Les entreprises sont aujourd’hui exposées à une cybercriminalité croissante, de plus en plus outillée, performante et dangereuse. Cette augmentation du risque est liée à une utilisation grandissante de la chaîne d’approvisionnement informatique et du numérique.
La nécessité de se protéger face à cette cybermenace grandissante liée aux tiers est ainsi devenue un enjeu majeur au niveau mondial. Dans cette optique, la directive NIS 2 et la règlementation DORA adoptées par l’Union Européenne (UE) en 2022 redéfinissent notamment la gestion des risques tiers. Elles sont d’ailleurs applicables à l'ensemble des États membres depuis fin 2024 et début 2025.
Infolegale vous aide à comprendre les enjeux liés aux directives NIS 2 et DORA : définition, périmètres d’application, exigences en matière de gestion des risques tiers ainsi que les conséquences et opportunités générées par ces nouvelles mesures.
Que sont les directives NIS 2 et DORA ?
Le risque cyber est défini par le Ministère de l’Économie comme un « risque opérationnel portant sur la confidentialité, l’intégrité ou la disponibilité des données et systèmes d’informations », mais qu’en est-il réellement dans les faits ?
La directive NIS 2 et la règlementation DORA ambitionnent d’harmoniser les pratiques en cybersécurité à échelle européenne. Elles participent en particulier à une redéfinition de la gestion des risques tiers.
- Directive NIS 2
NIS (Network and Information Security) est une directive de l’UE sur la sécurité des réseaux et des systèmes d’information votée en 2016. NIS 2 a pour objectif de renforcer et d’harmoniser le volet cybersécurité des services essentiels dans les secteurs clés. Sa transposition dans la législation française est assurée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information). La directive NIS 2 est entrée en vigueur en France le 17 octobre 2024.
- Conformité DORA
La règlementation DORA (Digital Operational Resilience Act) est un cadre réglementaire européen détaillé sur la résilience opérationnelle numérique des entités financières. L’objectif de ce texte entré en vigueur le 17janvier 2025 est de consolider et harmoniser les méthodes de gestion des risques en lien avec les TIC (technologies de l'information et de la communication) et la sécurité réseau et système d’information.
- Périmètre d’application
La directive NIS 2 s’applique aux collectivités territoriales, administrations publiques, entreprises et cible des secteurs clés (banque, énergie, santé…). Les entités sont réparties selon leur degré de criticité, taille et, le cas échéant, chiffre d'affaires.
Le périmètre d’application du texte de résilience opérationnelle numérique, réglementation DORA, est plus spécifique : il concerne la majorité des entités du secteur financier et prestataires de services TIC opérant dans les services financiers.
NIS 2 et DORA : quelles mesures en matière de gestion des risques tiers et pour quelles conséquences ?
La directive NIS 2 et la règlementation DORA ont été adoptées pour répondre aux enjeux grandissants de gestion du risque cyber. Mais concrètement, que vont changer ces deux directives européennes dans la gestion des risques liés aux tiers ?
Mesures phares de NIS 2 pour une gestion efficace des risques tiers
Certaines mesures du texte de loi européen NIS 2 ciblent particulièrement la maitrise des risques tiers :
- Évaluer les pratiques de cybersécurité des fournisseurs
- Sélectionner le prestataire de services de sécurité de manière avisée
- Contribuer à l’évaluation des risques de la chaîne d’approvisionnement du secteur
- Mettre en place un processus de gestion et d’analyse des risques auxquels la chaîne d’approvisionnement est exposée
- Mettre en œuvre des mesures appropriées pour garantir la sécurité des échanges numériques avec les fournisseurs
- Informer clients et autorités compétentes en cas de cybermenace importante avérée
- Proposer des stratégies de remédiation
La maîtrise des risques cyber liés aux tiers est donc essentielle dans la mise en conformité NIS 2. Les autorités compétentes sont vigilantes concernant les risques qu’induisent les attaques subies par un tiers sur toute la chaîne de valeur. La mise en conformité NIS 2 doit donc obligatoirement passer par une connaissance approfondie de ses tiers en termes de cybersécurité, notamment grâce à une surveillance proactive.
|
Simplifiez votre mise en conformité NIS 2 grâce au produit Cyber, par Infolegale et SecurityScorecard et surveillez proactivement la cyber hygiène de vos partenaires commerciaux. 
|
Mesures principales de DORA pour une meilleure gestion des risques tiers
De même, un volet de mise en conformité DORA cible la gestion des risques fournisseurs, spécifiquement en lien avec les prestataires TIC :
- Définir une stratégie pour identifier et gérer les risques liés aux prestataires de services TIC
- Inclure une politique spécifique d'utilisation des services TIC pour les fonctions critiques
- Rédiger rigoureusement les contrats avec les prestataires de services TIC
- Répertorier tous les accords contractuels dans un registre d’informations
- Isoler les contrats qui couvrent des fonctions critiques
- Prévoir différentes stratégies de sortie par rapport aux tiers principaux et les documenter
- Hiérarchiser et notifier les incidents identifiés liés aux TIC
La règlementation DORA met donc également un point d’honneur à la surveillance des tiers en termes de cybersécurité. La notification des incidents liés aux TIC se présente notamment comme un volet important de cette nouvelle directive, impliquant, au même titre que NIS 2, de devoir surveiller proactivement ses tiers.
Comment NIS 2 et DORA redéfinissent la gestion du risque tiers ?
Ces mesures ont pour conséquence de redéfinir la gestion du risque lié aux tiers. Quels sont donc les nouveaux contours redessinés par la directive NIS 2 et la règlementation DORA ?
La gestion du risque tiers s’articule dorénavant autour des axes suivants :
- Implication accrue, directe ou indirecte, des tiers dans leur cybersécurité
- Gestion proactive, notamment pour identifier les risques potentiels
- Harmonisation des pratiques de gestion des risques
- Partage d’informations obligatoire
- Documentation exhaustive et accessible des pratiques, incidents, menaces, vulnérabilités
- Respect des procédures de déclaration d’incidents de cyber sécurité aux autorités compétentes
En d’autres termes, la directive NIS 2 et la règlementation DORA demandent chacune une gestion des risques tiers minutieuse pour ce qui concerne la cybersécurité. Chaque maillon de la chaîne de valeur doit à présent mettre en œuvre des mesures concrètes afin de pouvoir attester d’une maturité cyber suffisante aux yeux des autorités régulatrices, sous peine de sanctions.
Comment transformer les contraintes apparentes des directives NIS 2 et DORA en opportunité ?
Le service de management des risques peut percevoir NIS 2 et DORA comme de nouvelles contraintes réglementaires : mise en conformité, augmentation des coûts, nécessité de former les équipes, … Pourtant, cette redéfinition des processus de gestion des risques tiers donne aux entreprises l’occasion d’améliorer leur productivité et leur efficacité sur le marché.
Autant d’opportunités pour les entreprises de se développer sur le plan sécuritaire, technologique, opérationnel et financier : réduction des risques technologiques et cyber ; amélioration des capacités défensives et techniques de détection ; sécurisation des fonctions critiques (performance financière, continuité opérationnelle…) ; accès à de nouveaux outils de gestion des risques performants ; sélection plus avisée de nouveaux partenaires commerciaux ; ou encore une harmonisation facilitée dans l’approche de gestion des risques TIC pour les entités internationales.
Par ailleurs, les conséquences induites par les cyberattaques sont dramatiques, on estime que le coût d’une cyberattaque s’élève à 4 millions d’euros en moyenne. Une mise en conformité vis-à-vis de la directive NIS 2 et de la règlementation DORA permet à chaque entreprise de revoir ses stratégies de sécurisation en termes de cybersécurité, et surtout de s’informer sur l’hygiène cyber de sa chaîne d’approvisionnement.
Commentaires