NIS2, DORA, II901, ISO 27001, PASSI, HDS, SecNumCloud… Les sigles cyber s’accumulent et donnent souvent l’impression de se contredire. En réalité, ils ne répondent pas aux mêmes questions et sont souvent complémentaires.
Toutes ces exigences cyber ne jouent pas au même niveau :
- Certaines s’imposent à votre activité : obligations réglementaires (NIS2, DORA, …)
- D’autres structurent votre organisation : standards de management (ISO/IEC 27001, ISO/IEC 27701, ISO 22301)
- D’autres sécurisent un périmètre sensible précis (II901)
- Et d’autres servent à choisir le bon prestataire ou à répondre aux attentes de votre filière : qualifications de prestataires (PASSI, PACS, PAMS, etc.).
C’est précisément pour cela que les entreprises s’y perdent : on met souvent dans la même phrase des lois, des référentiels techniques, des normes ISO, des cadres sectoriels et des qualifications de prestataires, alors qu’ils ne répondent pas à la même question.
Le plus utile est de les classer par niveau d’intervention.
Ce guide vous aide à comprendre à quel niveau intervient chaque cadre, comment il se met en œuvre et comment identifier ce qui s’applique réellement à votre activité.
Les grandes familles d’exigences cyber
1. Les réglementations et obligations sectorielles (“Vous devez”)
Elles répondent à la question : qu’est-ce que mon activité m’impose ?
Ce sont les cadres réglementaires ou exigences recommandées, qui s’imposent selon votre secteur, vos clients ou votre type d’activité.
On y trouve notamment :
- NIS2 : cadre européen général de cybersécurité pour 18 secteurs critiques, avec obligations de gestion des risques, de gouvernance et de notification d’incidents.
- DORA : règlement européen sectoriel pour les entités financières, applicable depuis le 17 janvier 2025.
- II901 / SIDR : cadre français pour les systèmes d’information sensibles ou Diffusion Restreinte, avec logique d’analyse de risques, d’homologation, de PSSI, d’architecture et de chiffrement.
- LPM / SIIV / OIV, pour les opérateurs d’importance vitale ;
- RGS : définit des fonctions de sécurité et une démarche d’homologation nécessaires dans les secteurs publics et privés qui fournissent des produits ou des services de confiance ;
- Cyber Resilience Act (CRA), pour les produits comportant des éléments numériques mis sur le marché de l’Union européenne.
- HDS : certification française obligatoire pour les prestataires qui hébergent des données de santé afin d’en garantir la sécurité et la conformité.
- PCI DSS : standard international de sécurité qui définit les exigences techniques et organisationnelles pour protéger les données de cartes de paiement.
- MiCA : règlement européen qui encadre l’émission de crypto-actifs ainsi que les services et acteurs associés dans l’Union européenne.
- Cadre SWIFT CSP / CSCF pour les utilisateurs de SWIFT (contrôles de sécurité obligatoires pour protéger les échanges entre adhérents du réseau SWIFT)
- Exigences de filière comme :
- TISAX dans l’automobile (mécanisme d’évaluation et d’échange des résultats d’évaluation en sécurité de l’information, très utilisé pour réduire les efforts entre donneurs d’ordre et fournisseurs).
- AIRCYBER : Normalisation et harmonisation de la sécurité informatique et des systèmes d’information tout au long de la chaîne d’approvisionnement dans les secteurs de l’aérospatiale et de la défense.
2. Les standards d’organisation et de management
Ils répondent à la question : comment structurer ma cybersécurité ?
Ici, on est sur des normes de management. Elles n’imposent pas forcément quelque chose par la loi, mais elles servent à structurer l’organisation, la gouvernance, les preuves, les politiques, les audits et l’amélioration continue.
On y trouve notamment :
- ISO/IEC 27001 : norme certifiable pour la mise en oeuvre du SMSI (Système de Management de la Sécurité du Système d’Information) ;
- ISO/IEC 27002 : guide de bonnes pratiques des mesures et contrôles applicables à la sécurité du SI ;
- ISO/IEC 27005 : préconisations pour la gestion des risques liées à la sécurité de l’information ;
- ISO 22301 : norme certifiable pour la mise en oeuvre du SMCA (Système de Management de la Continuité d’Activité) ;
- ISO/IEC 27035 : guide de bonnes pratiques pour la gestion des incidents ;
- ISO/IEC 27036 : guide de bonnes pratiques pour la sécurité dans la relation fournisseurs ;
- ISO/IEC 27017/27018 : extension de la 27002 portant sur le cloud ;
- ISO/IEC 27701 : norme certifiable pour la mise en oeuvre d’un système de management de protection de la vie privée (PIMS : Privacy Information Management System) ;
- Article 32 du RGPD : mesures techniques et organisationnelles pour garantir la sécurité des traitements de données à caractère personnel ;
- NIST Cybersecurity Framework (CSF) 2.0 : cadre méthodologique visant en particulier la prévention et la protection vis à vis des risques cyber ;
- CIS Controls : ensemble de bonnes pratiques de configuration des systèmes en cybersécurité
3. Les référentiels techniques, métiers ou d’environnement
Ils répondent à la question : comment sécuriser un contexte technique spécifique ?
Il s’agit de cadres très utiles quand la cybersécurité doit être traitée dans un contexte particulier.
On y trouve notamment :
- Pour les environnements industriels, la santé et plus largement les systèmes OT (Operational Technology), il existe de nombreuses normes qui couvrent l’ingénierie et le cycle de vie des systèmes d’information spécifiques
- Pour le cloud, il existe une qualification ANSSI (SecNumCloud) qui spécifie un niveau d’exigence technique, opérationnel et juridique élevé pour un cloud de confiance.
4. Les qualifications de prestataires
Elles répondent à la question : quel type d’acteur doit m’auditer ou m’accompagner ?
Côté ANSSI, il faut notamment distinguer :
- PASSI pour l’audit ;
- PACS pour l’assistance et le conseil ;
- PDIS pour la détection des incidents de sécurité, ayant la capacité d’intervenir dans des contextes SIDR (Système d’Information à Diffusion Restreinte) ou LPM (Loi de Programmation Militaire) ;
- PRIS pour la réponse à incident.
Cela répond à une autre question : “qui est légitime / qualifié pour m’auditer ou m’accompagner ?” et non “quelle règle dois-je appliquer ?”.
Netsystem est ainsi qualifié PASSI sur les portées “audit organisation et physique”, “audit d’architecture” et “audit de configuration”. Cette qualification confirme la solidité de notre expertise technique en matière d’audit de sécurité.
Comment savoir ce qui s’applique à votre activité ?
1. Votre secteur et la taille de votre organisation
Finance, santé, industrie, administration, recherche, défense, services numériques : votre secteur donne déjà une première orientation sur les cadres à examiner. La taille peut également rendre applicable une réglementation (ex avec NIS2 : + 50 collaborateurs, 10 M€ de CA).
2. Les informations que vous traitez
Données personnelles, données de santé, données de paiement, informations Diffusion Restreinte, données industrielles critiques : le type d’information est déterminant.
3. Vos clients et vos contrats
Un grand donneur d’ordre, un marché sensible, une activité de sous-traitance critique ou un programme de recherche stratégique peuvent faire émerger des exigences complémentaires.
4. Votre niveau de maturité
Une organisation peut être tenue par une réglementation, tout en ayant besoin d’un standard comme ISO 27001 pour structurer son pilotage, sa documentation et ses preuves.
5. Votre chaîne de valeur et votre mode de mise sur le marché
Dans certains cas, ce ne sont ni votre taille ni votre secteur au sens large qui déclenchent l’exigence principale, mais votre position dans un écosystème : fournisseur automobile soumis à une demande TISAX, utilisateur SWIFT, prestataire ou émetteur crypto concerné par MiCA et DORA, fabricant ou éditeur d’un produit numérique concerné par le Cyber Resilience Act, ou opérateur critique relevant du SAIV.
Quelques cas concrets pour mieux comprendre
Cas 1 — PME industrielle de défense / spatial
Elle peut avoir intérêt à un ISO 27001 pour structurer son SMSI, mais si elle traite du DR, elle devra surtout cadrer un SIDR sous II901 sur le périmètre concerné, souvent à la demande de son donneur d’ordre (DGA, aviation, nucléaire…). Si elle fait auditer ce périmètre, un audit PASSI sera nécessaire.
Cas 2 — Banque / assureur
DORA est dite « lex specialis » de NIS2 pour le secteur financier, c’est à dire qu’elle prime sur NIS2. Elle cadre principalement la résilience de l’activité (PCA, gestion des risques ICT, tiers, contractualisation, incidents et tests, …). ISO 27001 et ISO 22301 peuvent aider à structurer la conformité. L’AMF reconnait la légitimité des audits PASSI.
Cas 3 — Prestataire IT / infogérant travaillant pour des banques
Ces organisations héritent des exigences DORA de leur donneur d’ordre ; et s’il relève par ailleurs des catégories numériques visées, il peut rester concerné par NIS2 sur son propre périmètre. C’est exactement le genre de cas où les clients ont l’impression de subir plusieurs couches à la fois.
Cas 4 — SaaS RH
Le sujet central est souvent le RGPD, avec éventuellement ISO 27701 et ISO 27001 comme cadres de structuration. NIS2 n’entre en jeu que si l’activité, la catégorie et la taille font tomber l’entreprise dans le périmètre visé.
Notre recommandation
Avant de lancer un programme de mise en conformité, commencez par une cartographie d’applicabilité.
C’est le moyen le plus simple de distinguer :
- Ce qui est obligatoire pour votre activité
- Ce qui est recommandé
- Ce qui structure votre organisation
- Ce qui s’applique à un périmètre sensible particulier
- Ce qui est différenciant commercialement
