opérateurs sont en grande majorité des ac-
teurs du secteur privé. Quel sera le processus de coordination de la gestion de crise cyber et de-
communication des incidents des Etats vis-à-vis des opérateurs, dont certains sont présents dans
plusieurs pays européens ? Le processus de qualification des vulnérabilités effectuée par les Etats
pourrait être enrichi par les contextes de processus métiers maitrisés par les opérateurs » propose
Olivier Ligneul, en charge du CGEA (collège des grandes entreprises et administrations) du CESIN
et d’ajouter « l’échange d’informations est vital en cybersécurité et cette directive offre l’opportu-
nité d’étendre le cercle de confiance, en y intégrant l’ensemble des flux d’informations à l’échelle de
l’Europe, pour tous les opérateurs de chaque secteur au coeur même des schémas de communica-
tion. Il me semble que cette approche apporterait de la fluidité et faciliterait le passage à l’échelle.
Le partage d’informations est très compliqué, notamment dans le domaine aérien. Nous avons par
exemple une réglementation spécifique, Part-IS qui introduit des exigences pour l’identification et
la gestion des risques liés à la sécurité de l’information qui pourraient affecter la sécurité de l’avia-
tion civile. Elle établit les exigences relatives à la détection des événements liés et des incidents
pouvant impacter la sécurité aérienne. Les dispositions seront applicables à partir de février 2026.
Comment allons-nous faire converger les exigences de NIS 2 et de Part-IS ? Ce volet de la NIS 2 est
donc très structurant mais très difficile à mettre en œuvre dans les délais impartis. » détaille Eric
Vautier, RSSI Groupe ADP.
Si les dispositions seront applicables à partir d’octobre 2025 pour les organisations relevant de
l’acte délégué « il le sera à partir de février 2026 pour toutes les autres organisations et autorités
compétentes couvertes par l’acte d’exécution. Comment allons-nous faire converger les exigences
de NIS 2 et de Part-IS ? Ce volet de NIS 2 est donc très structurant mais très difficile à mettre en
oeuvre dans les délais impartis. » ajoute Eric Vautier, RSSI Groupe ADP.
Ces nouvelles obligations pourraient bien être lourdes à mettre en place pour certaines entreprises.
Au-delà des grandes entreprises qui ont les moyens de mettre en place ces contraintes, même si cela
a un coût, et des pure player qui ont déjà intégré ces nouvelles règles dans leur modèle d’affaires dès
leur création, les entreprises de plus petites tailles vont avoir des difficultés notamment financières
mais aussi techniques pour se mettre en conformité. L’application d’une telle politique de sécurité
impliquera un investissement financier dans des produits de cybersécurité. Qu’il soit sous la forme
d’outil d’analyse de risques, de SOC, d’EDR ou XDR, de VPN… la réponse à ces exigences peut de-
venir complexe pour certaines collectivités et PME qui rencontrent déjà un retard dans l’utilisation
d’outils de cybersécurité ainsi que dans le recrutement de compétences internes dédiées à leurs uti-
lisations. Les acteurs nouvellement soumis à la réglementation devraient faire face à une augmen-
tation maximale de 22% des dépenses actuellement engagées en matière de sécurité, contre une
hausse de 12% pour les entités déjà soumise à la directive NIS. Ces investissements pouvant mener
à terme à la réduction des coûts de gestion des incidents de cybersécurité : 11,3 milliards d’euros
sur 10 ans selon l’analyse d’impact. Pour les budgets nationaux et les administrations, une augmen-
tation estimée à environ 20-30% des ressources serait à prévoir à court et moyen terme (chiffres
selon l’Impact Assessment Report). « La question des compétences est cruciale. Nous savons que
notre secteur comme beaucoup d’autres, va devoir procéder à des recrutements nombreux. Mais le
manque de ressources humaines actuel ne nous permettra pas de répondre à tous les besoins. Cela
va nécessairement engendrer des difficultés supplémentaires. » ajoute Simon Gianordoli, Respon-
sable ChemTech, Transformation Numérique & PME/ETI au sein de France Chimie.
16
Livre blanc 2023
Des aides financières sont également accessibles pour accompagner les organisations dans cette
mise en conformité. A l’échelle européenne, le Programme pour une Europe numérique (DIGITAL)
prévoit 7,5 milliards d’euros de financement pour la période 2021- 2027. En France, le plan France
Relance consacre un volet cybersécurité, dont le pilotage a été confié à l’ANSSI. Doté d’un fonds de
136 millions d’euros, il a pour objectif de renforcer la sécurité des administrations, des collectivités,
des établissements de santé et des organismes publics tout en dynamisant l’écosystème industriel
français.
« Pour toutes les entités nouvellement concernées au premier rang desquelles les administrations
publiques et les entreprises de taille moyenne, l’ensemble de ces nouvelles obligations pourrait en
effet être perçu comme lourd à établir techniquement et financièrement. Néanmoins, la cyberme-
nace expose pleinement leur économie : les attaques peuvent aussi bien concerner les données
clients, les données « produits », les secrets de fabrication, les brevets, les chaînes d’approvision-
nement et paralyser l’activité pendant plusieurs semaines. Si à première vue la mise en conformité
peut donc apparaître comme un coût d’investissement supplémentaire, le bénéfice tiré de l’amortis-
sement des conséquences de l’attaque et de la vitesse de réponse pourrait être bien plus rentable.
Cette mise en conformité pourrait même constituer à la longue un véritable argument de valorisa-
tion pour les acteurs privés : nous protégeons vos données, nous protégeons nos propres investis-
sements. » ajoute Sébastien Morey, Responsable du Pôle cybersécurité de l’Agence régionale du
numérique et de l’Intelligence artificielle (ARNia), ainsi que du CSIRT (Computer Security Incident
Response Team) régional Bourgogne-Franche-Comté.
Le regard de l’ANSSI
« L’ANSSI est d’ores et déjà mobilisée pour préparer la transposition de la directive et a engagé un
dialogue avec les associations regroupant toutes les parties prenantes. Elle amorce ainsi une dé-
marche de co-construction avec les futures entités régulées afin de s’assurer de la pertinence et de
la soutenabilité des exigences réglementaires : cette démarche permettra d’obtenir un niveau de
préparation au risque cyber à la fois ambitieux et réaliste. L’ANSSI est bien consciente que certaines
entités découvriront concrètement les enjeux de la cybersécurité. Son accompagnement se maté-
rialisera par une action de sensibilisation et, si nécessaire, la mise à disposition de nouveaux outils. »
déclare Yves VERHOEVEN, Sous-Directeur Stratégie de l’ANSSI.
L’ANSSI conseille à chaque entité de se préparer dès aujourd’hui. Pour les petites et moyennes en-
treprises qui intègreront le périmètre, le Guide des TPE/PME constitue par exemple une base solide
de mesures concrètes et pérennes. Par ailleurs, pour les entités déjà désignées au titre de NIS 1, il
n’est pas d’actualité de relâcher l’effort ! D’ici à l’entrée en vigueur de NIS 2, les exigences de NIS 1
demeurent applicables et l’ANSSI continuera à contrôler leur mise en œuvre. Les futures exigences
de NIS 2 s’inscriront dans le prolongement naturel des efforts de NIS 1 et tous les travaux d’ores et
déjà entrepris par les opérateurs seront valorisés dans NIS 2.
17
Livre blanc 2023
La responsabilité des dirigeants des entités essentielles et importantes, détaillée dans l’article 20
intitulé « gouvernance » est renforcée, sous le contrôle des Etats membres.
• Les Etats membres veillent à ce que les organes de direction des entités essentielles et impor-
tantes approuvent les mesures de gestion des risques en matière de cybersécurité prises par ces
entités afin de se conformer à la directive, supervisent sa mise en œuvre et puissent être tenus
responsables de la violation de leurs obligations par ces entités.
• Les Etats membres veillent à ce que les membres des organes de direction des entités essentielles
et importantes soient tenus de suivre une formation et ils encouragent les entités essentielles et
importantes à offrir régulièrement une formation similaire aux membres de leur personnel afin
que ceux-ci acquièrent des connaissances et des compétences suffisantes pour déterminer les
risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact
sur les services fournis par l’entité.
« Ce renforcement de la formation du top et du middle management est une excellente chose. C’est
un aspect qui va surprendre mais cela est essentiel. Nous avons déjà initié cette démarche, mais elle
va se renforcer sous l’impulsion de la réglementation. Cela permet in fine de véritablement sortir
d’un sujet d’expert et de faire de la cybersécurité un sujet de société. » témoigne Eric Vautier, RSSI
Groupe ADP.
Concrètement, NIS 2 permet aux autorités des Etats membres de tenir les dirigeants personnel-
lement responsables si une négligence grave est prouvée après un incident de sécurité. « Les au-
torités peuvent ainsi ordonner aux organisations en situation de manquement de rendre publics
les aspects de non-conformité avec la directive. Ou encore de faire une déclaration publique qui
identifie la ou les personnes physiques et morales responsables de la violation, et la nature de cette
violation. » Si l’organisation est une EE, NIS 2 permet aux autorités d’interdire (temporairement) à
une personne d’exercer des fonctions de direction en cas de négligence répétée.
« La directive prévoit une responsabilité des dirigeants, en cas de violation fréquente des obligations
de cybersécurité, les états membres pourront prévoir des sanctions pénales spécifiques : la loi de
transposition devra traitée cette faculté. » précise Garance Mathias, avocate associée, fondatrice
de Mathias Avocats.
18
Livre blanc 2023
19
Livre blanc 2023
La directive NIS 2 prévoit que les autorités compétentes nationales devront disposer de pouvoirs
coercitifs leur permettant d’imposer des mesures d’exécution aux entités essentielles et impor-
tantes telles que des inspections sur place et des contrôles à distance, des audits de sécurité régu-
liers et ciblés, des demandes d’informations nécessaires à l’évaluation ex post des mesures de ges-
tion des risques en matière de cybersécurité, des demandes d’accès à des données, à des documents
et à des informations nécessaires à l’accomplissement de leurs tâches de supervision. Les autorités
compétentes devront également être en mesure d’émettre des avertissements, des injonctions et
d’imposer des amendes administratives ou de demander à l’organe compétent en droit national de
prononcer lesdites amendes (articles 32 et 33).
Les sanctions sont prononcées par l’autorité compétente à l’échelle nationale. En France, cela
pourrait être l’ANSSI mais rien n’est validé. « Qu’en sera t-il de l’autonomie de l’ANSSI ? En effet,
l’ANSSI n’est pas une autorité administrative indépendante comme la CNIL. Par ailleurs, concernant
l’appel d’une sanction, le conseil d’Etat pourrait-il être saisi et sous quels délais ? » questionne
Garance Mathias, avocate associée, fondatrice de Mathias Avocats et d’ajouter : « Il se pose des
enjeux juridiques structurants de gouvernance, de transparence et de conformité par rapport à
notre Etat de droit. »
GOUVERNANCE ET SENSIBILISATION
Sensibiliser le top management aux sanctions prévues
Sensibiliser les collaborateurs à la gestion du risque en matière de cybersécurité
Sécuriser la chaîne d’approvisionnement
Planifier et chiffrer l’augmentation du budget alloué à la cyber-protection
PROCEDURES ET TESTS
Sécuriser les réseaux et systèmes d’informations de l’acquisition à la maintenance
Analyser les risques et politiques de sécurité
Effectuer des tests et audits pour évaluer l’efficacité des mesures liées à la cybersécurité
Rationnaliser la réponse aux incidents et assurer la continuité en cas de crise
Désigner un correspondant auprès de l’ANSSI
Surveiller et évaluer les réseaux ou les systèmes d’informations
Procéder au reporting des incidents
Informer les utilisateurs sur les risques inhérents à leurs données personnelles
et les mesures mises en place pour y remédier
20
Livre blanc 2023
Les Centres régionaux de réponse aux incidents cyber (les « CSIRT ») occuperont à l’échelle ré-
gionale un rôle différent. Ils s’adresseront aux collectivités, au tissu économique privé (depuis la
PME jusqu’à l’ETI), ainsi qu’aux associations nationales avec un ancrage régional, qui pourront être
conseillés par eux directement.
• Le Groupe de Coopération NIS, qui rédige les lignes directrices à l’intention des autorités natio-
nales et coordonne leur action ;
• EU-CyCLONe (European cyber crises liaison organisation network), nouvelle instance en charge
de la réponse aux incidents de grande échelle.
L’interaction entre ces 3 intervenants devrait permettre d’assurer une coopération transfron-
talière accrue.
8. Quid de la transposition ?
« Le mécanisme de la transposition reste peu lisible pour beaucoup d’acteurs, notamment ceux qui
n’étaient pas assujettis à NIS v1. » souligne Olivier Ligneul, en charge du CGEA (collège des grandes
entreprises et administrations) du CESIN et d’ajouter « Un risque de millefeuille réglementaire ap-
parait également. Lorsque plusieurs directives ou règlements, au travers de lois, décrets et arrêtés
s’appliqueront sur un même périmètre, quelle sera le texte qui prévaudra ? Il me semble que des
réflexions doivent être engagées pour conserver de la lisibilité et une cohérence globale. »
21
Livre blanc 2023
« NIS 2 aura t-elle des incidences en matière de cyber-assurance ? Cette directive pourrait-elle
encourager un cyber score sectoriel ? Ces questions sont posées par les dirigeants et les directeurs
cybersécurité, RSSI et CISO des entreprises chimiques. Un cyber score sectoriel permettrait
d’établir des critères de convergence. Qu’en sera t-il de la convergence des certifications ISO et
NIS 2 ? Nous espérons obtenir des éléments de précision. » ajoute Simon Gianordoli, Responsable
ChemTech, Transformation Numérique & PME/ETI au sein de France Chimie.
NIS 2 a vocation à s’insérer dans les efforts législatifs entrepris par l’Union européenne pour enca-
drer l’importance exponentielle prise par les outils numériques et informatiques.
La directive a été alignée sur la législation sectorielle et se coordonne avec les textes suivants :
• le projet de directive relatif à la résilience des entités critiques (CER), qui prévoit des obligations
visant à assurer le maintien des services essentiels et leur sécurité face aux menaces physiques.
• le règlement dit « cyber-résilience » également en cours de rédaction. Ce dernier se reposera ainsi
sur les définitions « d’incident » et de « vulnérabilité » établies par la directive NIS 2.
• le projet de règlement « DORA » (Digital Operational Resilience Act) qui prévoit des obligations
relatives à la cybersécurité des acteurs de services financiers.
Au plus tard le 17 juillet 2024 et tous les 18 mois par la suite, EU-CyCLONe soumet au Parlement
européen et au Conseil un rapport évaluant ses travaux.
A cette même date, la Commission adopte des actes d’exécution fixant les exigences techniques et
méthodologiques des mesures concernant les prestataires de services DNS, les registres de noms
TLD, les prestataires de services de cloud, les prestataires de services de centres de données, four-
nisseurs de services cloud, fournisseurs de services de centres de données, fournisseurs de réseaux
de diffusion de contenu, fournisseurs de services gérés, fournisseurs de services de sécurité gérés,
fournisseurs de marchés en ligne, de moteurs de recherche en ligne et de plateformes de services
de réseautage social, et les fournisseurs de services de confiance.
Le 17 janvier 2025, le groupe de coopération établira, avec l’aide de la Commission et de l’ENISA et,
le cas échéant, du réseau des CSIRT, la méthodologie et les aspects organisationnels des examens
par les pairs en vue d’apprendre des expériences partagées, de renforcer la confiance mutuelle,
d’atteindre un niveau commun élevé de cybersécurité, et de renforcer les capacités et les politiques
des États membres en matière de cybersécurité nécessaires à la mise en œuvre de la directive.
22
Livre blanc 2023
La participation aux examens par les pairs sera volontaire. Les examens par les pairs seront ef-
fectués par des experts en cybersécurité. Ces derniers seront désignés par au moins deux États
membres, différents de l’État membre examiné. Au plus tard le 17 avril 2025, les États membres
établiront une liste des entités essentielles et importantes ainsi que des entités fournissant des ser-
vices d’enregistrement de noms de domaine. Les États membres réexamineront et, le cas échéant,
mettront à jour cette liste régulièrement et au moins tous les deux ans par la suite. A la même date,
et tous les deux ans par la suite, les autorités compétentes notifieront à la Commission et au groupe
de coopération le nombre d’entités essentielles et importantes pour chaque secteur. Au plus tard
le 17 octobre 2027 et tous les 36 mois par la suite, la Commission examine le fonctionnement de la
directive et effectuera son rapport au Parlement européen et au Conseil.
• Passez en revue les 10 mesures de gestion du risque de cybersécurité exigées par NIS2
23
Livre blanc 2023
24
Livre blanc 2023
CHAPITRE II
DORA, RENFORCER LA
RÉSILIENCE OPÉRATIONNELLE
NUMÉRIQUE DU SECTEUR
FINANCIER
Le Règlement Digital Operational Resilience Act (DORA) a également été adopté par le Parlement
Européen puis par le Conseil de l’Union européenne fin novembre avant sa publication au Journal
Officiel de l’UE en décembre 2022.
DORA se veut être le règlement européen qui est une déclinaison sectorielle de la directive NIS
pour le secteur financier, un secteur bien habitué des réglementations. Mais si ce règlement n’est
pas nouveau, il se révèle particulièrement exigeant notamment en ce qui concerne la relation
contractuelle avec les prestataires de services informatiques.
1. Pourquoi ce règlement ?
Les transactions bancaires passant par les réseaux et les masses de données personnelles manipu-
lées sont les principaux centres d’intérêt des cybercriminels. L’étude d’IBM x-Force Threat Intelli-
gence Index 2022 révèle une nouvelle fois que le secteur financier est bien l’un des secteurs les plus
attaqués, juste après l’industrie manufacturière. Selon cette étude, le secteur financier concentre-
rait 22% des attaques et incidents relevés en 2021. Ces attaques visant surtout les banques (70%
des attaques contre 16% pour les assurances).
Le risque cyber est désormais bien identifié et suivi par la Banque de France et la Banque Centrale
Européenne en figurant parmi l’ensemble des risques systémiques. La coopération et le partage
d’information entre les institutions, tout comme la conformité aux réglementations en vigueur
(LPM ou directive européenne NIS), sont évidemment incontournables. Selon la Banque de France,
la résilience passe aussi par des initiatives de type « exercices de crise et travaux réglementaires
pour renforcer le système financier face aux attaques cyber ».
26
Livre blanc 2023
Au-delà de l’impact sur une entité à proprement parlé, le risque craint est celui d’un effondrement
du système bancaire et donc de nos économies. L’Union Européenne l’a bien compris et a décidé
prendre le sujet à bras le corps en approfondissant la notion de risque opérationnel numérique.
DORA s’appliquera en l’état dans tous les pays de l’Union. Le règlement concerne 21 catégories
d’entités du secteur financier, ce qui représente plus de 22 000 entités au sein de l’UE.
• Etablissements de crédit
• Etablissements de paiement
• Etablissements de paiement et de monnaie électronique
• Entreprises d’investissement
• Prestataires de services fournisseurs de services de crypto-actifs
• Emetteurs de jetons référencés comme actifs
• Dépositaires centraux de titres
• Contreparties centrales
• Plateformes de négociation
• Référentiels centraux
• Gestionnaires de fonds d’investissement alternatifs et les sociétés de gestion
• Prestataires de services d’information de données
• Entreprises d’assurance
• Intermédiaires d’assurance et d’assurance d’auxiliaires
• Institutions de retraite professionnelle
• Agences de notation de crédit
• Administrateurs de benchmark
• Prestataires de services de crowdfunding
• Référentiels de titrisation
Des cas particuliers restent à débattre (clauses de revue) dont les systèmes et activités de traitement
des paiements (à 6 mois) et les commissaires aux comptes (à 3 ans). Environ 20 000 organismes
financiers localisés en Europe sont concernés.
27
Livre blanc 2023
Avec la réglementation DORA, les défaillances informatiques ne sont plus uniquement l’affaire de
la DSI et des services de conformité, mais il faut désormais en tenir compte au plus haut niveau.
Les institutions financières doivent mesurer l’impact d’une vulnérabilité ou d’un vol de données. »
Mathieu Isaia
L’une des principales évolutions réglementaires de DORA réside en effet dans la création d’un cadre
de surveillance au niveau de l’UE permettant d’identifier et de superviser les prestataires de ser-
vices TIC (Technologies de l’information et de la communication) jugés « critiques » pour les insti-
tutions financières. « Les tiers « fournisseurs TIC » devront identifier s’ils sont considérés comme
« critiques » sur la base de critères réglementaires. » détaille Garance Mathias, avocate associée,
fondatrice de Mathias Avocats. Chaque prestataire de services TIC « critique » sera contrôlé par
une autorité de supervision qui évaluera si le prestataire de services a mis en place les dispositifs
adéquats de maîtrise des risques liés aux TIC pouvant impacter les institutions financières (article
37).
L’autorité compétente pourra procéder à des contrôles sur pièces ou sur place (articles 33 à 35) et
aura le pouvoir de prononcer des sanctions en cas de non-conformité, notamment des pénalités
financières et des astreintes journalières à un taux de 1% du chiffre d’affaires mondial de la précé-
dente année d’exercice réalisé par le prestataire de services TIC concerné et ce pendant une pé-
riode totale de 6 mois maximum.
Le régulateur pourra également demander aux entités du secteur des services financiers de mettre
fin à leurs accords avec le prestataire en question. Si la responsabilité des tiers est engagée, le futur
règlement DORA ne supprime ou ne réduit pas les responsabilités des banques. « Avec la régle-
mentation DORA, les défaillances informatiques ne sont plus uniquement l’affaire de la DSI et des
services de conformité, mais il faut désormais en tenir compte au plus haut niveau. Les institutions
financières doivent mesurer l’impact d’une vulnérabilité ou d’un vol de données. » soutient Mathieu
Isaia.
Disponibilité, authenticité, intégrité et confidentialité sont les quatre critères clés du règlement qui
rythment la définition des « incidents opérationnels » ou « liés au TIC » de l’article 3, la gouvernance
et l’organisation dans l’article 5 ou encore l’article 9 consacré à la protection et prévention.
Ce règlement n’est pas une nouveauté : les obligations de résilience sont en place depuis longtemps
dans le secteur financier. Néanmoins, DORA regroupe, fédère et harmonise au niveau européen
les réglementations existantes. Opérer des standards non homogènes pour un grand groupe est
complexe. DORA se veut un standard de référence assez ambitieux qui s’appliquera à l’ensemble de
l’Union européenne. Par ailleurs, DORA accroît la sphère d’action des autorités qui ont désormais
la légitimité pour faire entrer dans leur périmètre de surveillance de nouveaux acteurs. Auparavant,
elles avaient la capacité de regarder les services délivrés à un assujetti à une réglementation. Avec
DORA, si elles se rendent compte qu’un prestataire fournit un service à plusieurs établissements
financiers, elles s’intéresseront directement au prestataire dans son ensemble.
28
Livre blanc 2023
L’impact de DORA sur le monde de l’assurance reste en effet très limité, puisque les obligations
s’appliquent déjà via la directive NIS 2. Le nombre d’acteurs financiers, et donc d’assureurs, qui ne
seraient pas soumis aux obligations DORA reste en conséquence très faible. « Les établissements
de crédit, financiers, seront quant à eux concernés, par les obligations de DORA », illustre Garance
Mathias, avocate associée, fondatrice de Mathias Avocats.
« Nous sommes nouvellement concernés par le règlement DORA et engagés dans une étude et
une analyse d’impacts pour bien comprendre quelles sont nos activités concernées. Nous devrons
mettre tout cela en perspective de nos métiers, décliner une feuille de route et des actions opéra-
tionnelles à mettre en oeuvre. Si cette nouvelle mise en conformité peut inquiéter sous certains
aspects, il me semble essentiel de démontrer de l’engagement de l’organisation dans sa démarche
de mise en conformité. Il s’agit à mon sens d’un processus d’amélioration continue. » déclare Fabrice
Bru, directeur cybersécurité du groupe Les Mousquetaires.
Si la question des grands groupes est assez claire, le niveau imposé aux PME et TPE qui pourrait
remettre en question la vie même de l’entreprise nécessite encore des éclaircissements.
• Une gouvernance renforcée et la gestion des risques liés aux TIC (articles 4 à 14)
• La gestion des incidents liés aux TIC (articles 15 à 20)
• Des tests de résilience opérationnelle numérique (articles 21 à 24)
• La gestion des risques liés aux prestataires de services TIC (articles 25 à 39)
• Le partage d’informations liées aux cybermenaces (article 40)
29
Livre blanc 2023
Cela implique :
• la détermination du niveau de tolérance aux risques liés aux technologies,
• l’approbation, la surveillance et la revue périodique de la politique de continuité des activités et du
plan de reprise d’activité liés aux technologies,
• la revue périodique des plans d’audit couvrant les risques informatiques,
• l’approbation et le suivi des contrats d’externalisation de services TIC,
• l’allocation et le suivi périodique des budgets pour répondre aux besoins de résilience opération-
nelle informatique,
• le suivi des incidents informatiques et leurs impacts, ainsi que les réponses apportées, les mesures
de rétablissement et de correction.
Les membres de la direction devront disposer d’une formation spécifique pour comprendre et éva-
luer les risques informatiques ainsi que leurs impacts sur les opérations.
La mise en place d’un cadre de gestion des risques implique notamment une cartographie des
risques, des mécanismes de détection rapide, des procédures de réponse et de rétablissement, etc.
mais aussi un réexamen annuel du cadre de gestion des risques ou encore la réalisation d’audits
internes réguliers.
DORA contraint les organisations à démontrer la mise en œuvre d’une gouvernance du risque
cyber et renforce leur gestion des risques liés aux prestataires de services informatiques. Les
efforts portent principalement sur la résilience opérationnelle et le basculement vers la maîtrise
des systèmes d’information.
30
Livre blanc 2023
Les entités financières devront reconsidérer leur méthodologie de classification des incidents afin
de se conformer aux exigences du règlement. Les banques devront s’aligner à un langage commun
pour faire face aux incidents. Les entités financières devront également mettre en œuvre les pro-
cessus et mécanismes requis pour être en mesure d’informer rapidement le régulateur en cas d’in-
cident majeur.
La déclaration des incidents cyber auprès de différentes autorités, dans des délais et des formats
différents représente un véritable challenge et pourrait s’avérer être un problème majeur. En effet,
lors de la gestion d’un incident, les équipes sont déjà extrêmement mobilisées. Alourdir les process
n’est dans l’intérêt de personne. Aussi, disposer d’un cadre commun de déclarations est important
à clarifier et définir.
En cas de non-conformité, les astreintes journalières pour régulariser sa situation pourraient s’éle-
ver jusqu’à 1 % du chiffre d’affaires mondial de la société sanctionnée.
Stratégie de communication
• Définir une stratégie de communication en cas d’incidents liés aux TIC ou d’identification de
vulnérabilités majeures vis-à-vis des parties prenantes.
Définir des objectifs TIC alignés avec la stratégie business et le cadre d’appétence aux risques
• Expliquer comment le dispositif de gestion des risques liés aux TIC soutient la stratégie
commerciale et les objectifs de l’institution financière ;
• Définir et fixer les seuils maximum de perturbation des TIC en cohérence avec le cadre d’appétence
aux risques et sur la base d’une analyse des impacts des perturbations liées aux TIC ;
• Définir des objectifs clairs en matière de sécurité de l’information.
« L’encadrement des risques liés aux prestataires TIC implique le suivi complet du risque, de la
conclusion du contrat à son exécution, sa résiliation, y compris la phase post-contractuelle. En
conséquence, découlera la mise à jour des éléments contractuels pour tous contrats conclus entre
une institution financière et un fournisseur de service TIC » détaille Garance Mathias, avocate
associée, fondatrice de Mathias Avocats.
31
Livre blanc 2023
Contenu du contrat : impératives minimales quel que soit le niveau de criticité des prestataires
• Une description complète des services ;
• L’indication des lieux où les données doivent être traitées ;
• Une description complète des niveaux de service accompagnée d’objectifs de performance
quantitatifs et qualitatifs ;
• Des dispositions pertinentes sur l’accessibilité, la disponibilité, l’intégrité, la sécurité et la
protection des données à caractère personnel ;
• Des garanties d’accès, de récupération et de restitution en cas de défaillance des tiers prestataires
de services informatiques ;
• Les délais de préavis et les obligations d’information incombant aux tiers prestataires de services
informatiques ;
• Les droits d’accès, d’inspection et d’audit par l’entité financière ou un tiers désigné ;
• Des droits de résiliation clairs et des stratégies de sortie spécifiques.
32
Livre blanc 2023
« L’un des premiers défis sera l’évaluation précontractuelle des fournisseurs selon une approche
basée sur les risques. Il faudra donc définir et créer une matrice de priorisation afin de sélectionner
les fournisseurs sur la base de critères prédéfinis encore non communiqués » Garance Mathias,
avocate associée, fondatrice de Mathias Avocats et d’ajouter : « l’évaluation et la gestion des risques
en amont de la contractualisation se fera selon les critères définis par le règlement notamment, des
clauses obligatoires devront intégrer une description des niveaux de services, l’obligation d’assister
l’entité financière en cas d’incident, etc.), et un suivi permanent de la performance et de la qualité du
service sera exigée, etc. »
L’un des premiers défis sera l’évaluation précontractuelle des fournisseurs selon
une approche basée sur les risques. Il faudra donc définir et créer une matrice de
priorisation afin de sélectionner les fournisseurs sur la base de critères prédéfinis
encore non communiqués. »
33
Livre blanc 2023
DORA introduit également des lignes directrices sur la mise en place d’accords de partage d’informations
entre les établissements financiers afin d’échanger des renseignements liés aux cybermenaces, notam-
ment tactiques, techniques, les procédures, les alertes de cybersécurité et outils de configuration permet-
tant d’établir un environnement sécurisé.
Bien que de nombreuses organisations disposent déjà de tels accords, des questions se posent :
• Comment déterminer quelles informations il convient de partager ?
• Quel sera le canal utilisé pour partager ces informations de manière efficace et sécurisée ?
• Quel processus mettre en place pour collecter, trier et analyser les informations obtenues par les autres
établissements ?
34
Livre blanc 2023
35
Livre blanc 2023
DORA prescrit des exigences fortes concernant la résilience opérationnelle, imposant un champ
d’application beaucoup plus large et des contraintes techniques spécifiques.
Les établissements devraient d’ores et déjà prendre des dispositions afin de se préparer à leur
mise en conformité DORA, par exemple :
L’Autorité de contrôle prudentiel et de résolution (ACPR) invite les assureurs à poursuivre leurs
efforts. « Des progrès doivent encore être accomplis afin d’accroître leur résilience face au risque
cyber et anticiper certains travaux dans la perspective de l’entrée en application en janvier 2025 du
règlement DORA. » déclare t-elle.
Parmi eux :
- systématiser l’analyse des risques et des enjeux de sécurité des SI liés à l’utilisation de solutions
externes et plus particulièrement des services en nuage (cloud) dont le niveau réel de sécurisation
n’est pas mesuré et le dispositif de réversibilité n’est pas toujours prévu. Le pilotage de la sous-
traitance doit également être renforcé ;
- adapter le système de contrôle interne afin que les trois lignes de défense prennent le risque
cyber pleinement en charge. À cet égard, la fonction de sécurité de l’information doit jouir de
l’indépendance suffisante vis-à-vis des fonctions opérationnelles en matière de technologies
de l’information et de la communication et doit disposer des informations ad hoc pour mesurer,
surveiller et piloter le risque cyber et rendre compte de l’état de la sécurité de l’information de
l’entreprise aux instances dirigeantes.
La question des normes, la granularité dans la gestion des incidents, le niveau pour ce qui concerne
les déclarations des incidents, le seuil de remontée des déclarations d’incidents, etc. sont des
éléments qui devraient être précisés en fin d’année 2023.
36
Livre blanc 2023
En 2024, suivront des tests d’intrusion avec les nouveaux frameworks soumis à DORA. Cela sera
précisé sur les pentest.
RTS on ICT risk RTS on criteria for the RTS to specify RTS to specify the policy
management framework classification of ICT-related threat-led penetration on ICT services
(31/12/2023) incidents testing aspects (31/12/2023)
(31/12/2023) (30/06/2024)
RTS on simplified ICT risk RTS on reporting of major ITS to establish the
management framework ICT-related incidents templates for the register
(31/12/2023) (30/06/2024) of information
(31/12/2023)
Le 17 juillet prochain au plus tard, la Commission européenne publiera des lignes directrices clari-
fiant la zone de partage entre DORA et NIS 2 et apportera plus de visibilité aux entités concernées
par ces deux textes. De nouvelles informations devraient être diffusées autour de DORA et des
dispositions techniques d’ici à la fin de l’année. Une dernière communication est prévue pour juin
2024. Avec une entrée en application le 17 janvier 2025, il reste à peine deux ans pour les acteurs
du secteur financier et leurs prestataires informatiques pour se conformer au règlement DORA.
37
Livre blanc 2023
SOURCES
https://ec.europa.eu/commission/presscorner/detail/fr/ip_22_2985
SOUVERAINETÉ NUMÉRIQUE - RAYNA STAMBOLIYSKA - 14 DÉCEMBRE 2022
https://www.ssi.gouv.fr/directive-nis-2-ce-qui-va-changer-pour-les-entreprises-et-ladministration-francaises/
https://www.stormshield.com/fr/actus/directive-europeenne-nis2-nouveautes/
https://www.usine-digitale.fr/article/cybersecurite-dans-l-ue-ce-que-va-changer-la-nouvelle-directive-nis2.
N2064302
https://www.droit-technologie.org/actualites/directive-nis-2-renforcer-la-securite-it-en-europe/
https://www.cybersecurite-solutions.com/directive-europeenne-nis2-adoption-changements-et-prochaines-etapes/
https://www.avocats-mathias.com/cybersecurite/nis-2-quels-enjeux-obligations-et-sanction
https://www.avocats-mathias.com/cybersecurite/directive-nis-2-quelle-securite-pour-demain
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=uriserv%3AOJ.L_.2022.333.01.0080.01.
FRA&toc=OJ%3AL%3A2022%3A333%3ATOC
https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX:52020PC0829
https://www.ssi.gouv.fr/actualite/blue-olex-2020-les-etats-membres-de-lunion-europeenne-lancent-le-reseau-de-
coordination-cyclone/
https://www.eba.europa.eu/sites/default/documents/files/documents/10180/2761380/6565c789-487b-4528-8a17-
4b94147dc5b8/EBA%20revised%20Guidelines%20on%20outsourcing_FR.pdf?retry=1
Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL sur la résilience opérationnelle
numérique du secteur financier et modifiant les règlements (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014
et (UE) nº 909/2014
Communiqué de presse, Conseil de l’Union européenne – Finance numérique : accord provisoire concernant le
règlement sur la résilience opérationnelle numérique – 11 mai 2022
EBA – Rapport final sur les orientations relatives à l’externalisation – 25 février 2019
Banque Centrale Européenne – Supervision bancaire : Cartographie des risques du MSU et tableau des vulnérabilités
pour 2021
Europe’s digital migration during COVID-19 : getting past the broad trends and averages – McKinsey Digital – July 24,
2020
Banque Centrale Européenne – Supervision bancaire : Are banks Cyber-proof in the digital world ? – 22 octobre 2020
https://www.mazars.fr/Accueil/Insights/Le-Blog/Que-retenir-du-projet-de-reglement-DORA
https://blog-conformite.esbanque.fr/reglement-dora-la-resilience-operationnelle-informatique-sans-frontieres/
https://www.revue-banque.fr/dossiers/la-cyber-resilience-a-un-nom-dora-JP12480393
https://www.pwc.fr/fr/expertises/gestion-des-risques/maitrise-des-risques-technologiques/dora-exigences-
reglementaires-europeennes.html
https://www.contrepoints.org/2022/12/04/444684-directive-nis2-les-enjeux-de-la-nouvelle-cybersecurite-
europeenne
https://www.argusdelassurance.com/juriscope/cyber-la-directive-nis-2-entre-en-vigueur.210431
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12475-Cybersecurity-review-of-EU-rules-
on-the-security-of-network-and-information-systems_en
Communiqué de presse, La Banque de France réalise avec Cryptonext Security une expérimentation de sécurité post-
quantique, septembre 2022.
https://yogosha.com/fr/blog/nis2-directive-guide-conformite/#en_resume
https://acpr.banque-france.fr/synthese-de-lenquete-declarative-de-2022-sur-la-gestion-de-la-securite-des-
systemes-dinformation-des
https://acpr.banque-france.fr/sites/default/files/media/2022/12/06/2022_presentations_matin_session_1.pdf
38
Livre blanc 2023
© THEGREENBOW - 2023
39
A propos de TheGreenBow
Créé en 1998, TheGreenBow est un éditeur français de logiciels de Cybersécurité qui fournit des
solutions VPN de confiance et dont l’expertise repose sur la sécurisation des communications. En
2013, TheGreenBow devient le premier opérateur à obtenir une certification CC EAL3+ de l’ANSSI
pour son client VPN Windows. Acteur de référence des Clients VPN, nos logiciels sont distribués
dans plus de 70 pays. Depuis fin 2019, TheGreenBow détient le label « Utilisé par les armées fran-
çaises » pour le produit TheGreenBow VPN Client Windows Certifié CC EAL3+. Ce label atteste de
la mise en œuvre du logiciel par les services du Ministère des Armées.
www.thegreenbow.com