La cybersécurité à l'ère de la résilience digitale : DORA, NIS2 et loi SREN au cœur des enjeux juridiques
Dans un monde où la transformation numérique avance à pas de géant, la cybersécurité s’impose comme une forteresse invisible mais essentielle pour protéger ses données et celles de ses clients.
Aujourd’hui grâce à la technique, et en particulier à l’Intelligence Artificielle, les hackeurs deviennent une menace principale pour les entreprises : 67% d'entres elles ont été victimes d’au moins une cyberattaque en 2024.
Les hackeurs exploitent la vitesse et la puissance de l’IA pour déjouer les défenses traditionnelles.
Le renforcement du cadre législatif avec l’adoption de nouvelles réglementations telles que le règlement DORA, la Directive NIS2 et la loi SREN témoignent de l’importance accordée à la résilience opérationnelle et à la protection des systèmes d’information.
I. Un cadre législatif en évolution
Nous nous intéressons à 3 textes majeurs :
- Le règlement européen Digital Operational Resilience Act dit "DORA" du 14 décembre 2022
- La Directive Network and Information Security 2 dite "NIS2" du 27 décembre 2022
- La loi Sécurité et Régulation des Espaces Numérique dite "SREN" du 21 mai 2024
Le Règlement DORA
Le règlement DORA vise à harmoniser et renforcer la résilience opérationnelle des acteurs du secteur financier au sein de l'Union Européenne. Il impose des exigences robustes en matière de sécurité des technologies de l'information et de gestion des risques liés aux tiers, afin de garantir une continuité de service malgré la survenance d’incidents cyber.
Renforcement des contrôles internes et de la surveillance opérationnelle
Gestion rigoureuse des risques liés aux prestataires de services tiers
Mise en place de plans de continuité et de reprise d’activité adaptés aux cybermenaces
La Directive NIS2
La Directive NIS2 succède à la Directive NIS et étend ses exigences de cybersécurité à un nombre plus important d’acteurs économiques et d’entités critiques. Elle vise une meilleure harmonisation des mesures de sécurité à l’échelle européenne, renforçant ainsi la coopération entre les États membres pour prévenir, détecter et répondre aux incidents.
Extension du champ d’application à de nouveaux secteurs considérés comme essentiels (plus de 600 types d’entités seront concernés, y compris des PME)
Mise en place de mécanismes renforcés de coopération entre les états en cas d’incidents transfrontaliers
Exigences accrues en matière d’audit (notamment audit des prestataires) et de reporting des incidents de sécurité, et de mise en place de politique de continuité d’activité
Renforcement du système de sanction
La loi SREN
La loi SREN, adoptée pour répondre aux défis spécifiques de l’écosystème numérique français, vient compléter les obligations édictées par le RGPD et les directives européennes comme NIS2. Elle met particulièrement l’accent sur la résilience des réseaux et infrastructures critiques ainsi que sur l’obligation de transparence et de reporting des incidents cyber.
Mise en œuvre d’un cadre de reporting renforcé pour les incidents de cybersécurité
Obligations spécifiques pour les opérateurs d’infrastructures critiques
Adaptation des normes de sécurité aux évolutions technologiques et menaces émergentes
II. Implications juridiques pour les entreprises
Ces textes, au-delà d’imposer un cadre et une rigueur dans la formalisation et l’anticipation des risques cybersécurité, permettent grâce à cette gestion anticipée de diminuer massivement le risque cyber.
En tout état de cause, ne pas respecter ces textes, au-delà du risque cyber, entrainera pour l’entreprise une non prise en charge par les assurances du risque cyber, des sanctions pécuniaires et une vraie atteinte à l’image.
1. Responsabilités et Sanctions
- Responsabilité contractuelle et délictuelle : En cas de cyberattaque ou de manquement aux obligations de cybersécurité, la responsabilité de l’entreprise peut être engagée tant sur le plan contractuel que sur le plan extracontractuel. Le respect strict des obligations imposées par DORA, NIS2 et la loi SREN permet de limiter les risques de sanctions administratives voire pénales.
- Sanctions financières : Le non-respect des exigences, telles que l’obligation de notification et d’audit, expose les entreprises à des sanctions financières qui peuvent être très dissuasives – à l’instar des amendes prévues par le RGPD ou d’autres dispositifs européens. Des montants pouvant aller jusqu’à 10 millions d’euros d’amende ou 2% du CA mondial de l’entité concernée.
- Absence de prise en compte de l’assurance : Les assurances attendent que les entreprises soient en conformité. Si ces dernières n’ont pas mis en place ces règles, alors l’assureur sera en droit de ne pas prendre en compte le risque, du fait de la « faute grave » de l’entreprise.
2. Mesures de conformité et bonnes pratiques
Les entreprises n’ont donc plus le choix, et doivent, en amont mettre en place certaines démarches. Ces démarches sont les suivantes :
- Analyser son statut, afin de déterminer quels textes s’appliquent à son entité (DORA, NIS2 ou autre) et au sein de chacun de ces textes, identifier si on est une OIV (Organisation d’importance vitale), OSE (Opérateur de Service Essentiel) et/ou FSN (Fournisseur de Service Numérique).
- Audit et évaluation des risques : Dans ce contexte, il est impératif de réaliser régulièrement des audits internes et externes pour identifier et corriger les failles potentielles. Ces audits permettent également de justifier les mesures prises en cas d’incident, atténuant ainsi une éventuelle mise en cause de la responsabilité.
- Formation continue et sensibilisation : La formation des équipes, y compris des décideurs, est essentielle. Une meilleure compréhension des obligations juridiques et techniques permet d’instaurer une culture de cybersécurité au sein de l’entreprise.
- Mise en place de politiques internes : L’élaboration et la mise à jour régulière de chartes de sécurité, de plans de continuité d’activité et de procédures d’urgence sont des éléments clairs de l’engagement de l’entreprise en matière de cybersécurité.
III. En cas de cyberattaque, que faire ?
En cas de cyberattaque avérée, il est recommandé de :
- Contacter votre service informatique pour stopper l’incident et pour analyser, ce qui a été exposé depuis quand et à qui. Il s’agira également de vérifier
- Si des données personnelles ont été exposées
- Si l’environnement concerne un OSE, FSN ou OIV
- Mettre en place un dispositif de gestion de crise adapté à une cyberattaque (DSI, Juridique, Direction et Communication) : Adapter le plan de continuité et de reprise d’activité (PCA/PRA) aux scénarios cyber, avec des outils de pilotage résilients.
- Réunir une équipe de crise (DSI, Juridique, Direction et Communication)
- Tenir un registre des incidents et intervention
- Déclarer l’incident auprès de votre assureur
- Effectuer des capture écrans/constat de commissaire de justice
- Déposer plainte (gendarmerie/police) voire directement auprès du Procureur de la République
- Déclarer l’incident auprès de la CNIL si une violation de données personnelles est présente
- Informer les personnes concernées conformément aux obligations du RGPD
- Réaliser si vous être un OSE, FSN ou OIV (NIS1) ou des EE, EI ou FSN (NIS2) une notification des incidents de sécurité auprès de l’ANSSI
IV. Conclusion
La cybersécurité, dans le cadre de la transformation digitale, ne se limite plus à une simple question technique. Les régulations récentes – DORA, NIS2 et la loi SREN – illustrent la volonté de disposer d’un dispositif juridique robuste capable de faire face aux cybermenaces croissantes. Pour les entreprises, ces évolutions signifient la nécessité d’adopter une approche proactive, tant au niveau de la prévention que de la gestion des incidents, afin de protéger leurs données, leurs actifs numériques et, par extension, leur réputation.
Investir dans la cybersécurité, c’est ainsi investir dans la résilience et la pérennité de l’entreprise. Pour une mise en conformité réussie, il est recommandé de recourir à des audits réguliers et à l’accompagnement de spécialistes afin d’adapter les mesures aux exigences spécifiques de chaque secteur.
Investir dans la cybersécurité, c’est planter les racines invisibles d’une confiance durable, afin que l’entreprise puisse fleurir sereinement dans le vaste jardin numérique
