Charles.alexandre@myscalelab.com
+33(0)986496947
logo scale

No products in the cart.

NIS2 et DORA : ce que les PME doivent faire avant la fin 2026

Home NIS2 et DORA : ce que les PME doivent faire avant la fin 2026

NIS2 et DORA : ce que les PME doivent faire avant la fin 2025

Deux réglementations, deux impacts majeurs

2025 marque un tournant réglementaire pour la cybersécurité en Europe. Deux textes majeurs sont entrés en vigueur quasi simultanément : DORA en janvier 2025 pour le secteur financier, et la transposition française de NIS2 pour les secteurs d’importance critique.

Ces réglementations ne sont pas de simples recommandations. Elles imposent des obligations concrètes, des délais de notification stricts et des sanctions significatives en cas de non-conformité.

DORA : ce qui change pour le secteur financier

Le Digital Operational Resilience Act s’applique aux banques, assurances, mutuelles, sociétés de gestion d’actifs et prestataires de services de paiement (PSSP). Concrètement, DORA exige :

  • Un registre formel du risque ICT documenté et mis à jour régulièrement
  • Des tests de résilience numérique (TLPT pour les entités significatives)
  • Des clauses contractuelles obligatoires avec les prestataires tiers critiques (cloud, SaaS, infogérance)
  • La notification des incidents ICT majeurs au régulateur (ACPR, AMF) sous 4 heures pour le rapport initial
  • Un plan de continuité IT testé et validé

Si vous êtes dans le secteur financier et que vous n’avez pas encore lancé votre mise en conformité DORA, vous êtes déjà en retard. SCALE propose un audit DORA de 2 jours qui établit votre niveau d’exposition et votre plan de remédiation priorisé.

NIS2 : bien plus large que NIS1

La directive NIS2, transposée en droit français en 2024, élargit considérablement le périmètre des entités concernées par rapport à NIS1. Sont désormais visés :

  • Le secteur de la santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux)
  • Les transports (aérien, ferroviaire, maritime, routier)
  • L’énergie et la distribution d’eau
  • L’infrastructure numérique (datacenters, fournisseurs cloud, réseaux)
  • La fabrication (secteurs critiques)
  • Les services numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux)

Les obligations NIS2 comprennent notamment :

  • Une analyse de risques documentée avec revue annuelle obligatoire
  • Un plan de réponse aux incidents formalisé et testé
  • La sécurisation de la chaîne d’approvisionnement IT (vos fournisseurs logiciels)
  • Une formation cybersécurité obligatoire pour la direction
  • La notification à l’ANSSI sous 24h (rapport initial) puis 72h (rapport détaillé)

Les 5 actions prioritaires à lancer maintenant

Action 1 — Cartographier vos actifs IT critiques

Vous ne pouvez pas protéger ce que vous ne connaissez pas. La première étape est un inventaire complet : serveurs, applications, données personnelles, prestataires tiers avec accès à votre SI.

Action 2 — Évaluer votre niveau d’exposition

Un audit de cybersécurité externe identifie les vulnérabilités prioritaires. Pas besoin d’un test d’intrusion complet pour commencer — une analyse de configuration et de gouvernance suffit pour établir les priorités.

Action 3 — Mettre en place les mesures techniques de base

MFA sur tous les comptes, EDR sur les postes de travail, gestion des correctifs, sauvegarde 3-2-1 testée mensuellement. Ces mesures de base réduisent de 80 % la surface d’attaque exploitable.

Action 4 — Formaliser la gouvernance

Registre des risques, plan de réponse aux incidents, DPA avec vos prestataires — ces documents sont désormais obligatoires et doivent être maintenus à jour.

Action 5 — Former la direction

NIS2 impose explicitement que la direction soit formée et impliquée dans la cybersécurité. Un module de sensibilisation de 2 heures pour les dirigeants est le minimum requis.

Le rôle de votre DSI externalisé dans la conformité

La conformité NIS2 et DORA n’est pas un projet ponctuel — c’est un état permanent à maintenir. C’est précisément pour cela qu’elle s’intègre naturellement dans la mission d’une DSI externalisée.

SCALE gère la conformité réglementaire dans le cadre de la DSI externalisée : veille réglementaire, mise à jour des registres, tests de résilience planifiés, reporting au régulateur. Un seul interlocuteur pour toute votre conformité IT.

 

Besoin d’accompagnement sur ce sujet ? Diagnostic gratuit sans engagement — 30 minutes pour identifier vos priorités IT et IA.

→ Diagnostic gratuit sur outlook.office365.com/book/BookingsavecmoiCharlesALEXANDRE@myscalelab.com/