{"id":3155,"date":"2026-03-03T22:34:48","date_gmt":"2026-03-03T21:34:48","guid":{"rendered":"https:\/\/myscalelab.com\/?page_id=3155"},"modified":"2026-03-03T22:34:48","modified_gmt":"2026-03-03T21:34:48","slug":"cybersecurite-nis2-dora-conformite","status":"publish","type":"page","link":"https:\/\/myscalelab.com\/index.php\/cybersecurite-nis2-dora-conformite\/","title":{"rendered":"NIS2 et DORA : ce que les PME doivent faire avant la fin 2026"},"content":{"rendered":"[vc_row][vc_column][vc_column_text]\n<h1>NIS2 et DORA : ce que les PME doivent faire avant la fin 2025<\/h1>\n<h2>Deux r\u00e9glementations, deux impacts majeurs<\/h2>\n<p>2025 marque un tournant r\u00e9glementaire pour la cybers\u00e9curit\u00e9 en Europe. Deux textes majeurs sont entr\u00e9s en vigueur quasi simultan\u00e9ment : DORA en janvier 2025 pour le secteur financier, et la transposition fran\u00e7aise de NIS2 pour les secteurs d&#8217;importance critique.<\/p>\n<p>Ces r\u00e9glementations ne sont pas de simples recommandations. Elles imposent des obligations concr\u00e8tes, des d\u00e9lais de notification stricts et des sanctions significatives en cas de non-conformit\u00e9.<\/p>\n<h2>DORA : ce qui change pour le secteur financier<\/h2>\n<p>Le Digital Operational Resilience Act s&#8217;applique aux banques, assurances, mutuelles, soci\u00e9t\u00e9s de gestion d&#8217;actifs et prestataires de services de paiement (PSSP). Concr\u00e8tement, DORA exige :<\/p>\n<ul>\n<li>Un registre formel du risque ICT document\u00e9 et mis \u00e0 jour r\u00e9guli\u00e8rement<\/li>\n<li>Des tests de r\u00e9silience num\u00e9rique (TLPT pour les entit\u00e9s significatives)<\/li>\n<li>Des clauses contractuelles obligatoires avec les prestataires tiers critiques (cloud, SaaS, infog\u00e9rance)<\/li>\n<li>La notification des incidents ICT majeurs au r\u00e9gulateur (ACPR, AMF) sous 4 heures pour le rapport initial<\/li>\n<li>Un plan de continuit\u00e9 IT test\u00e9 et valid\u00e9<\/li>\n<\/ul>\n<p>Si vous \u00eates dans le secteur financier et que vous n&#8217;avez pas encore lanc\u00e9 votre mise en conformit\u00e9 DORA, vous \u00eates d\u00e9j\u00e0 en retard. SCALE propose un audit DORA de 2 jours qui \u00e9tablit votre niveau d&#8217;exposition et votre plan de rem\u00e9diation prioris\u00e9.<\/p>\n<h2>NIS2 : bien plus large que NIS1<\/h2>\n<p>La directive NIS2, transpos\u00e9e en droit fran\u00e7ais en 2024, \u00e9largit consid\u00e9rablement le p\u00e9rim\u00e8tre des entit\u00e9s concern\u00e9es par rapport \u00e0 NIS1. Sont d\u00e9sormais vis\u00e9s :<\/p>\n<ul>\n<li>Le secteur de la sant\u00e9 (h\u00f4pitaux, laboratoires, fabricants de dispositifs m\u00e9dicaux)<\/li>\n<li>Les transports (a\u00e9rien, ferroviaire, maritime, routier)<\/li>\n<li>L&#8217;\u00e9nergie et la distribution d&#8217;eau<\/li>\n<li>L&#8217;infrastructure num\u00e9rique (datacenters, fournisseurs cloud, r\u00e9seaux)<\/li>\n<li>La fabrication (secteurs critiques)<\/li>\n<li>Les services num\u00e9riques (places de march\u00e9 en ligne, moteurs de recherche, r\u00e9seaux sociaux)<\/li>\n<\/ul>\n<p>Les obligations NIS2 comprennent notamment :<\/p>\n<ul>\n<li>Une analyse de risques document\u00e9e avec revue annuelle obligatoire<\/li>\n<li>Un plan de r\u00e9ponse aux incidents formalis\u00e9 et test\u00e9<\/li>\n<li>La s\u00e9curisation de la cha\u00eene d&#8217;approvisionnement IT (vos fournisseurs logiciels)<\/li>\n<li>Une formation cybers\u00e9curit\u00e9 obligatoire pour la direction<\/li>\n<li>La notification \u00e0 l&#8217;ANSSI sous 24h (rapport initial) puis 72h (rapport d\u00e9taill\u00e9)<\/li>\n<\/ul>\n<h2>Les 5 actions prioritaires \u00e0 lancer maintenant<\/h2>\n<h3>Action 1 \u2014 Cartographier vos actifs IT critiques<\/h3>\n<p>Vous ne pouvez pas prot\u00e9ger ce que vous ne connaissez pas. La premi\u00e8re \u00e9tape est un inventaire complet : serveurs, applications, donn\u00e9es personnelles, prestataires tiers avec acc\u00e8s \u00e0 votre SI.<\/p>\n<h3>Action 2 \u2014 \u00c9valuer votre niveau d&#8217;exposition<\/h3>\n<p>Un audit de cybers\u00e9curit\u00e9 externe identifie les vuln\u00e9rabilit\u00e9s prioritaires. Pas besoin d&#8217;un test d&#8217;intrusion complet pour commencer \u2014 une analyse de configuration et de gouvernance suffit pour \u00e9tablir les priorit\u00e9s.<\/p>\n<h3>Action 3 \u2014 Mettre en place les mesures techniques de base<\/h3>\n<p>MFA sur tous les comptes, EDR sur les postes de travail, gestion des correctifs, sauvegarde 3-2-1 test\u00e9e mensuellement. Ces mesures de base r\u00e9duisent de 80 % la surface d&#8217;attaque exploitable.<\/p>\n<h3>Action 4 \u2014 Formaliser la gouvernance<\/h3>\n<p>Registre des risques, plan de r\u00e9ponse aux incidents, DPA avec vos prestataires \u2014 ces documents sont d\u00e9sormais obligatoires et doivent \u00eatre maintenus \u00e0 jour.<\/p>\n<h3>Action 5 \u2014 Former la direction<\/h3>\n<p>NIS2 impose explicitement que la direction soit form\u00e9e et impliqu\u00e9e dans la cybers\u00e9curit\u00e9. Un module de sensibilisation de 2 heures pour les dirigeants est le minimum requis.<\/p>\n<h2>Le r\u00f4le de votre DSI externalis\u00e9 dans la conformit\u00e9<\/h2>\n<p>La conformit\u00e9 NIS2 et DORA n&#8217;est pas un projet ponctuel \u2014 c&#8217;est un \u00e9tat permanent \u00e0 maintenir. C&#8217;est pr\u00e9cis\u00e9ment pour cela qu&#8217;elle s&#8217;int\u00e8gre naturellement dans la mission d&#8217;une DSI externalis\u00e9e.<\/p>\n<p>SCALE g\u00e8re la conformit\u00e9 r\u00e9glementaire dans le cadre de la DSI externalis\u00e9e : veille r\u00e9glementaire, mise \u00e0 jour des registres, tests de r\u00e9silience planifi\u00e9s, reporting au r\u00e9gulateur. Un seul interlocuteur pour toute votre conformit\u00e9 IT.<\/p>\n<p>&nbsp;<\/p>\n<table width=\"602\">\n<tbody>\n<tr>\n<td><strong>Besoin d&#8217;accompagnement sur ce sujet ? Diagnostic gratuit sans engagement \u2014 30 minutes pour identifier vos priorit\u00e9s IT et IA.<\/strong><\/p>\n<p>\u2192 Diagnostic gratuit sur outlook.office365.com\/book\/BookingsavecmoiCharlesALEXANDRE@myscalelab.com\/<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n[\/vc_column_text][wgl_spacing spacer_size=&#8221;60px&#8221;][\/vc_column][\/vc_row]\n","protected":false},"excerpt":{"rendered":"<p>[vc_row][vc_column][vc_column_text] NIS2 et DORA : ce que les PME doivent faire avant la fin 2025 Deux r\u00e9glementations, deux impacts majeurs 2025 marque un tournant r\u00e9glementaire pour la cybers\u00e9curit\u00e9 en Europe. Deux textes majeurs sont entr\u00e9s en vigueur quasi simultan\u00e9ment : DORA en janvier 2025 pour le secteur financier, et la transposition fran\u00e7aise de NIS2 pour [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"content-type":"","footnotes":""},"class_list":["post-3155","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/myscalelab.com\/index.php\/wp-json\/wp\/v2\/pages\/3155","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/myscalelab.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/myscalelab.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/myscalelab.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/myscalelab.com\/index.php\/wp-json\/wp\/v2\/comments?post=3155"}],"version-history":[{"count":2,"href":"https:\/\/myscalelab.com\/index.php\/wp-json\/wp\/v2\/pages\/3155\/revisions"}],"predecessor-version":[{"id":3158,"href":"https:\/\/myscalelab.com\/index.php\/wp-json\/wp\/v2\/pages\/3155\/revisions\/3158"}],"wp:attachment":[{"href":"https:\/\/myscalelab.com\/index.php\/wp-json\/wp\/v2\/media?parent=3155"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}