Retour au blog

Cybersécurité entreprise : quelles obligations légales ?

Réglementations et normes • 27 août 2025

 

En 2025, la cybersécurité n’est plus seulement une affaire de bonnes pratiques : pour les entreprises françaises, elle est devenue une obligation légale. Directive NIS2, RGPD, certification HDS, référentiels de l’ANSSI… le cadre réglementaire s’est durci, en particulier pour les secteurs critiques. Entre responsabilité juridique des dirigeants, contrôles accrus, et sanctions financières, les DSI et RSSI doivent désormais piloter une conformité exigeante. Découvrez les règles à connaître, les autorités de référence, et les actions concrètes à mettre en place pour protéger vos systèmes et vos données.

 

 

Obligations légales cyber en 2025

 

Pourquoi la cybersécurité est-elle devenue une obligation réglementaire ?

Une réponse à la montée en puissance des cybermenaces

 

La dernière décennie a vu une explosion sans précédent des cybermenaces, tant en fréquence qu’en sophistication. Les rançongiciels (ransomwares), les attaques par hameçonnage (phishing) ou encore les compromissions de la chaîne d’approvisionnement touchent désormais tous les secteurs, sans distinction de taille ou de niveau de maturité numérique.

 

En 2025, plusieurs attaques majeures ont démontré à quel point une cyberattaque peut provoquer une paralysie opérationnelle. Des hôpitaux contraints de revenir au papier, des collectivités territoriales immobilisées pendant plusieurs semaines, des industriels stoppés net dans leur production… : ces incidents rappellent que la cybersécurité est devenue un enjeu systémique.

 

Les impacts ne se limitent plus à une perte de données : les conséquences métiers sont directes. Interruption de service, atteinte à l'image de marque, exposition juridique… la menace cyber est désormais au cœur de la continuité d’activité.

 

Une évolution du cadre juridique européen et français

 

Face à cette réalité, les États et les régulateurs européens ont progressivement renforcé leur arsenal législatif. Là où les premiers textes se contentaient de recommandations, on assiste désormais à une transformation profonde du droit : les obligations cyber sont devenues vérifiables, opposables, et encadrées par des autorités de contrôle.

 

L’Union européenne joue un rôle moteur dans cette évolution. La directive NIS2, entrée en vigueur en janvier 2023 et transposée en droit depuis 2024, impose un socle d’exigences de cybersécurité renforcées à plus de 15 000 entités en France. Le Digital Operational Resilience Act (DORA) complète ce cadre pour le secteur financier, tandis que le Cyber Resilience Act (CRA), en cours d’adoption, élargit encore les obligations aux éditeurs de produits numériques.

 

Au niveau national, la France confère à l’ANSSI un pouvoir d’accompagnement mais aussi de contrôle. Les DSI et RSSI ne sont plus seulement des garants opérationnels : ils deviennent juridiquement responsables des politiques de sécurité mises en œuvre. Par ailleurs, les textes les plus récents engagent également la responsabilité directe des organes de direction (CEO, conseil d’administration, DSI…), renforçant l’enjeu de gouvernance cyber au plus haut niveau.

 

Le Cloud Act et les enjeux d'extraterritorialité des données

 

Adopté en 2018 aux États-Unis, le Cloud Act (Clarifying Lawful Overseas Use of Data)1 permet aux autorités américaines de demander l’accès à des données, y compris lorsqu’elles sont stockées en dehors du territoire américain, dès lors qu’elles sont hébergées par un fournisseur soumis au droit des États-Unis. Cela concerne la majorité des grands acteurs du cloud public (Microsoft Azure, Google Cloud, AWS...).

 

Pour les entreprises françaises et européennes, ce cadre juridique soulève des inquiétudes majeures en matière de souveraineté numérique, en particulier lorsque les données concernées relèvent de régimes sensibles ou réglementés (santé, défense, industrie stratégique, etc.).

 

Face à ce risque, plusieurs options permettent de reprendre le contrôle :

  • S’appuyer sur des prestataires certifiés SecNumCloud, qui garantissent une indépendance juridique vis-à-vis du droit extraterritorial.

  • Choisir un cloud souverain hébergé en France ou dans l’Union européenne, exploité par un acteur non soumis au droit américain.

  • Mettre en œuvre un chiffrement robuste, avec des clefs maîtrisées exclusivement par l’entreprise, y compris dans un environnement multi-cloud.

Ces mesures doivent s’inscrire dans une stratégie d’architecture de confiance, pilotée dans le cadre du système de management de la sécurité de l’information (SMSI).

 

Les autorités de référence en matière de cybersécurité

 

L'ANSSI : pilier national de la politique cyber française

 

Créée en 2009, l’Agence nationale de la sécurité des systèmes d'information (ANSSI) est aujourd’hui l’autorité de référence en matière de cybersécurité en France. Rattachée au Secrétariat général de la défense et de la sécurité nationale (SGDSN), elle a pour mission d’anticiper, prévenir et répondre aux incidents affectant la sécurité des systèmes d'information publics et privés d'importance.

 

L’ANSSI joue un double rôle. D’une part, elle accompagne les organisations, à travers la publication de guides, référentiels techniques et bonnes pratiques. D’autre part, elle est compétente en matière de certification et de contrôle, notamment auprès des opérateurs d’importance vitale (OIV), des entités soumises à la LPM (Loi de programmation militaire), ou encore des prestataires de services numériques.

 

 

L’ANSSI élabore plusieurs référentiels :

  • SecNumCloud, pour encadrer la fourniture de services cloud en environnement sensible ou critique.

  • PAMS (prestataires d’administration et de maintenance sécurisées), encadrant les relations avec les prestataires à privilèges.

  • PASSI (prestataires d’audit de sécurité), définissant les exigences pour les cabinets ou experts habilités à réaliser des audits réglementaires.

Par ailleurs, les certifications de l’ANSSI, comme la CSPN (Certification de sécurité de premier niveau)2 ou les Certifications Critères Communs (CC)3, permettent d’identifier les solutions présentant un niveau de sécurité éprouvé, et sont de plus en plus utilisées dans les appels d’offres publics ou les politiques d’achats cyber.

 

 

Enfin, l’ANSSI produit des guides techniques à forte valeur opérationnelle, parmi lesquels :

 

L'ENISA : le régulateur européen du numérique sécurisé

 

À l’échelle européenne, le rôle de coordination et de régulation est assuré par l’ENISA (European Union Agency for Cybersecurity)4. Fondée en 2004 et renforcée en 2019 par le Cybersecurity Act, l’agence dispose désormais d’un mandat permanent pour développer une culture commune de la cybersécurité au sein de l’UE.

 

L’ENISA est notamment chargée :

  • De coordonner la mise en œuvre de la directive NIS2, en lien avec les autorités nationales.
  • D’assurer la cohérence des exigences de cybersécurité imposées aux États membres, aux opérateurs de services numériques et aux secteurs critiques.
  • De piloter des initiatives de certification au niveau européen, dans le cadre du Cybersecurity Act, en particulier pour les équipements connectés et services cloud.

 

L’agence joue aussi un rôle actif sur les travaux prospectifs liés à la cybersécurité :

  • Elle publie régulièrement des analyses de risques sur des thématiques émergentes : cybersécurité des chaînes logistiques, vulnérabilités dans les environnements cloud, sécurité des objets connectés...
  • Elle contribue à la définition des scénarios d’attaques transfrontaliers, avec des recommandations en matière de coopération et de réponse à incident.

 

L’ENISA n’a pas de pouvoir de sanction directe, mais ses publications servent de référence aux États membres pour la transposition des directives, l’élaboration de leurs politiques nationales, et la structuration des exigences sectorielles.

 

Quelles lois encadrent la cybersécurité des entreprises ?

 

RGPD : la sécurité des données à caractère personnel

 

Entré en application le 25 mai 2018, le Règlement général sur la protection des données (RGPD)5 impose aux entreprises de garantir un niveau de sécurité adapté aux risques pesant sur les données personnelles qu’elles traitent. Contrairement à une idée reçue, le RGPD en entreprise ne concerne pas uniquement la protection juridique des données : il exige également la mise en œuvre de mesures techniques et organisationnelles de sécurité.

 

Parmi les grands principes à retenir, on compte :

  • La sécurité dès la conception et par défaut : les traitements de données doivent intégrer les considérations de cybersécurité dès leur phase de conception, et non après coup.

  • L’obligation de minimiser les risques liés à l’accès, la perte ou l’altération des données, notamment via des mesures comme le chiffrement, la segmentation réseau et le contrôle des accès.

  • La traçabilité des opérations : les entreprises doivent être en mesure de démontrer la conformité au RGPD, ce qui implique une journalisation rigoureuse, une documentation des flux et des traitements, ainsi qu’un registre actualisé.

En cas de violation de données, l’entreprise doit notifier la CNIL dans un délai de 72 heures, sauf si l'incident est jugé sans impact pour les personnes concernées.

Vous l’aurez compris, cette obligation renforce la nécessité de mettre en place une politique de gestion des incidents claire, impliquant à la fois le DPO, le RSSI et les équipes métiers.

 

NIS2 : des exigences renforcées pour les secteurs critiques

 

La directive NIS2 (Network and Information Security)6 vise à renforcer le niveau de cybersécurité des entités dites "essentielles" ou "importantes" opérant dans des secteurs critiques : infrastructures numériques, énergie, santé, eau, administration publique, transport, services financiers, etc. Elle succède à la directive NIS1 de 2016, en élargissant son périmètre et en durcissant les obligations.

 

Parmi les exigences et impacts de NIS2 sur les organisations, on dénombre :

  • Gouvernance de la cybersécurité : les dirigeants d’entreprises concernées sont désormais tenus de superviser et d’approuver les mesures de sécurité mises en place. La cybersécurité devient une question de gouvernance au même titre que la conformité financière ou la RSE.

  • Mesures techniques obligatoires : authentification multifacteur (MFA), journalisation, détection des incidents, supervision de la sécurité, chiffrement, segmentation, sauvegardes.

  • Plan de gestion de crise : chaque entité doit être capable de réagir rapidement à une attaque, avec un plan de réponse éprouvé et des procédures de continuité définies.

  • Notification des incidents : tout incident significatif doit être signalé à l’autorité nationale avec un premier signalement dans les 24h et un rapport détaillé sous 72h.

La directive introduit également des sanctions administratives pouvant atteindre 10 millions d’euros ou 2 % du chiffre d'affaires mondial, avec une responsabilité partagée entre le RSSI, le COMEX et le conseil d’administration.

 

DORA : résilience opérationnelle des acteurs financiers

 

Le Digital Operational Resilience Act (DORA)7 est un règlement européen adopté en décembre 2022, applicable depuis janvier 2025. Il vise à renforcer la résilience numérique des institutions financières et de leurs prestataires critiques, dans un contexte où les cybermenaces peuvent mettre en péril la stabilité du système financier européen.

 

Les exigences de DORA couvrent cinq piliers :

1. Gouvernance et gestion des risques IT : mise en place d’un dispositif formel de pilotage de la cybersécurité, avec une implication des dirigeants.

2. Gestion des incidents majeurs : obligation de détecter, enregistrer, classifier et notifier les incidents affectant les opérations critiques.

3. Tests de résilience : campagnes régulières de tests techniques, y compris des tests de pénétration (pentest) menés par des prestataires certifiés, pour vérifier la robustesse du système.

4. Surveillance des prestataires : encadrement renforcé des relations avec les fournisseurs IT critiques (cloud, SaaS, services managés), avec des clauses contractuelles types.

5. Information et reporting aux autorités : obligation de transparence et de partage d’information en cas d’incident ou de compromission.

DORA s’applique aussi bien aux banques qu’aux compagnies d’assurance, gestionnaires d’actifs, fintechs, mais aussi à leurs prestataires cloud ou technologiques.

 

La Cyber Resilience Act : vers une sécurité native des produits numériques

 

Encore en discussion au Parlement européen, le Cyber Resilience Act (CRA)8 vise à encadrer la sécurité des produits numériques tout au long de leur cycle de vie. Il cible en particulier les éditeurs de logiciels, fabricants d’objets connectés, distributeurs d’équipements industriels numériques, et plateformes cloud.

 

L’objectif est simple : garantir que les produits numériques mis sur le marché européen répondent à un niveau de sécurité cohérent, vérifiable et durable.

 

Les principales obligations attendues :

  • Sécurité dès la conception : les produits devront intégrer des mécanismes de sécurité par défaut, adaptés aux menaces connues (authentification, contrôle d’intégrité, chiffrement...).

  • Documentation complète : les fabricants devront fournir des informations techniques précises sur la surface d’attaque, les mises à jour, les mesures de durcissement.

  • Tests et audits : certaines catégories de produits seront soumises à des certifications ou évaluations de conformité, en particulier dans les domaines sensibles (IoT médical, industriel...).

  • Mise à jour et correction des vulnérabilités : obligation de publier des correctifs dans un délai raisonnable, avec des procédures de notification des failles détectées.

Le Cyber Resilience Act vise à responsabiliser les éditeurs dès l’amont, là où la majorité des failles de cybersécurité prennent racine : dans le code, l’architecture ou la logique de fonctionnement des produits numériques.

 

Les secteurs soumis à des obligations de cybersécurité renforcées

 

Hébergement des données de santé : la certification HDS

 

Les données de santé figurent parmi les plus sensibles au regard du RGPD et du Code de la santé publique. Toute structure manipulant ou hébergeant ces données (qu’il s’agisse d’un établissement de soins, d’un éditeur de logiciel médical, d’un opérateur cloud ou d’un laboratoire) est tenue de respecter des exigences de sécurité très strictes. Depuis 2018, la certification HDS (Hébergeur de Données de Santé) est obligatoire pour tout acteur prenant en charge l’hébergement de données de santé.

 

Parmi les mesures attendues pour protéger les données de santé, on retrouve : 

  • Le chiffrement systématique des données en transit et au repos.
  • La segmentation réseau pour limiter les déplacements latéraux d’un attaquant.
  • Une auditabilité complète des actions d’accès, de traitement et de modification des données.
  • Le cloisonnement physique des environnements de production, test et développement.

La certification HDS impose aussi un audit de conformité par un organisme accrédité par le COFRAC. Elle est valable trois ans, avec un audit de surveillance annuel. Pour les éditeurs SaaS dans le domaine médical, ou les plateformes de télésurveillance, elle constitue un prérequis à tout déploiement dans un cadre réglementé.

 

Informations classifiées : diffusion restreinte et secret défense

 

Certaines entreprises, notamment dans les secteurs de la défense, de l’aéronautique, du nucléaire ou des télécommunications souveraines, manipulent des informations classifiées, soumises à un régime juridique spécifique (diffusion restreinte, secret défense, très secret défense).

 

Dans ce cadre, les exigences de cybersécurité atteignent un niveau de sécurité maximal :

  • Les systèmes doivent être homologués selon un processus rigoureux, supervisé par l’ANSSI ou les services de sécurité de défense.

  • L’environnement physique et logique doit être entièrement contrôlé : zones sécurisées, contrôle d’accès biométrique, cloisonnement des flux, interdiction d’interconnexion avec Internet.

  • Les personnes autorisées à accéder à ces informations doivent être habilitées, après une enquête de sécurité.

Ce niveau de sécurité n’est pas limité aux administrations ou aux armées : les industriels partenaires (fournisseurs, sous-traitants, bureaux d’études) sont également tenus de mettre en œuvre des dispositifs équivalents. À défaut, ils ne peuvent accéder aux marchés classifiés ou bénéficier de certaines accréditations.

 

Intéressé e par le sujet ? Découvrez plus de détails dans notre article dédié :
Diffusion restreinte et secret défense : les différences

 

Entités d'importance vitale et infrastructures critiques

 

La Loi de Programmation Militaire (LPM) et le décret OIV définissent un périmètre d’entités d’importance vitale (EIV). Il s’agit d’entreprises ou structures dont le dysfonctionnement ou la compromission pourrait impacter gravement la sécurité nationale, l’économie ou la santé publique.

 

Ces entités (opérateurs d’énergie, transporteurs ferroviaires, sociétés d’eau potable, acteurs du spatial, banques systémiques…) sont tenues à des obligations renforcées, parmi lesquelles :

  • La mise en œuvre d’un plan de sécurité des systèmes d’information (PSSI-OIV).
  • La déclaration des incidents de sécurité à l’ANSSI.
  • La réalisation d’audits réguliers, internes ou réalisés par des prestataires PASSI.
  • La résilience opérationnelle : continuité d’activité, redondance, PRA/PCA éprouvés.

Secteur financier & assurantiel européen avec DORA

 

Le secteur financier est soumis à une réglementation cyber spécifique depuis l’adoption du Digital Operational Resilience Act (DORA). Cette législation européenne vise à centraliser et harmoniser les exigences de cybersécurité applicables aux banques, assurances, fonds d’investissement, infrastructures de marché, et à leurs prestataires IT critiques.

DORA partage plusieurs objectifs avec la directive NIS2, mais s’en distingue en tant que lex specialis pour le secteur financier : il prévaut juridiquement sur NIS2 dès lors qu’une entité entre dans son périmètre.

 

Quelles sont les obligations techniques concrètes en cybersécurité ?

 

Sécurisation des accès : MFA, PAM et gestion des identifiants

 

La sécurisation des accès constitue l’un des fondements des exigences réglementaires actuelles. Que ce soit dans le RGPD, NIS2, DORA ou les référentiels de l’ANSSI, l’authentification multifacteurs (MFA) et la gestion des privilèges sont désormais des attentes non négociables.

 

Les recommandations de l’ANSSI insistent notamment sur l’utilisation systématique de la MFA pour tous les accès à privilèges, interfaces d’administration, VPN, cloud et services exposés sur Internet. 

 

Autre principe fondamental : la gestion du moindre privilège (PoLP). Il ne s’agit pas uniquement d’une bonne pratique, mais d’une exigence réglementaire formalisée dans plusieurs textes, dont l’ISO 27001 et NIS2. Elle repose sur :

  • La réduction du périmètre des droits d’accès à ceux strictement nécessaires.
  • La mise en place de comptes individuels nominatifs, évitant les partages de mots de passe.
  • La traçabilité complète des actions administratives.

Les solutions de type PAM (Privileged Access Management) permettent de centraliser et d’auditer les accès à privilèges. Elles peuvent être associées à un coffre-fort de mots de passe sécurisé, comme LockPass, pour protéger les identifiants sensibles, éviter leur diffusion en clair et assurer une traçabilité des connexions.

 

Sécurité des mots de passe : les bonnes pratiques à suivre

 

La robustesse des mots de passe reste un maillon faible dans de nombreuses compromissions, en particulier en entreprise. Pour y remédier, les référentiels ANSSI comme les normes ISO 27002 préconisent des règles de gestion précises :

  • Longueur minimale de 12 caractères pour les accès sensibles.
  • Interdiction des mots de passe présents dans des dictionnaires de compromission connus.
  • Interdiction du stockage des mots de passe en clair, que ce soit en base de données ou dans des fichiers de configuration.

L’usage d’un gestionnaire de mots de passe professionnel est désormais fortement recommandé. Il permet :

  • De générer automatiquement des mots de passe forts.
  • De centraliser leur gestion dans un environnement cloisonné et audité.
  • De faciliter l’adoption par les collaborateurs grâce à l’auto-complétion sécurisée.
  • D’éviter le recours à des pratiques risquées comme le stockage dans un fichier Excel, un navigateur ou un post-it.

Sécurisation des fichiers sensibles : cloisonnement et chiffrement

 

Les données sensibles (fichiers RH, documents contractuels, données clients…) doivent faire l’objet d’un traitement différencié au sein du système d’information.

 


Ce traitement repose sur trois piliers techniques :

  • Le chiffrement des données au repos et en transit, basé sur des algorithmes reconnus (AES-256, TLS 1.3). Il permet de garantir la confidentialité des données même en cas de compromission d’un support ou d’un canal de communication.

  • Le cloisonnement des fichiers : les documents doivent être accessibles uniquement par les personnes autorisées, en fonction de leur rôle, projet ou habilitation. Cela repose sur la mise en œuvre du RBAC (Role-Based Access Control) ou de politiques de gestion fine des droits d’accès.

  • Le partage sécurisé, qui doit reposer sur des solutions contrôlées et auditables, et non sur des outils grand public non conformes (type WeTransfer, Google Drive personnel...).

Du côté des outils dédiés, des solutions de transfert de fichiers sécurité comme LockTransfer permettent un partage sécurisé de fichiers avec :

  • Des liens à durée de vie limitée.
  • Une protection par mot de passe, indépendante de l’authentification standard.
  • Une traçabilité complète des téléchargements et accès.

Ces outils s’intègrent dans une politique plus large de Data Loss Prevention (DLP) visant à prévenir la fuite accidentelle ou malveillante de données sensibles.

 

Journalisation et détection d'incidents : l'obligation de traçabilité

 

La journalisation constitue une exigence transverse à de nombreux textes : RGPD, NIS2, ISO 27001 ou encore DORA. Il ne s’agit pas seulement de générer des logs, mais d’en faire un levier de détection des incidents, de preuve en cas d’audit, et de documentation en cas de notification réglementaire.

 

Les bonnes pratiques attendues comprennent :

  • La conservation des logs critiques sur une durée suffisante (6 mois à 1 an selon le périmètre), dans un espace horodaté et inviolable.

  • L’agrégation des journaux dans une solution centralisée type SIEM (Security Information and Event Management).

  • La corrélation automatique des événements pour détecter les comportements suspects, les accès anormaux, ou les débuts de compromission.

  • L’émission d’alertes en temps réel, pouvant être exploitées par une équipe SOC ou un prestataire MSSP.

Ici, l’objectif est double : réduire le temps de détection d’un incident, et disposer d’une chaîne de preuve exploitable lors d’un audit ou d’une investigation post-incident.

 

Maîtriser les risques liés aux fournisseurs et sous-traitants IT

 

Les entreprises ne travaillent plus seules : elles dépendent d’un écosystème de prestataires, parfois très imbriqué. Or, les réglementations comme NIS2, DORA et ISO 27001 imposent désormais une surveillance active de ces tiers, notamment dès lors qu’ils ont accès à des données sensibles ou à des fonctions critiques du SI.

 

Parmi les principaux risques, on dénombre :

  • Un prestataire SaaS compromis, pouvant permettre un accès latéral aux données hébergées.
  • Un hébergeur soumis au Cloud Act, exposant l’entreprise à des réquisitions étrangères.
  • Un éditeur vulnérable ou non maintenu, fragilisant l’ensemble du système.

 

 

Les mesures attendues pour piloter ces risques sont les suivantes :

  • Réaliser une évaluation des risques fournisseurs, via des méthodes comme EBIOS Risk Manager, intégrée au SGSI.
  • Intégrer des clauses de sécurité contractuelles : auditabilité, réversibilité, gestion des incidents, localisation des données, conformité aux référentiels.
  • Mettre en œuvre un suivi régulier des prestataires critiques, avec des revues de conformité annuelles.
  • Intégrer les tiers dans les plans de continuité d’activité (PCA), les audits de sécurité, et les exercices de crise.

Par ailleurs, recourir à des partenaires certifiés par ANSSI comme l’ensemble de la suite LockSelf, ou qualifiés selon des standards reconnus est largement encouragé. Cela renforce la chaîne de confiance et montre que l’entreprise a agi de manière responsable dans le choix de ses prestataires IT.

 

3 normes et référentiels cyber pour structurer la conformité des entreprises

 

1. ISO 27001 : construire un système de gestion de la sécurité de l'information (SGSI)

 

La norme ISO/IEC 27001 est aujourd’hui la référence internationale pour structurer la sécurité de l’information au sein des organisations. Elle propose un cadre méthodologique rigoureux pour bâtir un Système de Gestion de la Sécurité de l’Information (SGSI) aligné sur les risques métiers, les exigences réglementaires et les objectifs stratégiques de l’entreprise.

 

L’ISO 27001 repose sur le principe d’amélioration continue, structuré selon le cycle PDCA (Plan-Do-Check-Act) :

  • Plan : identifier les actifs à protéger, analyser les risques, définir une politique de sécurité, déterminer les objectifs et les mesures à mettre en œuvre.
  • Do : déployer les mesures organisationnelles et techniques prévues, documenter les processus, former les équipes.
  • Check : piloter la performance du SGSI à l’aide d’indicateurs, conduire des audits internes, analyser les incidents.
  • Act : ajuster la stratégie et les mesures à partir des retours, des écarts détectés et des évolutions du contexte.

La norme impose également la mise en place de processus de :

  • Revue de direction, garantissant l’implication du top management.
  • Gestion documentaire, permettant de démontrer la conformité et la traçabilité des actions.
  • Audit interne régulier, pour détecter les écarts et suivre les plans d’action.

L’ISO 27001 fait l’objet d’une certification officielle, délivrée par un organisme accrédité, après audit du système de management. Elle peut être articulée avec d’autres normes connexes :

  • ISO 27002 : qui décline en détail les mesures de sécurité à mettre en œuvre.
  • ISO 27005 : dédiée à la gestion des risques.

Découvrez notre guide complet pour obtenir la certification ISO 27001

 

2. EBIOS Risk Manager : la méthode d'analyse des risques cyber selon l'ANSSI

 

EBIOS Risk Manager est une méthode développée par l’ANSSI pour aider les organisations à formaliser leur analyse de risque cyber. Compatible avec ISO 27005, elle est reconnue comme méthode de référence en France pour conduire une évaluation des risques conforme aux attentes des régulateurs, notamment dans le cadre de la LPM, du RGPD, de NIS2 ou de DORA.

 

EBIOS RM se distingue par une approche pragmatique, orientée scénarios de menace et impacts business, plutôt que par une seule évaluation probabiliste des vulnérabilités.

 

La démarche comprend 5 étapes structurantes :

  • Cadrage et contexte : identification des objectifs métiers, périmètre analysé, parties prenantes.
  • Étude des événements redoutés : que pourrait-il arriver, avec quelles conséquences ?
  • Étude des scénarios stratégiques : quels acteurs malveillants pourraient être motivés à attaquer ?
  • Étude des scénarios opérationnels : quels vecteurs techniques pourraient être exploités ?
  • Définition du plan de traitement : priorisation des mesures de sécurité, arbitrages sur le niveau de risque résiduel acceptable.

 

EBIOS RM est particulièrement adapté pour :

  • Les entités soumises à la directive NIS2, qui doivent justifier d’une démarche d’analyse des risques.
  • Les projets d’externalisation, en permettant d’évaluer les risques liés à un prestataire.
  • Les exercices de gestion de crise, en imaginant des scénarios réalistes et impactants.

 

En tant qu’outil transversal, la méthode EBIOS Risk Manager permet de piloter les priorités de sécurité, de justifier les investissements cyber et de fédérer les parties prenantes autour d’une cartographie claire des risques.

 

3. SecNumCloud : le référentiel souverain pour les environnements critiques

 

SecNumCloud est un référentiel élaboré par l’ANSSI pour encadrer les services cloud destinés à héberger des données sensibles, notamment dans le secteur public, la santé, la défense ou chez les opérateurs d’importance vitale (OIV). Il s’adresse aux prestataires cloud souhaitant obtenir une qualification attestant de leur conformité à des standards élevés de sécurité, de résilience et de souveraineté.

 

La version en vigueur en 2025 (3.2) impose des exigences strictes, portant notamment sur :

  • Le chiffrement des données, avec un contrôle des clés assuré par le client ou un tiers de confiance.
  • La gestion des accès, incluant MFA, segmentation réseau, journalisation et séparation des responsabilités.
  • La continuité d’activité, via une infrastructure redondante et des plans de reprise testés.
  • La souveraineté juridique, en excluant tout lien avec des prestataires soumis à une législation extraterritoriale comme le Cloud Act.

Face aux risques d’ingérence juridique étrangère, les outils qualifiés SecNumCloud constituent la réponse française aux enjeux de souveraineté numérique. Ce référentiel est de plus en plus exigé dans les marchés publics et recommandé pour les entités critiques.

 

Faille de sécurité en entreprise : ce que dit la réglementation

 

Obligations de notification en cas d'incident de sécurité

 

En cas de faille de sécurité, la réglementation impose des démarches précises aux entreprises, selon la nature de l’incident et leur secteur d’activité.

Le RGPD prévoit, par exemple, l’obligation de notifier toute violation de données personnelles à la CNIL dans un délai de 72 heures. Cette notification n’est requise que si l’incident est susceptible d’engendrer un risque pour les personnes concernées. Si ce risque est élevé, les personnes doivent également être informées sans délai indu. 

 

La directive NIS2, quant à elle, renforce ces exigences pour les entités dites critiques. En cas d’incident majeur, l’organisation doit alerter l’ANSSI dans les 24 heures, fournir un rapport détaillé dans les 72 heures, puis un rapport final dans un délai d’un mois. L’objectif est d’assurer une réaction rapide, structurée et coordonnée, avec une transparence complète vis-à-vis des autorités compétentes.

 

Dans le secteur financier, le règlement DORA introduit un dispositif similaire mais encore plus formalisé. Les incidents doivent être classés selon leur gravité, documentés selon un format normé, et transmis aux régulateurs financiers. En parallèle, les entreprises doivent anticiper leur communication, tant en interne qu’auprès des clients ou partenaires concernés.

 

Ces obligations supposent pour les entreprises la mise en place de procédures internes de détection et de gestion des incidents rigoureuses.

 

Sanctions et responsabilités en cas de manquement

 

Lorsqu’une entreprise ne respecte pas ses obligations en matière de cybersécurité, les conséquences peuvent être particulièrement lourdes, tant sur le plan financier que juridique.

Le cadre réglementaire européen prévoit des sanctions proportionnées à la gravité des manquements constatés, et à l’impact potentiel ou réel sur les parties concernées.

 

Les amendes administratives peuvent atteindre des montants très élevés :

  • Le RGPD prévoit jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial, notamment en cas de défaut de sécurité ou de retard de notification lors d’une violation de données personnelles.

  • La directive NIS2 fixe un plafond à 10 millions d’euros ou 2 % du chiffre d’affaires global pour les entités critiques ne respectant pas leurs obligations techniques ou de gouvernance.

  • DORA laisse aux régulateurs financiers nationaux le soin de définir les sanctions précises, mais celles-ci doivent rester dissuasives, cohérentes avec la taille de l’établissement, et refléter le niveau de négligence.

 

Au-delà des amendes, les autorités peuvent imposer des injonctions. 

 

La CNIL, par exemple, peut exiger la suspension immédiate de certains traitements ou imposer la mise en œuvre de mesures correctives dans un délai fixé. 

 

De son côté, l’ANSSI est habilitée à diligenter des audits de sécurité et à adresser des recommandations dont le non-respect peut entraîner des suites administratives ou réglementaires.

 

Enfin, un changement majeur apporté par NIS2 concerne la responsabilité individuelle des dirigeants. Désormais, la direction générale est tenue de valider les orientations stratégiques, de s’assurer que les moyens sont à la hauteur des enjeux identifiés, et de suivre régulièrement la posture de sécurité de l’entreprise. En cas de manquement grave ou répété, des poursuites peuvent viser directement les membres du COMEX.

 

Prenons le cas d’un établissement hospitalier ayant été victime d’un ransomware, alors que plusieurs alertes internes pointaient la vulnérabilité de son réseau. Si la direction a sciemment repoussé les investissements nécessaires ou ignoré les recommandations formulées par la DSI, sa responsabilité pourrait être engagée sur le plan civil, voire pénal.

 

Entreprises : comment piloter la conformité cyber dans la durée ?

 

1. Structurer une gouvernance sécurité alignée sur les référentiels

 

La conformité cyber ne peut se limiter à un chantier ponctuel. Elle repose sur une gouvernance SSI claire, formalisée et pérenne, pilotée par le DSI ou le RSSI, avec le soutien explicite d’un sponsor issu du COMEX. Cet engagement au plus haut niveau est d’ailleurs attendu par des cadres comme ISO 27001 ou NIS2.

 

Cette gouvernance se traduit concrètement par la mise en place de comités de pilotage cybersécurité réguliers, réunissant les fonctions IT, juridiques, métiers, achats ou RH. Ces instances permettent de traiter les incidents, de suivre l’avancement des plans d’action, et de valider les évolutions du périmètre à couvrir.

 

Le suivi dans le temps doit s’appuyer sur des tableaux de bord de conformité, construits à partir d’indicateurs alignés avec les exigences des référentiels applicables.

 

Enfin, la réalisation d’audits internes réguliers, voire croisés entre entités du groupe, permet d’identifier les écarts, de prioriser les actions correctrices, et de se préparer aux contrôles externes. Ces audits servent également de base solide pour préparer une certification (ISO 27001, HDS, SecNumCloud), en assurant la cohérence entre les pratiques opérationnelles et les politiques formelles.

 

2. Former les collaborateurs à la conformité cyber

 

Tous les collaborateurs sont concernés par la conformité cyber, et doivent adopter des comportements alignés avec les exigences réglementaires. C’est pourquoi la formation cybersécurité doit figurer dans le plan de formation annuel de l’entreprise, en cohérence avec les obligations du RGPD et du règlement DORA, qui imposent une sensibilisation des personnels exposés.

 

Pour garantir l’efficacité de cette démarche, il est essentiel de proposer des modules e-learning adaptés à chaque type de collaborateurs : les contenus destinés aux métiers, à l’IT ou aux membres du comité de direction doivent être différenciés et accessibles. Ces formats courts permettent un déploiement large et un suivi facilité.

 

Les entreprises les plus matures vont plus loin en organisant des campagnes de phishing simulé, afin d’évaluer les réflexes des équipes face aux tentatives de fraude. Ces tests, associés à des actions de remédiation ciblées, permettent de réduire concrètement le risque lié au facteur humain.

 

Il est également pertinent de désigner des référents cybersécurité dans chaque service. Ces relais de proximité facilitent la diffusion des bonnes pratiques, détectent les usages à risque et renforcent la culture de sécurité au quotidien.

 

Enfin, toutes les actions de formation doivent être tracées. En cas de contrôle de la CNIL, d’un audit réglementaire ou à la suite d’un incident, cette traçabilité permet de démontrer l’engagement de l’entreprise en matière de sensibilisation et de prévention.

 

3. Mettre en place les outils et procédures nécessaire

 

Assurer la conformité dans la durée nécessite de déployer des outils techniques adaptés, certifiés ou reconnus par l’ANSSI, et conformes aux exigences des principaux référentiels. Vous l’aurez compris, le choix des solutions ne doit pas reposer uniquement sur leur puissance, mais sur leur capacité à répondre aux standards réglementaires tout en s’intégrant aux usages des équipes.

 

Une solution de coffre-fort de mots de passe, par exemple, doit permettre une adoption fluide, une gestion centralisée des identifiants, et une traçabilité fine des accès. Une ergonomie mal pensée compromet l’adhésion des utilisateurs et, avec elle, la sécurité globale du système.

 

Au-delà de la technologie, l’entreprise doit formaliser des procédures claires, connues et testées, couvrant les principaux volets de la sécurité : gestion des accès, plan de sauvegarde, journalisation, réponse aux incidents, et traitement des violations de données. Chaque procédure doit désigner un responsable, un périmètre d’application et des conditions de déclenchement précises.

 

Enfin, la mise en place d’un Plan de Reprise d’Activité (PRA) et d’un Plan de Continuité d’Activité (PCA) intégrant la dimension cyber est indispensable. Ces dispositifs permettent d’assurer la résilience des opérations en cas de cyberattaque, de sinistre ou de défaillance technique, et sont systématiquement vérifiés lors des audits et démarches de certification.

 


_____
Sources : 

1 https://www.justice.gov/criminal/cloud-act-resources
2 https://cyber.gouv.fr/presentation-de-la-certification-de-securite-de-premier-niveau-cspn

3 https://cyber.gouv.fr/presentation-des-certifications-criteres-communs

4 https://www.enisa.europa.eu/

5 https://www.cnil.fr/fr/reglement-europeen-protection-donnees
6 https://cyber.gouv.fr/la-directive-nis-2
7 https://www.digital-operational-resilience-act.com/

8 https://www.european-cyber-resilience-act.com/

 

À lire aussi

Articles recommandés pour booster votre cybersécurité

Réglementations et normes

10 recommandations de l’ANSSI pour une bonne hygiène cyber

Coffre-fort de mots de passe

Mots de passe selon l'ANSSI : 5 règles à adopter en 2025

Réglementations et normes

NIS2, DORA, CRA : Plan d'action 2024-25 pour vous conformer

 

Découvrez LockSelf

La solution cyber adaptée à vos équipes métiers

Certifiée par l'ANSSI.

Accédez à l'ensemble des fonctionnalités de la suite LockSelf pendant 14 jours, gratuitement.

Découvrir
LockSelf

Sommaire

Cybersécurité entreprise : quelles obligations légales ?

LockSelf SAS
6 Rue des Bateliers
92110 Clichy

contact@lockself.com
01 87 66 15 65
Solutions
LockPass
LockTransfer
LockFiles
Suite LockSelf
Extensions
Chrome
Brave
Edge
Firefox ESR
Autres
Hébergement
Sécurité
Livres Blancs
Observatoire LockSelf 2024
Support
Contact
Copyright © LockSelf 2022
CGU
CGV
Mentions légales