Cybersécurité: pourquoi les DSI doivent anticiper DORA, NIS2 et l’IA Act dès maintenant
Pour faire face à l’extension du champ des menaces cyber, les autorités de régulation européennes ne laissent plus place à l’improvisation. De nouvelles directives ou règlements comme DORA, NIS2 ou encore l’IA Act définissent un cadre réglementaire strict pour la sécurisation des systèmes d’information, impactant un large éventail d’entreprises en France. De nouvelles mesures qui, en cas de manquement, imposeront des sanctions lourdes à l’encontre des entreprises, mais aussi de leurs dirigeants contrevenants. Qui est concerné ? Comment se préparer à l’application de ces réglementations ? Éclairage avec Eric Barbry, Avocat Associé au sein du cabinet Racine, en charge de l’équipe IP – IT & Data Protection.
Découvrir l’offre Security as a Service
Nouvelles contraintes réglementaires : êtes-vous concernés ?
NIS2, DORA, IA ACT… Un nouvel arsenal règlementaire s’apprête à redéfinir les contours de la cybersécurité pour les entreprises françaises. Si certains de ces textes visent toutes les entreprises, indépendamment de leur secteur d’activité ou de leur taille, d’autres, en revanche, sont plus ciblés et concernent spécifiquement les entreprises des secteurs de la finance, de l’assurance et de la santé. Comment s’y retrouver dans ce maquis législatif ? Revue de détail avec Eric Barbry qui fait le point sur les implications et les enjeux de ces nouvelles législations.
Banque, assurance, finance : préparez-vous à l’arrivée de DORA
Le Digital Operational Resilience Act (DORA) représente un jalon majeur dans le paysage réglementaire européen. Il définit un cadre juridique complet pour la résilience opérationnelle numérique des acteurs du secteur financier.Cette directive concerne non seulement les entreprises financières, mais aussi leurs prestataires de services informatiques tels que les éditeurs d’applications SaaS et les fournisseurs de services cloud. À partir du 17 janvier 2025, DORA entrera en vigueur dans tous les États membres de l’Union européenne, y compris en France.
L’axe majeur de DORA : la prévention des risques d’attaques cyber et la remédiation après une attaque. DORA va notamment imposer de réaliser des évaluations de vulnérabilité ou de tests d’intrusion au minimum une fois par an. Quant aux entreprises qui externalisent tout, ou partie de leur SI, elles devront impérativement intégrer des clauses contractuelles spécifiques dans leurs contrats avec leurs prestataires pour inclure ces nouvelles obligations.
Sur le plan financier, juridique, organisationnel ou technique : la mise en œuvre de DORA va avoir des répercussions significatives et mobiliser un grand nombre de ressources au sein des entreprises des secteurs concernés. Un constat que partage Eric Barbry, Avocat Associé au sein du cabinet Racine : « Les établissements financiers n’ont pas attendu DORA pour sécuriser leur SI. Mais avec DORA, le niveau d’exigences s’accroît, un peu comme s’il fallait passer de la note D à B sur une échelle de sécurité ».
NIS2 : une nouvelle version de la directive pour sécuriser les activités les plus critiques
Entrée en vigueur en 2016, la Directive Network and Information Security (NIS) fait peau neuve avec sa version 2 en élargissant son périmètre d’action à 18 secteurs d’activité jugés stratégiques pour l’économie.Parmi eux, 11 secteurs sont classés comme hautement critiques, notamment le transport, la santé, l’énergie, l’espace, ou encore les administrations publiques et 7 secteurs sont classés critiques, dont la fabrication, les denrées alimentaires ou les services postaux.
Sous NIS 2, les entreprises de ces secteurs sont réparties en deux catégories : Entités Essentielles (EE) et Entités Importantes (EI). Cette classification ne dépend pas uniquement du secteur, mais aussi de la taille de l’entreprise et de son chiffre d’affaires. Les Entités Essentielles, opérant souvent dans des secteurs clés, sont soumises à des exigences de cybersécurité plus strictes en raison de leur impact sur la sécurité nationale et la stabilité économique. Les Entités Importantes, quant à elles, bien que toujours régulées, bénéficient d’un cadre un peu plus souple.
« Par rapport à NIS1 qui remonte à 2016, NIS2 intègre de nouveaux acteurs comme les administrations publiques et une grande partie de la chaîne d’approvisionnement de services IT, notamment les prestataires de services cloud. Les notions d’Opérateurs de Services Essentiels (OSE) et de Fournisseurs de Services Numériques (FSN) de la NIS 1 sont remplacées par les catégories EE et les EI. En France, on va passer de 300 OSE réglementés par NIS1 à près de 30 000 entreprises et collectivités qui seront impactées par NIS2 », précise Eric Barbry.
Au-delà d’élargir le périmètre de la première directive, la NIS 2 impose aux entreprises concernées d’adopter des mesures de sécurité renforcées sur des enjeux essentiels, tels que la gouvernance, la gestion des risques cyber, le cloisonnement des systèmes d’information et l’obligation de signaler tout incident. Ces exigences s’accompagnent de sanctions plus sévères, visant à garantir la conformité et la sécurité des infrastructures critiques. Bien que le calendrier ait subi des ajustements, l’entrée en vigueur de la NIS 2 dans le droit français ne devrait plus tarder.
IA ACT : la réponse européenne aux enjeux de l’intelligence artificielle
Selon le Baromètre « Global AI & Digital Experience Survey 2024 » publié par Riverbed, 65 % des entreprises interrogées envisagent d’accélérer le déploiement de solutions d’IA, mais seulement 37 % d’entre elles se sentent prêtes à le faire. Un paradoxe qui illustre bien l’engouement croissant pour l’IA, récemment exacerbé par l’essor de l’IA générative, mais également les craintes qui l’entourent. Face à ces incertitudes, l’Union européenne se positionne en acteur de régulation en engageant un processus législatif destiné à protéger citoyens et entreprises d’une utilisation non contrôlée de l’intelligence artificielle.Le règlement européen sur l’intelligence artificielle, connu sous le nom d’IA Act, vise spécifiquement les entreprises qui conçoivent ou mettent en œuvre des systèmes d’IA. Son objectif est clair : préserver les droits fondamentaux des citoyens face aux risques d’abus associés à cette technologie. Parmi les préoccupations figurent les algorithmes de notation (scoring) employés par certains organismes de crédit, susceptibles de discriminer sur des bases telles que l’âge, la santé ou l’origine ethnique. La question de l’utilisation des algorithmes de reconnaissance faciale soulève également des inquiétudes.
Ce texte, qui entrera en vigueur dans son intégralité en 2026, introduit un cadre de classification des risques réparti en quatre niveaux : minime, spécifique, élevé ou inacceptable. À partir du 1ᵉʳ février 2025, les systèmes d’IA classés comme présentant un « risque inacceptable » seront interdits.
NIS2, DORA, IA Act : quel impact pour les DSI ?
« Si le DSI travaille pour un secteur d’activité directement concerné par ces règlements, alors il lui faudra mesurer l’écart entre le niveau de sécurité actuel de son SI et celui imposé par la nouvelle réglementation. Ensuite, il devra mettre en place un plan de remédiation pour combler cet écart », explique Eric Barbry.Et cela va bien au-delà des aspects purement techniques, car un tel changement de cadre réglementaire implique de repenser l’organisation, de renouveler les processus internes et de revoir, en concert avec les services juridiques, les contrats des prestataires et des fournisseurs. Un chantier réglementaire d’envergure qui demande un investissement important, sur le plan financier comme humain.
Si cela concerne pour le moment un certain nombre d’entreprises, celles qui ne sont pas encore soumises à ces réglementations doivent néanmoins commencer à s’y préparer. Un point sur lequel Eric Barby insiste : « Même pour ces DSI, l’impact n’est pas forcément nul, car certains partenaires de l’écosystème avec lesquels travaille l’entreprise seront peut-être directement touchés. Dans ce cas, ces partenaires seront probablement amenés à exiger des niveaux de sécurité plus importants dans leurs relations, pour pouvoir elles-mêmes satisfaire leurs exigences réglementaires ». Un phénomène qui pourrait créer un effet domino, faisant grimper les standards de sécurité dans toute la chaîne.
Rien n’est moins sûr : les directives comme DORA ou NIS2 impliquent un ensemble de contraintes réglementaires qu’il faudra appliquer au plus vite. « Même si ces DSI n’ont pas besoin de faire une analyse d’écart par rapport à DORA ou NIS2, ils devront cependant faire un travail équivalent », conclut Eric Barbry.
Comment se préparer à cette transition réglementaire ?
Pour réussir cette transition réglementaire, la clé réside dans une approche méhodique et bien structurée. Première étape : réaliser un audit approfondi afin d’identifier les priorités et les axes de travail spécifiques. À ce stade, faire appel à des experts — qu’il s’agisse de pour analyser les systèmes ou de cabinets d’avocats pour éclairer les obligations légales — est essentiel pour définir clairement le cadre réglementaire à respecter.Une fois le périmètre d’action établi, il est nécessaire d’instaurer une gouvernance solide qui fixe les responsabilités et les processus décisionnels. Cela doit être suivi par la mise en œuvre de mesures techniques adaptées, telles que l’actualisation des systèmes de sécurité. Parallèlement, la sensibilisation des équipes est primordiale : des formations doivent être dispensées pour familiariser le personnel avec les nouvelles normes et les bonnes pratiques à adopter.
Mais l’étape clé est la réévaluation des relations avec vos prestataires, une exigence instaurée par ce nouveau cadre légal, comme le rappelle Eric Barbry : « Les nouveaux textes imposent de reconsidérer la relation entre client et prestataire comme une source de danger potentiel. Avec un SI de plus en plus hybride avec le SaaS ou le Cloud, une partie importante de la sécurité du SI est externalisée. Le DSI doit s’assurer de la sécurité de ses prestataires ». À ce stade, une aide juridique est la bienvenue pour ajuster les contrats, en y intégrant des clauses précises concernant la sécurité des données. Cela est d’autant plus important pour les entreprises concernées par la directive DORA, qui renforce l’obligation de vigilance sur les risques associés aux prestataires externes.
L’intégration de nouvelles clauses soulève une question cruciale : comment s’assurer que les prestataires respectent ces engagements ? Comme le dit l’adage, « la confiance n’exclut pas le contrôle », mais qui doit s’en charger ? L’entreprise, le prestataire, un tiers ? « À quelques rares exceptions, il n’y a aucune règle, aucun texte qui impose de passer par un prestataire extérieur indépendant pour auditer le respect des engagements de part et d’autre », précise Eric Barbry. Toutefois, nombreuses sont les entreprises qui manquent de compétences techniques en interne. Une raison qui pousse de plus en plus de DSI à se tourner vers l’externalisation des sujets de cybersécurité.
À mesure que le paysage cyber se complexifie, les directives DORA, NIS2 et l’IA Act imposent une révision profonde des pratiques et des contrats. Plus qu’une contrainte, ces régulations offrent une opportunité de renforcer la résilience numérique. Ainsi, la vraie question n’est plus « Sommes-nous concernés ? », mais « Comment mettre à profit cette transition réglementaire pour construire une stratégie de cybersécurité durable ? »