Les entreprises françaises font face à trois textes majeurs en matière de cybersécurité : la directive NIS 2, le règlement DORA et le volet sécurité du RGPD. Le non-respect de ces obligations expose l’entreprise à des amendes pouvant atteindre 10 millions d’euros — et le dirigeant à une interdiction temporaire d’exercer. En 2025, l’ANSSI a enregistré 831 incidents significatifs, soit 15 % de plus qu’en 2024.
NIS 2 : le texte qui change la donne
La directive NIS 2 (Network and Information Security), transposée en droit français, élargit le périmètre des entités concernées de 500 à environ 15 000 organisations en France.
Deux catégories d’entités régulées
- Entités essentielles : énergie, transport, santé, eau, infrastructures numériques, administration publique, espace
- Entités importantes : services postaux, gestion des déchets, chimie, agroalimentaire, fabrication, services numériques
Quatre obligations structurantes
| Obligation | Détail | Délai |
|---|---|---|
| Gestion des risques cyber | Politique de sécurité documentée couvrant analyse de risques, gestion des incidents, continuité d’activité | Permanent |
| Notification des incidents | Alerte précoce à l’ANSSI sous 24 heures, notification complète sous 72 heures | Dès survenance |
| Sécurité de la chaîne d’approvisionnement | Audit des prestataires IT et intégration de clauses de sécurité dans les contrats | Permanent |
| Formation des dirigeants | Les membres de la direction suivent une formation en cybersécurité | Annuelle |
Le virage majeur : la responsabilité personnelle du dirigeant
NIS 2 introduit une responsabilité personnelle des dirigeants (article 20). Les organes de direction doivent :
- Approuver les mesures de gestion des risques cyber
- Superviser leur déploiement effectif
- Suivre une formation obligatoire en cybersécurité
- Répondre personnellement des manquements constatés
Sanction possible : interdiction temporaire d’exercer des fonctions de direction. Les dirigeants exposés ont tout intérêt à souscrire une assurance D&O adaptée pour couvrir ce risque.
DORA : le régime spécifique du secteur financier
Le règlement DORA (Digital Operational Resilience Act) s’applique depuis janvier 2025 aux banques, assurances, sociétés de gestion et prestataires crypto.
Ses exigences dépassent NIS 2 sur plusieurs points :
- Cadre de gestion des risques TIC : politique documentée, gouvernance dédiée, budget identifié
- Tests de résilience : exercices réguliers incluant des tests de pénétration avancés (TLPT) pour les entités systémiques
- Gestion des prestataires tiers : registre des prestataires IT critiques, clauses contractuelles obligatoires, plans de sortie
- Signalement des incidents TIC : notification aux autorités de supervision dans un délai strict
Les obligations réglementaires spécifiques au droit bancaire s’ajoutent à ce cadre pour les établissements de crédit.
RGPD : l’article 32 en détail
L’article 32 du RGPD impose des mesures de sécurité « appropriées au risque ». Concrètement :
- Pseudonymisation et chiffrement des données personnelles
- Capacité à garantir la confidentialité, l’intégrité et la disponibilité des systèmes
- Capacité à rétablir l’accès aux données dans des délais appropriés après un incident
- Procédure de test et d’évaluation régulière de l’efficacité des mesures
En cas de violation de données : notification à la CNIL sous 72 heures et, si le risque est élevé pour les personnes, notification aux personnes concernées. Un audit RGPD régulier vérifie le respect de ces exigences.
Vue consolidée des obligations
| Obligation | NIS 2 | DORA | RGPD art. 32 |
|---|---|---|---|
| Mesures de sécurité techniques | Oui | Oui (renforcé) | Oui |
| Notification d’incidents | 24h + 72h (ANSSI) | Délai fixé par autorité sectorielle | 72h (CNIL) |
| Formation dirigeants | Obligatoire | Recommandée | Non spécifié |
| Audit de sécurité | Obligatoire | Obligatoire (+ TLPT) | Recommandé |
| Plan de continuité | Obligatoire | Obligatoire | Implicite |
| Gestion des tiers | Obligatoire | Obligatoire (registre) | Via contrat sous-traitance |
Sanctions : ce que risque concrètement l’entreprise
| Texte | Amende maximale | Particularité |
|---|---|---|
| NIS 2 | 10 M€ ou 2 % du CA mondial (entités essentielles) | Responsabilité personnelle du dirigeant |
| RGPD | 20 M€ ou 4 % du CA mondial | S’applique à tout traitement de données personnelles |
| DORA | Définie par l’autorité sectorielle (ACPR, AMF) | Peut inclure le retrait d’agrément |
Structurer sa conformité cyber en sept étapes
- Cartographier les systèmes d’information et identifier les données sensibles
- Évaluer les risques avec une méthodologie reconnue (EBIOS RM de l’ANSSI ou ISO 27005)
- Déployer les mesures techniques : chiffrement, segmentation réseau, MFA, EDR, sauvegarde 3-2-1
- Documenter les politiques de sécurité et les procédures de gestion d’incidents
- Former tous les collaborateurs — y compris les dirigeants, dans le cadre du plan de développement des compétences
- Tester régulièrement : exercices de crise, tests d’intrusion, simulations de phishing
- Auditer annuellement le dispositif et corriger les écarts identifiés
L’essor de l’intelligence artificielle dans les systèmes d’information ajoute une couche supplémentaire d’exigences, encadrées par le règlement européen IA Act. Sécuriser ses systèmes aujourd’hui, c’est aussi préparer la conformité de demain.