En matière de cybersécurité, les entreprises sont soumises à un cadre réglementaire strict, qui est constamment modifié, ajusté et amélioré. Aujourd’hui, l’augmentation des cyberattaques, propulsées par l’essor de l’IA, les entreprises qui évoluent dans un secteur sensible (banque, assurance, finance…) sont particulièrement tenues de respecter une réglementation stricte pour assurer la protection des données personnelles des utilisateurs. Il est très important, pour ces entreprises, de se maintenir informées sur les changements de réglementation. A l’aube d’une nouvelle année, nous faisons le point sur les nouvelles directives et réglementations en matière de sécurité informatique et de protection des données.

La directive NIS 2
Publiée au Journal Officiel de l’Union européenne en décembre 2022 et entrée en vigueur en 2023, la directive NIS 2 (Network and Information Security) complète la directive NIS 1 pour mieux protéger les citoyens de l’UE. Introduite en 2016, la directive NIS 1 avait besoin d’être modernisée pour mieux répondre au contexte numérique actuel.
La nouvelle directive impose des obligations de sécurité renforcées pour les entités essentielles et les prestataires de services numériques. Elle vise à assurer que les Etats membres de l’UE soient bien équipés pour répondre à une cybermenace, avec notamment une équipe de réponse dédiée et une autorité nationale compétente en matière de réseaux et de systèmes d’information. L’objectif est double : favoriser une coopération renforcée entre les pays européens et instaurer une véritable culture de cybersécurité dans les secteurs critiques de l’économie et de la société.
Les principales évolutions de NIS 2
- Un champ d’application élargi : La directive couvre désormais un plus grand nombre d’acteurs, incluant les infrastructures de marché, les établissements de crédit, les entreprises d’investissement, les prestataires de services de paiement et les fournisseurs d’infrastructures critiques pour le secteur financier.
- Des obligations de sécurité renforcées : Les entreprises du secteur financier doivent mettre en place des mesures de cybersécurité plus strictes, incluant la gestion des risques, la notification des incidents, l’élaboration de plans de reprise d’activité et la réalisation de tests de pénétration réguliers.
- Une meilleure coopération et un partage d’informations accru : NIS 2 encourage les acteurs financiers à collaborer avec les autorités compétentes et à partager des informations sur les menaces et incidents cyber.
- Des sanctions dissuasives : Le non-respect des obligations de la directive peut entraîner des sanctions financières pouvant atteindre 2 % du chiffre d’affaires annuel mondial de l’entreprise.
En France, L’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, est chargée de la mise en œuvre de la NIS 2.
DORA, un règlement spécifique au secteur financier
L’UE a mis en place une règlementation spécifique aux entreprises du secteur financier : le règlement DORA (Digital Operational Resilience Act), également entré en vigueur en janvier 2023. Ce règlement s’appliquera à partir de janvier 2025. Face à la complexification des méthodes utilisées par les pirates informatiques, l’UE a décidé de renforcer la résilience du secteur financier face aux cybermenaces.
DORA vise à harmoniser les directives en matière de cybersécurité dans l’ensemble du secteur financier. Il introduit notamment des exigences en matière de reporting des incidents de sécurité et de tests de pénétration. Ainsi, son objectif est d’améliorer la gestion des risques (cyber-résilience) dans un secteur extrêmement sensible, qui présente un risque cyber élevé.
- Exigences en matière de gestion des risques TIC : DORA impose aux établissements financiers de mettre en place un cadre de gestion des risques liés aux technologies de l’information et de la communication (TIC) couvrant tous les aspects de leurs opérations.
- Tests de résilience opérationnelle : Les entreprises devront réaliser des tests réguliers pour évaluer leur capacité à résister aux perturbations et aux cyberattaques, y compris des tests de pénétration et des simulations de crise.
- Gestion des risques liés aux tiers : DORA met l’accent sur la gestion des risques liés aux prestataires tiers de services TIC, qui sont de plus en plus utilisés par les établissements financiers.
- Reporting des incidents : Les entreprises devront signaler les incidents de sécurité majeurs aux autorités compétentes dans les délais impartis.
Pour le règlement DORA, l’Autorité de Contrôle Prudentiel et de Résolution (ACPR), adossée à la Banque de France, est chargée de veiller à la résilience opérationnelle numérique des entités financières. L’ACPR accompagne les acteurs du secteur financier dans la préparation à cette nouvelle réglementation et supervise la mise en conformité des établissements concernés.
L'AI Act
L’Intelligence Artificielle est au cœur des évolutions technologiques actuellement. Elle est notamment utilisée pour renforcer les mesures dans le domaine de la cybersécurité : détection et prévention des cyberattaques, automatisation des réponses en temps réel… On estime que le marché de l’IA en termes de cybersécurité passera de 1 milliard de dollars à 34,8 milliards de dollars d’ici 2025. Toutefois, cette technologie présente également des risques. Elle peut être utilisée de manière malveillante, notamment par les pirates informatiques qui s’en servent pour créer des deepfakes et messages de phishing hautement réalistes.
L’Union européenne prend les devants avec l’AI Act, la première législation au monde visant à encadrer le développement et l’utilisation de l’IA, en particulier pour les systèmes jugés à haut risque. Prévue pour entrer en vigueur en 2026, cette loi introduit un cadre strict avec des obligations précises et des sanctions dissuasives.
- Classification des systèmes d’IA : L’AI Act catégorisera les systèmes d’IA selon leur niveau de risque. Les solutions utilisées dans le secteur financier, notamment pour l’évaluation du crédit, la détection de la fraude ou la gestion des risques, seront soumises à des exigences plus strictes.
- Exigences de conformité : Les systèmes à haut risque devront garantir la qualité des données, la transparence des algorithmes, la robustesse des modèles et une supervision humaine renforcée.
- Interdictions strictes : Certaines applications de l’IA seront purement et simplement interdites, comme la surveillance biométrique à distance ou les systèmes visant à manipuler les comportements des individus.
- Sanctions dissuasives : En cas de non-conformité, les entreprises s’exposent à des amendes allant jusqu’à 30 millions d’euros ou 7 % de leur chiffre d’affaires annuel.
Le RGPD, un règlement qui continue d'évoluer
Entré en application le 25 mai 2018, le RGPD (règlement général sur la protection des données) visait à harmoniser le traitement des données sur l’ensemble du territoire européen. Ce règlement continue d’évoluer, avec une attention particulière portée à la protection des données personnelles dans un contexte d’utilisation croissante de l’IA.
En 2024, la CNIL a revu et actualisé son guide de la sécurité des données personnelles, avec de nouveaux domaines (IA, API, applications mobiles, Cloud…). De nouvelles règles de protection des données ont été ajoutées, comme l’application du principe de minimisation des données aux applications mobiles ou encore la garantie de la fiabilité des sources fournies aux solutions de machine learning. Nul doute que la législation va continuer à s’adapter aux changements.
Cette actualisation vise à renforcer plusieurs principes clés du RGPD :
- Minimisation des données : seules les données strictement nécessaires doivent être collectées, notamment dans les applications mobiles et les solutions d’IA.
- Consentement éclairé : les utilisateurs doivent donner un consentement libre, spécifique, éclairé et univoque, renouvelé régulièrement.
- Fiabilité des données en IA : les systèmes de machine learning doivent être entraînés avec des sources vérifiées et conformes aux exigences de protection des données.
- Responsabilité des sous-traitants : les entreprises doivent s’assurer que leurs prestataires respectent le RGPD et garantissent un niveau de sécurité adéquat.
Conclusion : un cadre réglementaire en évolution pour une cybersécurité renforcée
Face à la montée des cybermenaces et aux avancées technologiques, l’Union européenne ne cesse de renforcer son arsenal réglementaire pour garantir la sécurité numérique des entreprises et des citoyens. La directive NIS 2 impose des mesures de cybersécurité plus strictes aux acteurs essentiels, tandis que le règlement DORA cible spécifiquement la résilience opérationnelle du secteur financier. En parallèle, l’AI Act vise à encadrer le développement et l’usage des systèmes d’intelligence artificielle, en imposant des règles strictes en fonction du niveau de risque. Enfin, le RGPD, pilier de la protection des données personnelles, continue d’évoluer pour s’adapter aux nouvelles technologies comme l’IA et le cloud computing.
Ces réglementations témoignent d’une volonté européenne d’harmoniser et de renforcer la cybersécurité, la gestion des risques et la protection des données. Pour les entreprises, la mise en conformité est essentielle non seulement pour éviter les sanctions, mais aussi pour renforcer la confiance de leurs clients et partenaires dans un monde toujours plus numérique et interconnecté.