En 2025, la cybersécurité n’est plus seulement une affaire de bonnes pratiques : pour les entreprises françaises, elle est devenue une obligation légale. Directive NIS2, RGPD, certification HDS, référentiels de l’ANSSI… le cadre réglementaire s’est durci, en particulier pour les secteurs critiques. Entre responsabilité juridique des dirigeants, contrôles accrus, et sanctions financières, les DSI et RSSI doivent désormais piloter une conformité exigeante. Découvrez les règles à connaître, les autorités de référence, et les actions concrètes à mettre en place pour protéger vos systèmes et vos données.
La dernière décennie a vu une explosion sans précédent des cybermenaces, tant en fréquence qu’en sophistication. Les rançongiciels (ransomwares), les attaques par hameçonnage (phishing) ou encore les compromissions de la chaîne d’approvisionnement touchent désormais tous les secteurs, sans distinction de taille ou de niveau de maturité numérique.
En 2025, plusieurs attaques majeures ont démontré à quel point une cyberattaque peut provoquer une paralysie opérationnelle. Des hôpitaux contraints de revenir au papier, des collectivités territoriales immobilisées pendant plusieurs semaines, des industriels stoppés net dans leur production… : ces incidents rappellent que la cybersécurité est devenue un enjeu systémique.
Les impacts ne se limitent plus à une perte de données : les conséquences métiers sont directes. Interruption de service, atteinte à l'image de marque, exposition juridique… la menace cyber est désormais au cœur de la continuité d’activité.
Face à cette réalité, les États et les régulateurs européens ont progressivement renforcé leur arsenal législatif. Là où les premiers textes se contentaient de recommandations, on assiste désormais à une transformation profonde du droit : les obligations cyber sont devenues vérifiables, opposables, et encadrées par des autorités de contrôle.
L’Union européenne joue un rôle moteur dans cette évolution. La directive NIS2, entrée en vigueur en janvier 2023 et transposée en droit depuis 2024, impose un socle d’exigences de cybersécurité renforcées à plus de 15 000 entités en France. Le Digital Operational Resilience Act (DORA) complète ce cadre pour le secteur financier, tandis que le Cyber Resilience Act (CRA), en cours d’adoption, élargit encore les obligations aux éditeurs de produits numériques.
Au niveau national, la France confère à l’ANSSI un pouvoir d’accompagnement mais aussi de contrôle. Les DSI et RSSI ne sont plus seulement des garants opérationnels : ils deviennent juridiquement responsables des politiques de sécurité mises en œuvre. Par ailleurs, les textes les plus récents engagent également la responsabilité directe des organes de direction (CEO, conseil d’administration, DSI…), renforçant l’enjeu de gouvernance cyber au plus haut niveau.
Adopté en 2018 aux États-Unis, le Cloud Act (Clarifying Lawful Overseas Use of Data)1 permet aux autorités américaines de demander l’accès à des données, y compris lorsqu’elles sont stockées en dehors du territoire américain, dès lors qu’elles sont hébergées par un fournisseur soumis au droit des États-Unis. Cela concerne la majorité des grands acteurs du cloud public (Microsoft Azure, Google Cloud, AWS...).
Pour les entreprises françaises et européennes, ce cadre juridique soulève des inquiétudes majeures en matière de souveraineté numérique, en particulier lorsque les données concernées relèvent de régimes sensibles ou réglementés (santé, défense, industrie stratégique, etc.).
Face à ce risque, plusieurs options permettent de reprendre le contrôle :
Ces mesures doivent s’inscrire dans une stratégie d’architecture de confiance, pilotée dans le cadre du système de management de la sécurité de l’information (SMSI).
Créée en 2009, l’Agence nationale de la sécurité des systèmes d'information (ANSSI) est aujourd’hui l’autorité de référence en matière de cybersécurité en France. Rattachée au Secrétariat général de la défense et de la sécurité nationale (SGDSN), elle a pour mission d’anticiper, prévenir et répondre aux incidents affectant la sécurité des systèmes d'information publics et privés d'importance.
L’ANSSI joue un double rôle. D’une part, elle accompagne les organisations, à travers la publication de guides, référentiels techniques et bonnes pratiques. D’autre part, elle est compétente en matière de certification et de contrôle, notamment auprès des opérateurs d’importance vitale (OIV), des entités soumises à la LPM (Loi de programmation militaire), ou encore des prestataires de services numériques.
L’ANSSI élabore plusieurs référentiels :
Par ailleurs, les certifications de l’ANSSI, comme la CSPN (Certification de sécurité de premier niveau)2 ou les Certifications Critères Communs (CC)3, permettent d’identifier les solutions présentant un niveau de sécurité éprouvé, et sont de plus en plus utilisées dans les appels d’offres publics ou les politiques d’achats cyber.
Enfin, l’ANSSI produit des guides techniques à forte valeur opérationnelle, parmi lesquels :
À l’échelle européenne, le rôle de coordination et de régulation est assuré par l’ENISA (European Union Agency for Cybersecurity)4. Fondée en 2004 et renforcée en 2019 par le Cybersecurity Act, l’agence dispose désormais d’un mandat permanent pour développer une culture commune de la cybersécurité au sein de l’UE.
L’ENISA est notamment chargée :
L’agence joue aussi un rôle actif sur les travaux prospectifs liés à la cybersécurité :
L’ENISA n’a pas de pouvoir de sanction directe, mais ses publications servent de référence aux États membres pour la transposition des directives, l’élaboration de leurs politiques nationales, et la structuration des exigences sectorielles.
Entré en application le 25 mai 2018, le Règlement général sur la protection des données (RGPD)5 impose aux entreprises de garantir un niveau de sécurité adapté aux risques pesant sur les données personnelles qu’elles traitent. Contrairement à une idée reçue, le RGPD en entreprise ne concerne pas uniquement la protection juridique des données : il exige également la mise en œuvre de mesures techniques et organisationnelles de sécurité.
Parmi les grands principes à retenir, on compte :
En cas de violation de données, l’entreprise doit notifier la CNIL dans un délai de 72 heures, sauf si l'incident est jugé sans impact pour les personnes concernées.
Vous l’aurez compris, cette obligation renforce la nécessité de mettre en place une politique de gestion des incidents claire, impliquant à la fois le DPO, le RSSI et les équipes métiers.
La directive NIS2 (Network and Information Security)6 vise à renforcer le niveau de cybersécurité des entités dites "essentielles" ou "importantes" opérant dans des secteurs critiques : infrastructures numériques, énergie, santé, eau, administration publique, transport, services financiers, etc. Elle succède à la directive NIS1 de 2016, en élargissant son périmètre et en durcissant les obligations.
Parmi les exigences et impacts de NIS2 sur les organisations, on dénombre :
La directive introduit également des sanctions administratives pouvant atteindre 10 millions d’euros ou 2 % du chiffre d'affaires mondial, avec une responsabilité partagée entre le RSSI, le COMEX et le conseil d’administration.
Le Digital Operational Resilience Act (DORA)7 est un règlement européen adopté en décembre 2022, applicable depuis janvier 2025. Il vise à renforcer la résilience numérique des institutions financières et de leurs prestataires critiques, dans un contexte où les cybermenaces peuvent mettre en péril la stabilité du système financier européen.
Les exigences de DORA couvrent cinq piliers :
1. Gouvernance et gestion des risques IT : mise en place d’un dispositif formel de pilotage de la cybersécurité, avec une implication des dirigeants.
DORA s’applique aussi bien aux banques qu’aux compagnies d’assurance, gestionnaires d’actifs, fintechs, mais aussi à leurs prestataires cloud ou technologiques.
Encore en discussion au Parlement européen, le Cyber Resilience Act (CRA)8 vise à encadrer la sécurité des produits numériques tout au long de leur cycle de vie. Il cible en particulier les éditeurs de logiciels, fabricants d’objets connectés, distributeurs d’équipements industriels numériques, et plateformes cloud.
L’objectif est simple : garantir que les produits numériques mis sur le marché européen répondent à un niveau de sécurité cohérent, vérifiable et durable.
Les principales obligations attendues :
Le Cyber Resilience Act vise à responsabiliser les éditeurs dès l’amont, là où la majorité des failles de cybersécurité prennent racine : dans le code, l’architecture ou la logique de fonctionnement des produits numériques.
Les données de santé figurent parmi les plus sensibles au regard du RGPD et du Code de la santé publique. Toute structure manipulant ou hébergeant ces données (qu’il s’agisse d’un établissement de soins, d’un éditeur de logiciel médical, d’un opérateur cloud ou d’un laboratoire) est tenue de respecter des exigences de sécurité très strictes. Depuis 2018, la certification HDS (Hébergeur de Données de Santé) est obligatoire pour tout acteur prenant en charge l’hébergement de données de santé.
Parmi les mesures attendues pour protéger les données de santé, on retrouve :
La certification HDS impose aussi un audit de conformité par un organisme accrédité par le COFRAC. Elle est valable trois ans, avec un audit de surveillance annuel. Pour les éditeurs SaaS dans le domaine médical, ou les plateformes de télésurveillance, elle constitue un prérequis à tout déploiement dans un cadre réglementé.
Certaines entreprises, notamment dans les secteurs de la défense, de l’aéronautique, du nucléaire ou des télécommunications souveraines, manipulent des informations classifiées, soumises à un régime juridique spécifique (diffusion restreinte, secret défense, très secret défense).
Dans ce cadre, les exigences de cybersécurité atteignent un niveau de sécurité maximal :
Ce niveau de sécurité n’est pas limité aux administrations ou aux armées : les industriels partenaires (fournisseurs, sous-traitants, bureaux d’études) sont également tenus de mettre en œuvre des dispositifs équivalents. À défaut, ils ne peuvent accéder aux marchés classifiés ou bénéficier de certaines accréditations.
Intéressé e par le sujet ? Découvrez plus de détails dans notre article dédié :
Diffusion restreinte et secret défense : les différences
La Loi de Programmation Militaire (LPM) et le décret OIV définissent un périmètre d’entités d’importance vitale (EIV). Il s’agit d’entreprises ou structures dont le dysfonctionnement ou la compromission pourrait impacter gravement la sécurité nationale, l’économie ou la santé publique.
Ces entités (opérateurs d’énergie, transporteurs ferroviaires, sociétés d’eau potable, acteurs du spatial, banques systémiques…) sont tenues à des obligations renforcées, parmi lesquelles :
Le secteur financier est soumis à une réglementation cyber spécifique depuis l’adoption du Digital Operational Resilience Act (DORA). Cette législation européenne vise à centraliser et harmoniser les exigences de cybersécurité applicables aux banques, assurances, fonds d’investissement, infrastructures de marché, et à leurs prestataires IT critiques.
DORA partage plusieurs objectifs avec la directive NIS2, mais s’en distingue en tant que lex specialis pour le secteur financier : il prévaut juridiquement sur NIS2 dès lors qu’une entité entre dans son périmètre.
La sécurisation des accès constitue l’un des fondements des exigences réglementaires actuelles. Que ce soit dans le RGPD, NIS2, DORA ou les référentiels de l’ANSSI, l’authentification multifacteurs (MFA) et la gestion des privilèges sont désormais des attentes non négociables.
Les recommandations de l’ANSSI insistent notamment sur l’utilisation systématique de la MFA pour tous les accès à privilèges, interfaces d’administration, VPN, cloud et services exposés sur Internet.
Autre principe fondamental : la gestion du moindre privilège (PoLP). Il ne s’agit pas uniquement d’une bonne pratique, mais d’une exigence réglementaire formalisée dans plusieurs textes, dont l’ISO 27001 et NIS2. Elle repose sur :
Les solutions de type PAM (Privileged Access Management) permettent de centraliser et d’auditer les accès à privilèges. Elles peuvent être associées à un coffre-fort de mots de passe sécurisé, comme LockPass, pour protéger les identifiants sensibles, éviter leur diffusion en clair et assurer une traçabilité des connexions.
La robustesse des mots de passe reste un maillon faible dans de nombreuses compromissions, en particulier en entreprise. Pour y remédier, les référentiels ANSSI comme les normes ISO 27002 préconisent des règles de gestion précises :
L’usage d’un gestionnaire de mots de passe professionnel est désormais fortement recommandé. Il permet :
Les données sensibles (fichiers RH, documents contractuels, données clients…) doivent faire l’objet d’un traitement différencié au sein du système d’information.
Ce traitement repose sur trois piliers techniques :
Du côté des outils dédiés, des solutions de transfert de fichiers sécurité comme LockTransfer permettent un partage sécurisé de fichiers avec :
Ces outils s’intègrent dans une politique plus large de Data Loss Prevention (DLP) visant à prévenir la fuite accidentelle ou malveillante de données sensibles.
La journalisation constitue une exigence transverse à de nombreux textes : RGPD, NIS2, ISO 27001 ou encore DORA. Il ne s’agit pas seulement de générer des logs, mais d’en faire un levier de détection des incidents, de preuve en cas d’audit, et de documentation en cas de notification réglementaire.
Les bonnes pratiques attendues comprennent :
Ici, l’objectif est double : réduire le temps de détection d’un incident, et disposer d’une chaîne de preuve exploitable lors d’un audit ou d’une investigation post-incident.
Les entreprises ne travaillent plus seules : elles dépendent d’un écosystème de prestataires, parfois très imbriqué. Or, les réglementations comme NIS2, DORA et ISO 27001 imposent désormais une surveillance active de ces tiers, notamment dès lors qu’ils ont accès à des données sensibles ou à des fonctions critiques du SI.
Parmi les principaux risques, on dénombre :
Les mesures attendues pour piloter ces risques sont les suivantes :
Par ailleurs, recourir à des partenaires certifiés par ANSSI comme l’ensemble de la suite LockSelf, ou qualifiés selon des standards reconnus est largement encouragé. Cela renforce la chaîne de confiance et montre que l’entreprise a agi de manière responsable dans le choix de ses prestataires IT.
La norme ISO/IEC 27001 est aujourd’hui la référence internationale pour structurer la sécurité de l’information au sein des organisations. Elle propose un cadre méthodologique rigoureux pour bâtir un Système de Gestion de la Sécurité de l’Information (SGSI) aligné sur les risques métiers, les exigences réglementaires et les objectifs stratégiques de l’entreprise.
L’ISO 27001 repose sur le principe d’amélioration continue, structuré selon le cycle PDCA (Plan-Do-Check-Act) :
La norme impose également la mise en place de processus de :
L’ISO 27001 fait l’objet d’une certification officielle, délivrée par un organisme accrédité, après audit du système de management. Elle peut être articulée avec d’autres normes connexes :
Découvrez notre guide complet pour obtenir la certification ISO 27001
EBIOS Risk Manager est une méthode développée par l’ANSSI pour aider les organisations à formaliser leur analyse de risque cyber. Compatible avec ISO 27005, elle est reconnue comme méthode de référence en France pour conduire une évaluation des risques conforme aux attentes des régulateurs, notamment dans le cadre de la LPM, du RGPD, de NIS2 ou de DORA.
EBIOS RM se distingue par une approche pragmatique, orientée scénarios de menace et impacts business, plutôt que par une seule évaluation probabiliste des vulnérabilités.
La démarche comprend 5 étapes structurantes :
EBIOS RM est particulièrement adapté pour :
En tant qu’outil transversal, la méthode EBIOS Risk Manager permet de piloter les priorités de sécurité, de justifier les investissements cyber et de fédérer les parties prenantes autour d’une cartographie claire des risques.
SecNumCloud est un référentiel élaboré par l’ANSSI pour encadrer les services cloud destinés à héberger des données sensibles, notamment dans le secteur public, la santé, la défense ou chez les opérateurs d’importance vitale (OIV). Il s’adresse aux prestataires cloud souhaitant obtenir une qualification attestant de leur conformité à des standards élevés de sécurité, de résilience et de souveraineté.
La version en vigueur en 2025 (3.2) impose des exigences strictes, portant notamment sur :
Face aux risques d’ingérence juridique étrangère, les outils qualifiés SecNumCloud constituent la réponse française aux enjeux de souveraineté numérique. Ce référentiel est de plus en plus exigé dans les marchés publics et recommandé pour les entités critiques.
En cas de faille de sécurité, la réglementation impose des démarches précises aux entreprises, selon la nature de l’incident et leur secteur d’activité.
Le RGPD prévoit, par exemple, l’obligation de notifier toute violation de données personnelles à la CNIL dans un délai de 72 heures. Cette notification n’est requise que si l’incident est susceptible d’engendrer un risque pour les personnes concernées. Si ce risque est élevé, les personnes doivent également être informées sans délai indu.
La directive NIS2, quant à elle, renforce ces exigences pour les entités dites critiques. En cas d’incident majeur, l’organisation doit alerter l’ANSSI dans les 24 heures, fournir un rapport détaillé dans les 72 heures, puis un rapport final dans un délai d’un mois. L’objectif est d’assurer une réaction rapide, structurée et coordonnée, avec une transparence complète vis-à-vis des autorités compétentes.
Dans le secteur financier, le règlement DORA introduit un dispositif similaire mais encore plus formalisé. Les incidents doivent être classés selon leur gravité, documentés selon un format normé, et transmis aux régulateurs financiers. En parallèle, les entreprises doivent anticiper leur communication, tant en interne qu’auprès des clients ou partenaires concernés.
Ces obligations supposent pour les entreprises la mise en place de procédures internes de détection et de gestion des incidents rigoureuses.
Lorsqu’une entreprise ne respecte pas ses obligations en matière de cybersécurité, les conséquences peuvent être particulièrement lourdes, tant sur le plan financier que juridique.
Le cadre réglementaire européen prévoit des sanctions proportionnées à la gravité des manquements constatés, et à l’impact potentiel ou réel sur les parties concernées.
Les amendes administratives peuvent atteindre des montants très élevés :
Au-delà des amendes, les autorités peuvent imposer des injonctions.
La CNIL, par exemple, peut exiger la suspension immédiate de certains traitements ou imposer la mise en œuvre de mesures correctives dans un délai fixé.
De son côté, l’ANSSI est habilitée à diligenter des audits de sécurité et à adresser des recommandations dont le non-respect peut entraîner des suites administratives ou réglementaires.
Enfin, un changement majeur apporté par NIS2 concerne la responsabilité individuelle des dirigeants. Désormais, la direction générale est tenue de valider les orientations stratégiques, de s’assurer que les moyens sont à la hauteur des enjeux identifiés, et de suivre régulièrement la posture de sécurité de l’entreprise. En cas de manquement grave ou répété, des poursuites peuvent viser directement les membres du COMEX.
Prenons le cas d’un établissement hospitalier ayant été victime d’un ransomware, alors que plusieurs alertes internes pointaient la vulnérabilité de son réseau. Si la direction a sciemment repoussé les investissements nécessaires ou ignoré les recommandations formulées par la DSI, sa responsabilité pourrait être engagée sur le plan civil, voire pénal.
La conformité cyber ne peut se limiter à un chantier ponctuel. Elle repose sur une gouvernance SSI claire, formalisée et pérenne, pilotée par le DSI ou le RSSI, avec le soutien explicite d’un sponsor issu du COMEX. Cet engagement au plus haut niveau est d’ailleurs attendu par des cadres comme ISO 27001 ou NIS2.
Cette gouvernance se traduit concrètement par la mise en place de comités de pilotage cybersécurité réguliers, réunissant les fonctions IT, juridiques, métiers, achats ou RH. Ces instances permettent de traiter les incidents, de suivre l’avancement des plans d’action, et de valider les évolutions du périmètre à couvrir.
Le suivi dans le temps doit s’appuyer sur des tableaux de bord de conformité, construits à partir d’indicateurs alignés avec les exigences des référentiels applicables.
Enfin, la réalisation d’audits internes réguliers, voire croisés entre entités du groupe, permet d’identifier les écarts, de prioriser les actions correctrices, et de se préparer aux contrôles externes. Ces audits servent également de base solide pour préparer une certification (ISO 27001, HDS, SecNumCloud), en assurant la cohérence entre les pratiques opérationnelles et les politiques formelles.
Tous les collaborateurs sont concernés par la conformité cyber, et doivent adopter des comportements alignés avec les exigences réglementaires. C’est pourquoi la formation cybersécurité doit figurer dans le plan de formation annuel de l’entreprise, en cohérence avec les obligations du RGPD et du règlement DORA, qui imposent une sensibilisation des personnels exposés.
Pour garantir l’efficacité de cette démarche, il est essentiel de proposer des modules e-learning adaptés à chaque type de collaborateurs : les contenus destinés aux métiers, à l’IT ou aux membres du comité de direction doivent être différenciés et accessibles. Ces formats courts permettent un déploiement large et un suivi facilité.
Les entreprises les plus matures vont plus loin en organisant des campagnes de phishing simulé, afin d’évaluer les réflexes des équipes face aux tentatives de fraude. Ces tests, associés à des actions de remédiation ciblées, permettent de réduire concrètement le risque lié au facteur humain.
Il est également pertinent de désigner des référents cybersécurité dans chaque service. Ces relais de proximité facilitent la diffusion des bonnes pratiques, détectent les usages à risque et renforcent la culture de sécurité au quotidien.
Enfin, toutes les actions de formation doivent être tracées. En cas de contrôle de la CNIL, d’un audit réglementaire ou à la suite d’un incident, cette traçabilité permet de démontrer l’engagement de l’entreprise en matière de sensibilisation et de prévention.
Assurer la conformité dans la durée nécessite de déployer des outils techniques adaptés, certifiés ou reconnus par l’ANSSI, et conformes aux exigences des principaux référentiels. Vous l’aurez compris, le choix des solutions ne doit pas reposer uniquement sur leur puissance, mais sur leur capacité à répondre aux standards réglementaires tout en s’intégrant aux usages des équipes.
Une solution de coffre-fort de mots de passe, par exemple, doit permettre une adoption fluide, une gestion centralisée des identifiants, et une traçabilité fine des accès. Une ergonomie mal pensée compromet l’adhésion des utilisateurs et, avec elle, la sécurité globale du système.
Au-delà de la technologie, l’entreprise doit formaliser des procédures claires, connues et testées, couvrant les principaux volets de la sécurité : gestion des accès, plan de sauvegarde, journalisation, réponse aux incidents, et traitement des violations de données. Chaque procédure doit désigner un responsable, un périmètre d’application et des conditions de déclenchement précises.
Enfin, la mise en place d’un Plan de Reprise d’Activité (PRA) et d’un Plan de Continuité d’Activité (PCA) intégrant la dimension cyber est indispensable. Ces dispositifs permettent d’assurer la résilience des opérations en cas de cyberattaque, de sinistre ou de défaillance technique, et sont systématiquement vérifiés lors des audits et démarches de certification.
_____
Sources :
1 https://www.justice.gov/criminal/cloud-act-resources
2 https://cyber.gouv.fr/presentation-de-la-certification-de-securite-de-premier-niveau-cspn
3 https://cyber.gouv.fr/presentation-des-certifications-criteres-communs
4 https://www.enisa.europa.eu/
5 https://www.cnil.fr/fr/reglement-europeen-protection-donnees
6 https://cyber.gouv.fr/la-directive-nis-2
7 https://www.digital-operational-resilience-act.com/
8 https://www.european-cyber-resilience-act.com/