NIS2 vs DORA: ce qui change concretement
NIS2 et DORA sont souvent cites ensemble, parfois confondus, et presque toujours percus comme une montagne reglementaire. Le bon point de depart est de distinguer leur logique. NIS2 renforce les exigences de cyber resilience pour des entites consideres essentielles ou importantes dans de nombreux secteurs. DORA, lui, cible plus precisement la resilience operationnelle numerique dans le secteur financier et son ecosysteme.
Dans les deux cas, le message est identique: il ne suffit plus d'avoir des politiques ecrites. Les organisations doivent demontrer des capacites operationnelles: gouvernance active, gestion des risques, detection, reaction, reprise, gestion des tiers, et preuve de maitrise. On passe d'une conformite de declaration a une conformite d'execution.
Pour les directions generales, cela signifie que la cyber n'est plus un sujet purement technique. C'est un sujet de continuite d'activite, de relation client, de responsabilite de gouvernance et de performance durable. Pour les DSI et RSSI, l'enjeu est de transformer les obligations en dispositif de pilotage concret.
Impacts organisationnels sur DSI, RSSI, metiers
L'impact principal de NIS2/DORA est organisationnel. Les roles doivent etre clarifies, les circuits de decision raccourcis, et les responsabilites de preuve formalisees. Une politique SSI non reliee aux operations ne suffit pas. Il faut des processus qui tournent: gestion des vulnerabilites, reponse aux incidents, tests de continuite, evaluation des tiers, reporting direction.
Pour les metiers, le changement est egalement fort. Ils deviennent co-acteurs de la resilience, car les incidents cyber produisent d'abord des impacts business: rupture de service, retard de production, indisponibilite d'information, perte de confiance client. Les metiers doivent donc participer aux exercices de crise, a la priorisation des actifs critiques et aux decisions de reprise.
Pour la direction, la nouvelle responsabilite est d'arbitrer explicitement les risques. Accepter un risque sans trace n'est plus defendable. Il faut documenter les choix, les plans de mitigation et le suivi. Cette discipline est exigeante, mais elle renforce la robustesse globale de l'organisation.
Plan 90 jours pour lancer la conformite
Jours 0-30: cadrage et visibilite
Premiere action: nommer un sponsor direction et un pilote operationnel. Sans ce duo, le programme reste theoretique. Deuxieme action: cartographier les actifs et processus critiques. Troisieme action: lancer un diagnostic rapide des controles existants et des ecarts majeurs.
En parallele, definissez un tableau de bord minimal: risques critiques, incidents significatifs, actions en retard, niveau de couverture des controles essentiels. L'objectif n'est pas la precision absolue, mais la capacite de piloter.
Jours 30-60: priorisation et plans
Construisez un backlog de chantiers priorises: gouvernance, detection, reponse incident, continuite, tiers, sensibilisation. Pour chaque chantier: responsable, objectif, jalons, preuves attendues. Assurez-vous que chaque action soit rattachee a un risque concret.
Mettez ensuite en place un rituel de comite mensuel. Les decisions doivent etre tracees: risque accepte, risque traite, risque transfere. Cette traçabilite est essentielle pour la credibilite du dispositif.
Jours 60-90: execution et preuve
Lancez des actions visibles et mesurables: MFA et durcissement acces privilegies, tests de restauration, revue tiers critiques, scenarios d'alerte, exercice de crise table-top. Documentez les resultats, les ecarts et les corrections. Au terme de 90 jours, vous devez pouvoir montrer que le programme existe dans les faits, pas seulement dans les slides.
Politiques et controles a prioriser
Les organisations se perdent souvent dans la redaction de nombreux documents. Il vaut mieux commencer par peu de politiques, mais des politiques appliquees. Priorites classiques:
- Gouvernance risques cyber et responsabilites.
- Gestion des identites et acces.
- Gestion des vulnerabilites et patching.
- Gestion des incidents et communication.
- Continuite/reprise et tests.
- Gestion des tiers critiques.
Chaque politique doit etre reliee a des controles concretement verifiables. Exemple: politique d'acces -> revues trimestrielles des droits, journalisation des comptes admin, delai de suppression comptes sortants. Ce lien politique-controle-preuve est la cle d'une conformite defendable.
Comment eviter les projets "papier"
Un projet "papier" se reconnait vite: beaucoup de documentation, peu d'indicateurs, peu de tests, faible appropriation metier. Pour l'eviter, adoptez quatre principes.
Premier principe: une action = une preuve attendue. Si vous ne savez pas quelle preuve produire, l'action est mal definie. Deuxieme principe: une revue direction mensuelle basee sur un tableau court et stable. Troisieme principe: integration au pilotage projet AMOA SI, pour que les exigences resilience soient prises des la conception. Quatrieme principe: exercices reguliers, car la resilience se verifie en situation.
La conformite devient alors une consequence de la maturite operationnelle, et non une fin bureaucratique.
Tableau de pilotage direction
Un bon tableau direction ne doit pas depasser une page. Il peut contenir:
- Top 10 risques residuels avec tendance.
- Avancement des chantiers prioritaires.
- Incidents majeurs et lecons apprises.
- Niveau de couverture des controles critiques.
- Etat des tiers critiques (evaluation, plans de remediation).
- Resultats de tests de continuite et exercices de crise.
Chaque indicateur doit appeler une decision. Si un indicateur ne declenche jamais de discussion ni d'arbitrage, il est inutile.
Articulation avec RGPD, qualite et performance SI
NIS2 et DORA ne vivent pas en silo. Ils se connectent naturellement au RGPD, a la qualite et a la performance SI. Les incidents cyber ont souvent des consequences sur les donnees personnelles, les SLA et la satisfaction utilisateur. Une gouvernance unifiee permet d'eviter la duplication des comites et des reportings.
Concretement, vous pouvez aligner:
- La cartographie des actifs critiques avec le registre des traitements.
- Les plans de continuite avec les processus qualite.
- Les exigences fournisseurs cyber avec les clauses contractuelles RGPD.
- Les KPI cyber avec les KPI service (disponibilite, delais, incidents).
Cette integration est particulierement utile en ETI, ou les obligations multiplies peuvent saturer les equipes. En harmonisant les dispositifs, vous reduisez la charge administrative et augmentez la lisibilite decisionnelle.
Cas pratique: lancement programme resilience en 4 mois
Une organisation a forte dependance numerique devait repondre a de nouvelles attentes clients en matiere de resilience. Le risque principal etait la dispersion: plusieurs initiatives existaient, mais sans pilotage commun. Le programme a commence par un cadrage de 4 semaines, puis un plan 90 jours avec comite direction mensuel.
Actions cle: inventaire actifs critiques, mise a niveau acces privilegies, formalisation incident management, premier exercice de crise, revue des prestataires majeurs. En 4 mois, l'organisation disposait d'un socle de preuve coherent et d'une trajectoire priorisee sur 12 mois.
La lecon principale: la vitesse vient de la clarte des responsabilites et de la simplicite des rituels, pas de la multiplication de documents.
FAQ rapide
Faut-il traiter NIS2 et DORA dans deux programmes separes ?
Pas necessairement. Un socle commun de resilience peut couvrir une grande partie des exigences, avec des ajustements sectoriels.
Quel est le premier livrable utile ?
Une cartographie des actifs critiques et un backlog de chantiers priorises avec responsables et preuves.
Qui doit porter le programme ?
Un sponsor direction et un pilote operationnel, en lien etroit avec DSI/RSSI, metiers et fonctions conformite.
Pour aller plus loin
Pour transformer ces exigences en execution, consultez Cyber securite et AMOA SI. Pour les enjeux de segment de marche, la page Public, PME et ETI donne des reperes utiles. Et si vous souhaitez cadrer une trajectoire adaptee, contactez-nous via Contact OLING.
Un dernier conseil pratique: commencez petit, mais commencez visible. La dynamique de preuve cree l'adhesion interne et facilite les arbitrages suivants.