Lundi de la cybersécurité de septembre : DORA : Un précurseur pour le règlement qui succèdera à NIS2 ?

Face à la montée en puissance des cyberattaques, la résilience numérique est devenue un enjeu vital, notamment dans les secteurs critiques comme la finance et la santé. Entre la directive NIS2 et le règlement DORA, comment les entreprises doivent-elles s’adapter ?

Christophe Roubertie, expert cybersécurité et apprenant du MBA Management de la Cybersécurité à De Vinci Executive Education, partagera son analyse lors du prochain Lundi de la Cybersécurité, le 22 septembre.

Nos « Lundi de la cybersécurité » sont gratuits et veulent vous offrir une fête technologique. Demandez votre inscription, par courriel, nous vous enverrons, un peu avant le jour de l’événement, un hyperlien vers la visioconférence Zoom.

Les demandes d’inscriptions sont à adresser à Béatrice Laurent co-organisatrice de nos événements :

[email protected]

mettez-moi en copie ([email protected]) car Béatrice ne lira vos demandes d’inscription qu’à son retour de croisière :

Les prénoms, noms et adresses mails des inscrits seront connus des organisateurs et communiqués aux intervenants. Si vous voulez être ajouté à ma liste de distribution des lettres des « Lundi de la cybersécurité » mensuelles, demandez-le-moi par mail ( [email protected] ).

Si vous vous inscrivez pour assister à notre événement, soyez connectés le lundi 22 septembre, dès 18 h 00, ou mieux, un peu avant. La salle d’attente Zoom sera ouverte aux alentours de 17 h 00 pour des conversations informelles entre intervenants et participants. C’est toujours d’agréables échanges avant 18 h 00.

La résilience, maître mot aujourd’hui de la cybersécurité

Face aux cyberattaques qui se multiplient et qui visent tous les Systèmes d’Information et toutes celles et ceux qui sont connectés, en particulier dans les secteurs de la santé et de la finance, un mot est souvent prononcé quand on parle de cyberdéfense : la résilience.

Quand la cyberattaque a volé, détruit, chiffré les données sensibles et dont la disponibilité est indispensable pour continuer à mener ses affaires, comment minimiser les effets de l’attaque ? Et en cas de perte de ses données indispensables, comment continuer de façon dégradée, qui appelle à son secours, à quelles autorités faut-il déclarer le sinistre ? Et comment rétablir rapidement, si c’est possible, un fonctionnement normal ? Et surtout avant l’attaque, comment minimiser le risque ?

Pour guider les entreprises de l’Union européenne à développer leurs capacités de résilience, la directive NIS2 donne des directions qui, après avoir été transposées dans la loi française, seront obligatoires pour les entités concernées. Ces dispositions seront précisées pour chaque pays de l’Union européenne, et deviendront alors une loi du pays.

Dans le secteur de la finance et des assurances, le règlement DORA impose des contraintes qui pourront s’avérer salutaires. Les exigences du règlement DORA imposent que les entités financières, quel que soit leur modèle de service, mettent en œuvre des cadres efficaces de gestion des risques liés aux Technologies de l’Information et de la Communication. Ce règlement s’applique également aux fournisseurs de services TIC de ces entités financières.

Quels sont les rapports entre la Directive NIS 2 et le Règlement DORA ?

DORA est considérée comme une « lex specialis » de la directive NIS2 pour le secteur financier. S’il y a conflit entre le règlement DORA et la directive NIS2 en droit international, la priorité devrait être donnée à la norme la plus spécifique.,

Un expert de la cybersécurité, très impliqué dans la mise en conformité d’une grande banque avec le Règlement DORA nous l’expliquera au cours de notre lundi de la Cybersécurité du mois de septembre, le lundi 22 septembre 18h-20h, par webinaire. Les inscriptions sont ouvertes.

Le secteur financier est essentiel au fonctionnement des sociétés non autarciques, c’est à dire dont les chaînes d’approvisionnement s’étendent au-delà du territoire d’un village.

Le fonctionnement d’un système financier nécessite la confiance des parties, notamment des clients. Celle-ci repose, en plus de garanties solides sur la solvabilité des établissements, sur l’assurance que l’ensemble des opérations effectuées par les acteurs du secteur le soit avec le niveau d’intégrité des données et des transactions, de confidentialité et de continuité de service les plus élevés
.
Dans un contexte où le traitement informatique a remplacé le papier et où les systèmes sont interconnectés, entre autres via Internet, la cybersécurité est cruciale pour apporter ces garanties.

Le règlement sectoriel européen DORA (Digital Operational Resilience Act), qui s’applique depuis le 17 janvier 2025, cadre la démarche de cybersécurité pour le secteur financier, les assurances, les organismes de retraite supplémentaires.
Il repose sur 5 piliers qui sont le cadre de gestion des risques, la notification des incidents aux autorités de contrôle, les tests de résilience, le partage d’informations avec les paires, et la gestion des risques liés aux fournisseurs informatiques.

Quelles obligations en termes de formalisation du cadre de gestion des risques, de notification des incidents, de tests de résilience ?

Quelles obligations en matière d’identification des risques dans la chaîne de sous-traitance informatique, de sécurisation contractuelle et opérationnelle ? Quel impact sur la structure de la chaîne de sous-traitance, le choix des sous-traitants, les coûts ?

Quels enseignements à en tirer pour les autres secteurs, dont les organisations seront soumises à la directive NIS2 une fois celle-ci transposée ?

Je reprends la plume

Vous trouverez, sur le web de l’ARCSI, tous les détails, slides, parfois aussi les enregistrements et des comptes rendus écrits par Clarisse Véron, qui termine le master2 « Cybersécurité et e-Santé » de l’Université Paris Cité.

Mais attention, pour des questions de confidentialité société, Christophe ROUBERTIE ne souhaitera pas que son intervention soit enregistrée, donc il est conseillé d’être connectés pour le suivre par Zoom et pour lui poser des questions ainsi qu’à Murielle.

Allons-nous obtenir une « hallucination » ou une réponse qui décrit une situation bien réelle ?

Prompt posé à Gemini (l’IA Générative de Google) :

Le règlement Dora succèdera-t-il à la directive NIS2 ?

Non, le règlement DORA ne succédera pas à la directive NIS2. Ils sont complémentaires et coexisteront, mais avec des champs d’application différents et des priorités spécifiques.
Voici les points clés pour comprendre leur relation :

• DORA (Digital Operational Resilience Act) : C’est un règlement européen. Cela signifie qu’il est directement applicable dans tous les États membres de l’UE à compter du 17 janvier 2025, sans nécessiter de transposition dans les lois nationales. Il se concentre spécifiquement sur le secteur financier (banques, assurances, prestataires de services de paiement, etc.) et leurs prestataires de services critiques TIC. L’objectif est de renforcer la résilience opérationnelle numérique de ces entités face aux cybermenaces et aux perturbations informatiques. DORA est considérée comme une « lex specialis » (loi spéciale) par rapport à NIS2 pour le secteur financier.
• NIS2 (Network and Information Security 2) : C’est une directive européenne qui a renforcé la première directive NIS. Elle doit être transposée dans les lois nationales des États membres (date limite : 17 octobre 2024). NIS2 est un champ d’application beaucoup plus large, couvrant une grande variété de secteurs critiques (énergie, transports, santé, infrastructures numériques, eau, administration publique, etc.). Son objectif est d’améliorer le niveau global de cybersécurité et de résilience des réseaux et systèmes d’information dans l’UE.

En résumé :

• DORA est une loi spécifique et plus exigeante pour le secteur financier.
• NIS2 est une loi plus générale couvrant un large éventail d’autres secteurs critiques et importants.

Pour les entités du secteur financier, c’est principalement DORA qui s’appliquea, et les exigences de NIS2 continueront de s’appliquer pour les aspects non couverts par DORA ou si l’entité opère également des services critiques pertinents de NIS2. Il y a une volonté d’harmonisation entre les régulateurs pour limiter les doublons et assurer une approche cohérente.

Nous écoutons Christophe ROUBERTIE nous dire ce qu’il en pense. Je trouve cette réponse de Gemini très juste, sauf pour la date limite du 17 octobre 2024 qui n’a pas été tenue.

Gérard Péliks

Copyright © 2025 Les « Lundi de la cybersécurité », All rights reserved.