DORA et NIS 2 : optimiser la gouvernance des tiers critiques

9 500 milliards de dollars : C’est l’estimation des pertes mondiales liées à la cybercriminalité en 2024, selon le Forum économique mondial. Si la cybercriminalité était un pays, elle représenterait la troisième économie mondiale. (Forum Economique Mondial). En France, les pertes dues aux Cyber Attaques est estimé en 2024 à 100 milliards d’euros.

Ces deux réglementations majeures transforment l’approche de la cybersécurité et de la conformité réglementaire. Le règlement DORA (Digital Operational Resilience Act) et la directive NIS 2 (Network and Information Security Directive 2) établissent un cadre renforcé pour la résilience opérationnelle des infrastructures critiques européennes. Cette optimisation réglementaire nécessite une approche unifiée de l’évaluation et de la gestion des risques liés aux partenaires tiers. Elle s’appuie sur une méthodologie en 4 étapes : identification, évaluation, monitoring et amélioration continue.

DORA : évaluer la résilience de vos partenaires financiers

Le règlement DORA, entré en vigueur le 17 janvier 2025, vise à renforcer la continuité d’activité numérique des entités financières européennes. Cette réglementation impose aux établissements financiers de développer une capacité de résistance et de récupération efficace face aux perturbations cybernétiques majeures.

L’objectif principal de DORA consiste à garantir la continuité des opérations financières lors d’incidents graves. La gestion des risques devient cruciale, impliquant non seulement la protection contre les menaces, mais aussi l’intégration de stratégies robustes de récupération. Selon Atos, les entités concernées doivent conduire des auto-évaluations régulières et des audits indépendants de leurs frameworks de gestion des risques ICT.

La résilience opérationnelle comme priorité

Pour atteindre les objectifs fixés par DORA, les organisations doivent se concentrer sur la stabilité opérationnelle. Cette démarche implique la préparation de plans d’urgence rapidement déployables lors d’incidents imprévus, assurant une reprise rapide des activités critiques.

Les établissements financiers doivent évaluer régulièrement leur sécurité de la chaîne d’approvisionnement pour identifier et atténuer les vulnérabilités potentielles. Une attention particulière doit être accordée à la gouvernance et au contrôle interne pour s’assurer que les processus sont alignés avec les exigences de DORA. Cette approche collaborative d’évaluation des partenaires tiers permet de renforcer la pérennité des processus de l’ensemble de l’écosystème financier.

Dans le secteur bancaire, cette méthodologie s’illustre concrètement par l’évaluation systématique des fournisseurs cloud critiques et la mise en place de tests de résilience pour les partenaires technologiques. Les banques européennes développent désormais des programmes d’évaluation collaborative qui permettent de partager les bonnes pratiques tout en respectant les exigences de conformité réglementaire.

NIS 2 : gouvernance des tiers dans les secteurs critiques

La directive NIS 2 révolutionne l’approche européenne de la cybersécurité en élargissant considérablement son champ d’application. Contrairement à DORA qui se concentre sur le secteur financier, NIS 2 couvre désormais 18 secteurs critiques et touche environ 300 000 institutions à travers l’Union européenne. Cette extension stratégique vise à harmoniser les efforts de cybersécurité et à renforcer la résilience opérationnelle des infrastructures essentielles européennes.

La directive transforme fondamentalement la gestion des risques en remplaçant les anciens Opérateurs de Services Essentiels (OSE) par deux nouvelles catégories : les entités essentielles et les entités importantes. Cette évolution majeure impose des obligations différenciées selon la criticité des secteurs, avec des sanctions pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires mondial pour les entités essentielles.

Cartographie des tiers selon la classification NIS 2

NIS 2 étend son périmètre aux secteurs suivants, classés selon leur niveau de criticité :

Secteurs hautement critiques : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, administration publique et espace.

Autres secteurs critiques : services postaux et d’expédition, gestion des déchets, fabrication, production et distribution de produits chimiques, industrie agroalimentaire et fournisseurs numériques.

Cette classification reflète une approche collaborative de gouvernance des tiers qui dépasse la simple protection interne. Les organisations doivent désormais développer une méthodologie structurée d’évaluation des partenaires tiers, incluant des mesures techniques et organisationnelles renforcées pour l’ensemble de leur écosystème.

Gestion des risques et notification des incidents

Une composante essentielle de NIS 2 réside dans sa méthodologie renforcée de gestion des risques liés aux partenaires tiers, s’appuyant sur les fondamentaux du Third Party Risk Management pour structurer l’évaluation collaborative.

La directive impose également la formation du personnel à reconnaître les signes avant-coureurs d’une attaque potentielle, particulièrement dans le contexte des relations avec les partenaires externes. Cette dimension humaine de la cybersécurité devient cruciale pour maintenir la résilience opérationnelle de l’ensemble de l’écosystème.

Obligations de reporting et coordination européenne

NIS 2 exige une notification et des rapports d’incidents proactifs dans des délais précis. Chaque incident majeur impliquant des tiers critiques doit être signalé aux autorités compétentes, permettant une réponse coordonnée efficace à l’échelle européenne. Cette harmonisation facilite le partage d’informations essentielles entre les différentes parties prenantes pour faire face aux cybermenaces croissantes.

Dans le secteur industriel, cette méthodologie se concrétise par l’évaluation systématique des sites ICPE et des fournisseurs critiques, avec une attention particulière portée à la sécurité de la chaîne d’approvisionnement. Les entreprises industrielles développent des programmes de surveillance continue qui permettent d’identifier rapidement les vulnérabilités potentielles chez leurs partenaires stratégiques.

Pour le secteur public, l’impact se traduit par un renforcement de la gouvernance des marchés publics et une évaluation collaborative des prestataires critiques, comme l’illustrent les retours d’expérience de déploiement TPRM dans le secteur public. Les collectivités territoriales mettent en place des processus d’évaluation continue de leurs partenaires, garantissant l’alignement réglementaire tout en optimisant la qualité des services publics.

Harmoniser l’évaluation des tiers : approche DORA/NIS 2

L’harmonisation des exigences DORA et NIS 2 représente un défi stratégique majeur pour les organisations européennes opérant dans des écosystèmes multi-sectoriels. Cette intégration multi-réglementaire nécessite une méthodologie collaborative qui dépasse la simple juxtaposition des obligations pour créer une gouvernance des tiers véritablement unifiée.

La complémentarité entre ces deux réglementations s’illustre particulièrement dans leur approche de la gestion des risques liés aux partenaires externes. Selon Yogosha, DORA constitue la « lex specialis » de NIS 2, un principe juridique qui établit qu’une loi spécifique prime sur une loi généraliste. Dans les faits, DORA précise et complète NIS 2 plus qu’elle ne la supplante, créant ainsi un cadre cohérent pour l’évaluation collaborative des tiers critiques.

Méthodologie d’optimisation en 4 étapes

L’optimisation de la conformité DORA et NIS 2 s’appuie sur une méthodologie structurée développée par l’ENISA dans son cadre d’évaluation des capacités nationales :

• Étape 1 : Identification – Cartographie des tiers critiques et évaluation des vulnérabilités existantes
• Étape 2 : Évaluation – Assessment collaboratif des risques selon les critères DORA/NIS 2
• Étape 3 : Monitoring – Surveillance continue des partenaires via des indicateurs automatisés
• Étape 4 : Amélioration continue – Optimisation des processus basée sur les retours d’expérience

Approche stratégique de la gouvernance

La gouvernance et le contrôle interne constituent le socle de toute stratégie d’intégration multi-réglementaire réussie. Les organisations doivent développer des cadres flexibles capables de s’adapter aux modifications législatives futures tout en maintenant la continuité d’activité constante. Cette approche proactive inclut l’évaluation continue de l’environnement réglementaire et son intégration à tous les niveaux organisationnels.

L’harmonisation des processus de contrôle des prestataires permet aux entreprises de rester conformes tout en améliorant leur posture de cybersécurité globale. Cette méthodologie collaborative évite la redondance des contrôles et optimise l’allocation des ressources dédiées au respect des obligations.

Dans le secteur industriel, cette convergence réglementaire se manifeste concrètement par l’évaluation unifiée des sites ICPE et des fournisseurs critiques. Les entreprises industrielles développent des programmes d’évaluation collaborative qui permettent de répondre simultanément aux exigences NIS 2 pour les infrastructures critiques et aux standards de résilience opérationnelle requis par d’autres réglementations sectorielles.

Pour le secteur BTP, l’intégration multi-réglementaire transforme la gestion des sous-traitants multi-niveaux en créant des synergies entre les obligations de conformité réglementaire et les exigences de certification des prestataires. Cette approche permet d’optimiser la gouvernance des marchés publics tout en renforçant la sécurité de la chaîne d’approvisionnement.

Le TPRM au service de la conformité

L’évolution technologique rapide offre de nombreuses solutions pour aider à respecter les exigences de DORA et NIS 2 dans le cadre d’une gouvernance collaborative des tiers. En adoptant des outils avancés d’évaluation automatisée intégrant les fonctionnalités indispensables d’une plateforme TPRM, les entreprises peuvent sécuriser leurs systèmes et améliorer leur mise en conformité de manière efficace.

Les plateformes de surveillance grâce à l’intelligence artificielle permettent d’analyser les données entrant et sortant à la recherche de signes d’activité malveillante chez les partenaires tiers. Ces systèmes peuvent alerter les responsables de la sécurité lorsqu’un comportement suspect est détecté chez un fournisseur critique, augmentant ainsi la vitesse de réponse aux incidents et renforçant la robustesse organisationnelle de l’ensemble de l’écosystème.

Selon ENISA, les mesures techniques et méthodologiques de cybersécurité doivent être implémentées dans leur intégralité par les entités concernées. Cette approche collaborative d’audit des tiers critiques s’appuie sur des technologies avancées pour automatiser les processus de vérification et de surveillance continue.

Par ailleurs, l’ENISA recommande dans sa stratégie nationale de cybersécurité l’adoption de « politiques de sécurité de l’information harmonisées » qui permettent de créer un langage commun entre les autorités publiques et les organisations privées, réduisant ainsi les redondances administratives.

Dans le secteur de la distribution, cette transformation technologique se manifeste par l’analyse automatisée des marketplaces et l’évaluation en temps réel des fournisseurs e-commerce. Les entreprises du retail développent des systèmes d’intelligence artificielle qui permettent de surveiller la conformité réglementaire de leurs partenaires commerciaux tout en optimisant la sécurité de la chaîne d’approvisionnement.

Workflows intelligents d’évaluation des tiers

L’automatisation joue un rôle crucial dans l’optimisation des efforts de mise en conformité multi-réglementaire. Automatiser les processus répétitifs d’évaluation des partenaires tiers permet non seulement de réduire le risque d’erreur humaine, mais aussi de libérer du temps pour se concentrer sur des tâches stratégiques plus complexes de gouvernance des tiers.

Les entreprises doivent adopter une architecture informatique flexible capable de s’adapter aux besoins changeants requis par les mises à jour réglementaires fréquentes de DORA et NIS 2. Cette démarche concertée garantit que les systèmes d’évaluation des tiers restent efficaces et sécurisés sans nécessiter d’interruptions importantes dans les processus de gestion des risques.

L’automatisation des workflows d’évaluation permet également de standardiser les processus de gouvernance et contrôle interne tout en maintenant la flexibilité nécessaire pour s’adapter aux spécificités sectorielles. Ainsi, le modèle pay-to-collect mutualisé réduit de 40% les coûts administratifs.

Un investissement stratégique pour l’avenir

L’optimisation de la conformité DORA et NIS 2 représente bien plus qu’une simple obligation réglementaire. L’investissement dans une intégration multi-réglementaire génère un retour mesurable et durable. L’ENISA souligne que les organisations qui mutualisent leurs évaluations de sécurité réalisent des économies substantielles en évitant la duplication des audits et en optimisant l’allocation des ressources dédiées à la mise en conformité.

En adoptant cette démarche concertée d’évaluation des partenaires tiers, les organisations européennes renforcent leur résilience opérationnelle tout en créant un avantage concurrentiel durable dans un environnement réglementaire en constante évolution. La gouvernance collaborative des tiers devient ainsi un levier stratégique pour anticiper les défis futurs et maintenir l’excellence opérationnelle.