NIS 2, DORA : une incitation à la modernisation ?

Olivier Gellez

20 mars 2025

Bien que les règlementations européennes DORA et NIS 2 n’aient ni le même périmètre ni tout à fait le même objectif, ces deux textes partagent de nombreux points communs, parmi lesquels l’attention toute particulière portée à la gestion des incidents. Celle-ci doit désormais faire l’objet d’une démarche structurée, prévoyant la mise en place de processus et outillages appropriés. De quoi poser la question plus globale du renouvellement complet du système d’information (SI) des organisations.

Une gestion de crise plus structurée

Jusqu’à présent, si l’on exclut les Opérateurs d’Importance Vitale (OIV) et les organisations déjà soumises à NIS 1, chacun gérait ses incidents de cybersécurité à sa manière, en interne, avec ses prestataires et, si possible, en toute discrétion.

Avec NIS 2 et DORA, la grande nouveauté est qu’il faut désormais systématiquement alerter les autorités, en respectant des grilles de reporting standards, et dans des délais très brefs (4h pour la notification initiale de l’incident au titre de DORA).

Les organisations sont par conséquent dans l’obligation d’avoir mis en place des processus efficients et un outillage approprié pour pouvoir détecter au plus tôt les incidents, en évaluer rapidement la gravité et les impacts, notamment business, et enfin structurer ces informations pour les communiquer aux autorités.

Un outillage approprié

Nombre d’organisations ne disposent pas pour le moment de l’outillage adéquat pour gérer correctement un incident de sécurité.

Même pour celles ayant déjà un Security Operations Center ou SOC (ce qui est loin d’être toujours le cas !), celui-ci donne surtout une vision technique des incidents et ne dit rien, le plus souvent, de ses conséquences pour les clients. Quant aux organisations qui possèdent déjà des grilles d’impacts, il est peu probable qu’elles coïncident avec ce qui sera demandé et la question se posera de savoir s’il vaudra mieux avoir deux reportings distincts en parallèle ou les fusionner.

Des processus efficients

Après la détection et la notification de l’incident vient son traitement proprement dit, pour lequel NIS 2 exige là aussi que des processus adéquats aient été prévus.

C’est bien sûr très utile, mais aussi extrêmement contraignant, surtout pour les plus petites entités concernées. En effet, beaucoup, comme les collectivités locales, sont aujourd’hui très en retard en matière de cybersécurité, non qu’elles ne prennent pas le sujet au sérieux mais parce qu’elles n’ont ni les ressources – financières et humaines – ni la taille critique pour s’équiper.

Souvent d’ailleurs pour les mêmes raisons, ces organisations s’appuient encore largement sur des systèmes anciens, hétérogènes, mal entretenus, peu surveillés et qui sont précisément les plus vulnérables et les plus difficiles à protéger. Pour elles, aussi bien en termes financiers que de compétences, de culture et, bien sûr, de technologies, la marche de la mise en conformité sera donc assez haute.

Et s’il valait mieux moderniser ?

Dans ces conditions, cela peut être l’opportunité d’adopter une démarche radicale et de considérer que la meilleure façon de traiter des incidents est encore de ne pas en avoir ! En modernisant son IT, en se dotant d’un SI à l’état de l’art des technologies, nativement sécurisé, surveillé et administré par des experts (dans le cloud ou en infogérance), et compatible avec des outils de sécurité modernes, les risques sont considérablement diminués et la mise en conformité grandement facilitée.

Tout bien pesé, il pourrait donc être plus efficace, et pas forcément plus compliqué ni plus coûteux, de migrer ses anciens systèmes vers de nouvelles solutions que de chercher à les sécuriser. Et cela sans même tenir compte des bénéfices métiers induits par cette modernisation : innovation, expérience utilisateur, coûts de possession…

Que ce soit intentionnel ou non de la part du législateur, NIS 2 apparaît donc comme un accélérateur indirect du renouvellement des SI des organisations, de la même manière que le renforcement des normes de sécurité a pu l’être pour le parc automobile. Avec des exigences proches, DORA pourrait jouer un rôle similaire dans le secteur financier, même si l’équipement et la culture en matière de cybersécurité y sont souvent déjà plus développés qu’ailleurs.

Reste que les délais sont courts, même si, en ce qui concerne NIS 2, les autorités semblent disposées à accorder un peu plus de temps aux organisations pour se préparer. Ce répit n’est néanmoins pas destiné à différer le chantier, mais bien à y consacrer toute l’attention nécessaire. Pour bâtir une stratégie de mise en conformité (passant ou non par la modernisation), réunir les budgets, choisir les solutions, les mettre en œuvre et accompagner le changement, ce sursis ne sera pas de trop.