RÉFÉRENCE JURIDIQUE // NUMÉRIQUE & CYBER
DROIT DU NUMÉRIQUE
Cadre légal européen & français — Informatique, Systèmes d'Information & Cybersécurité
Ce référentiel couvre les 4 grandes réglementations qui impactent directement les métiers IT/cybersécurité en 2025-2026. En tant que technicien réseau ou administrateur infrastructure, tu seras confronté à ces textes au quotidien : RGPD pour toute manipulation de données personnelles, NIS2 pour la sécurité des SI, AI Act si des outils IA sont déployés, DORA dans un contexte financier.
RGPD
Règlement Général sur la Protection des Données. La loi fondamentale qui régit toute collecte et traitement de données personnelles dans l'UE.
AI ACT
Premier cadre légal mondial sur l'IA. Classe les systèmes d'IA par niveau de risque et impose des obligations aux développeurs et déployeurs.
NIS 2
Directive sur la sécurité des réseaux et SI. Oblige ~15 000 entités françaises à renforcer leur cybersécurité et notifier les incidents à l'ANSSI.
DORA
Digital Operational Resilience Act. Impose la résilience numérique au secteur financier : banques, assurances, prestataires TIC critiques.
// TABLEAU COMPARATIF RAPIDE
| RÈGLEMENT | OBJET | QUI EST CONCERNÉ | AUTORITÉ FR | STATUT 2026 |
|---|---|---|---|---|
| RGPD | Protection données personnelles | Toute entité traitant des données de résidents UE | CNIL | ✔ Applicable |
| AI ACT | Encadrement systèmes IA | Fournisseurs, importateurs, déployeurs d'IA dans l'UE | CNIL + Autorité IA (à désigner) | ⏳ Déploiement progressif |
| NIS 2 | Cybersécurité SI critiques | ~15 000 entités dans 18 secteurs essentiels/importants | ANSSI | ⚠ Transposition FR en cours |
| DORA | Résilience numérique finance | Banques, assurances, prestataires TIC du secteur financier | ACPR / AMF | ✔ Applicable depuis jan 2025 |
RÈGLEMENT (UE) 2016/679
RGPD
Règlement Général sur la Protection des Données — General Data Protection Regulation (GDPR)
20M€
Amende max (ou 4% CA)
72h
Délai notif. violation données
1 mois
Réponse demande droits personne
325M€
Amende record CNIL (Google, 2025)
Contexte IT : En tant qu'admin système ou TSSR, tu touches au RGPD dès que tu gères des annuaires AD (noms, emails d'employés), des logs de connexion, des caméras IP, des systèmes de ticketing (GLPI), ou tout accès à des bases de données contenant des infos sur des personnes physiques. Ce n'est pas qu'une affaire de juriste.
// 7 PRINCIPES FONDAMENTAUX · ART.5
01
Licéité, loyauté, transparence
Le traitement doit reposer sur une base légale (consentement, contrat, obligation légale, intérêt vital, mission d'intérêt public, intérêt légitime). L'utilisateur doit être informé clairement.
02
Limitation des finalités
Les données ne peuvent être collectées que pour un objectif précis et légitime. Pas de collecte "au cas où". Exemple : des logs de connexion collectés pour la sécurité ne peuvent pas être réutilisés pour surveiller la productivité.
03
Minimisation des données
Ne collecter que ce qui est strictement nécessaire. En pratique : ne pas logguer plus d'infos que requis, ne pas stocker d'adresses IP dans des logs applicatifs si ce n'est pas utile au service.
04
Exactitude
Les données doivent être exactes et tenues à jour. Mettre en place des procédures de correction. Obligation de supprimer les données obsolètes.
05
Limitation de la conservation
Durée de conservation limitée à ce qui est nécessaire. Après quoi : suppression ou anonymisation. Exemple : logs systèmes conservés 3-6 mois typiquement, comptes d'ex-employés désactivés et purgés après un délai défini.
06
Intégrité & Confidentialité (Sécurité)
Protection technique et organisationnelle : chiffrement (Article 32), contrôle d'accès (RBAC), journalisation, sauvegardes, tests d'intrusion réguliers, politique de mots de passe, MFA.
07
Responsabilité (Accountability)
Le responsable de traitement doit pouvoir démontrer sa conformité. Cela implique : registre des traitements, analyse d'impact (DPIA/AIPD), désignation d'un DPO si nécessaire.
// DROITS DES PERSONNES
Droit d'accès
Obtenir confirmation qu'un traitement existe et accéder aux données collectées.
Art. 15 RGPD
Droit de rectification
Corriger des données inexactes ou incomplètes. Délai de réponse : 1 mois.
Art. 16 RGPD
Droit à l'effacement
"Droit à l'oubli". Demander la suppression dans certains cas définis (retrait consentement, etc.).
Art. 17 RGPD
Droit à la limitation
Geler le traitement sans supprimer les données, le temps d'une contestation.
Art. 18 RGPD
Droit à la portabilité
Récupérer ses données dans un format structuré (JSON, CSV) pour les transférer ailleurs.
Art. 20 RGPD
Droit d'opposition
S'opposer à un traitement basé sur l'intérêt légitime, notamment le profilage.
Art. 21 RGPD
Décision automatisée
Ne pas être soumis à une décision uniquement automatisée ayant des effets significatifs.
Art. 22 RGPD
Droit à l'info
Être informé lors de la collecte : finalité, durée, responsable, contact DPO.
Art. 13-14 RGPD
// OBLIGATIONS TECHNIQUES · ART.32
L'article 32 impose des mesures techniques et organisationnelles appropriées selon le risque. Concrètement pour un TSSR / administrateur :
Chiffrement des données — Chiffrement du disque (BitLocker, LUKS), des flux (TLS 1.2+), des sauvegardes. Les clés USB et laptops itinérants DOIVENT être chiffrés.
Pseudonymisation — Séparer les identifiants des données. Ex : remplacer les noms par des ID dans les bases de log.
Contrôle d'accès (RBAC) — Least privilege, séparation des privilèges, revue régulière des comptes AD/IAM. Désactivation immédiate des comptes lors d'une sortie collaborateur.
Journalisation & supervision — Logs d'accès aux données sensibles conservés et intègres. Outils SIEM, corrélation d'événements.
Sauvegardes régulières — Au moins une copie hors-site, une copie offline (règle 3-2-1). Tester régulièrement la restauration.
Tests de sécurité — Pentests, audits de vulnérabilité réguliers. Patch management à jour.
Privacy by Design / Default — Intégrer la protection des données dès la conception d'une application ou d'un SI. La config par défaut doit être la plus restrictive possible.
// Article 32 RGPD — Sécurité du traitement
mesures_obligatoires = {
"chiffrement": obligatoire si données sensibles,
"confidentialite": RBAC + MFA,
"disponibilite": PCA/PRA documenté,
"tests": réguliers et documentés
}
mesures_obligatoires = {
"chiffrement": obligatoire si données sensibles,
"confidentialite": RBAC + MFA,
"disponibilite": PCA/PRA documenté,
"tests": réguliers et documentés
}
// VIOLATIONS DE DONNÉES · ART.33-34
72 heures — C'est le délai maximum pour notifier la CNIL après avoir pris connaissance d'une violation de données (fuite, ransomware, accès non autorisé…)
Une violation de données = toute destruction, perte, altération, divulgation ou accès non autorisé à des données personnelles (accidentel ou illicite).
!
Notification CNIL obligatoire si risque
Dès qu'il y a un risque pour les droits et libertés des personnes concernées. Délai : 72h maximum. Si notification tardive : justifier le délai.
!
Info des personnes concernées si risque ÉLEVÉ
Si la violation présente un risque élevé (ex: fuite de données bancaires, médicales), les personnes touchées doivent être informées "dans les meilleurs délais".
i
Registre des violations
Toutes les violations doivent être documentées en interne (même celles non notifiées à la CNIL), avec les faits, effets et mesures prises.
// SANCTIONS RGPD
20M€ / 4% CA
Violations graves : manquement aux principes fondamentaux, droits des personnes, transferts illicites. Google : 325M€ (2025)
10M€ / 2% CA
Violations techniques : registre de traitement absent, non-notification violation, DPO non désigné.
// RÔLES CLÉS
RT
Responsable de Traitement
Entité qui détermine pourquoi et comment les données sont traitées. Porte la responsabilité légale principale. C'est généralement la direction de l'organisation.
ST
Sous-traitant
Entité qui traite les données pour le compte du RT (hébergeur cloud, prestataire SI, éditeur logiciel). Doit signer un contrat DPA (Data Processing Agreement) et appliquer les mêmes garanties.
DPO
Délégué à la Protection des Données
Obligatoire pour les organismes publics, les entités traitant des données à grande échelle, et ceux traitant des données sensibles. Interlocuteur CNIL. Ne peut pas être la direction (conflit d'intérêt).
// AIPD / DPIA · ART.35
L'Analyse d'Impact sur la Protection des Données (AIPD) est obligatoire avant de démarrer un traitement à risque élevé.
Cas déclencheurs typiques :
Profilage systématique
Données sensibles à grande échelle
Surveillance systématique
Biométrie
IA de scoring/filtrage
Données de mineurs
L'AIPD documente : la nature du traitement, la nécessité, les risques, les mesures pour les atténuer. Si risque résiduel élevé → consultation préalable CNIL obligatoire.
// 6 BASES LÉGALES · ART.6
Tout traitement doit reposer sur une et une seule base légale choisie avant de collecter. Le choix est structurant : il détermine les droits des personnes et les obligations de l'organisme.
A
Consentement (Art.6.1.a)
La personne a donné son accord de façon libre, spécifique, éclairée et univoque. Retrait possible à tout moment. Conditions strictes (Art.7) : pas de case pré-cochée, pas de consentement groupé. En IT : formulaire web, cookies analytiques, newsletters.
B
Contrat (Art.6.1.b)
Traitement nécessaire à l'exécution d'un contrat auquel la personne est partie. Exemple : gestion de la paie, facturation client, compte utilisateur SaaS. Pas besoin de consentement si les données sont nécessaires au service contracté.
C
Obligation légale (Art.6.1.c)
Le traitement est imposé par une loi ou réglementation. Exemple : conservation des bulletins de paie 5 ans, déclarations fiscales, logs LCEN 1 an. La personne ne peut pas s'y opposer.
D
Intérêt vital (Art.6.1.d)
Protection de la vie humaine en urgence. Rare en pratique. Exemple : accès aux données médicales d'un patient inconscient sans possibilité de consentement.
E
Mission d'intérêt public (Art.6.1.e)
Réservé aux organismes publics ou chargés d'une mission de service public. Exemple : registre d'état civil, gestion scolaire, statistiques publiques.
F
Intérêt légitime (Art.6.1.f)
Base flexible mais soumise à un test de mise en balance : l'intérêt de l'organisme doit primer sur les droits des personnes. Interdit pour les organismes publics. Exemples IT : sécurisation du SI (logs de connexion, anti-fraude), prospection B2B, prévention des abus. La personne peut s'y opposer (Art.21).
// DONNÉES SENSIBLES · ART.9
Principe : collecte INTERDITE par défaut. Ces 9 catégories révèlent des aspects intimes de la vie privée. Leur traitement ne peut être autorisé que dans des cas très précis listés à l'Art.9.2.
Santé
Données génétiques
Données biométriques (à des fins d'identification)
Origine raciale ou ethnique
Opinions politiques
Convictions religieuses/philosophiques
Appartenance syndicale
Vie sexuelle / orientation sexuelle
Condamnations pénales (Art.10)
Exceptions autorisées (Art.9.2) : consentement explicite, obligations en droit du travail, intérêt vital, fondation/association à but non lucratif pour ses membres, données rendues publiques par la personne, action en justice, intérêt public essentiel, médecine/santé publique, archivage/recherche.
En IT : une caméra avec reconnaissance faciale = données biométriques = Art.9. Un portail RH avec champ "handicap" = données de santé = Art.9. Une badgeuse biométrique = AIPD obligatoire + consentement explicite.
// REGISTRE DES ACTIVITÉS DE TRAITEMENT · ART.30
Le RAT est le document central de la conformité RGPD. Il inventorie tous les traitements de données de l'organisation. Il doit être tenu à jour et présenté à la CNIL sur demande.
Obligatoire pour toute organisation de plus de 250 salariés et pour toute organisation de moins de 250 salariés si le traitement est régulier, présente des risques, ou concerne des données sensibles (Art.9/10).
Contenu obligatoire par traitement (Art.30.1) :
Identité du responsable de traitement (et DPO si désigné)
Finalité(s) du traitement (ex : gestion de la paie, vidéosurveillance, CRM)
Catégories de personnes concernées (salariés, clients, visiteurs...)
Catégories de données traitées (noms, emails, données de santé...)
Destinataires (internes et externes, sous-traitants, pays tiers)
Durée de conservation par catégorie de données
Mesures de sécurité (description générale des mesures techniques et organisationnelles)
// Exemple ligne RAT — Traitement "Vidéosurveillance"
finalite = "Sécurité des locaux"
base_legale = "Intérêt légitime (Art.6.1.f)"
personnes = "Salariés, visiteurs, clients"
conservation = 30 jours max (recommandation CNIL)
securite = "Accès restreint, chiffrement stockage"
// TRANSFERTS HORS UE · ART.44-49
Transférer des données personnelles vers un pays hors UE (USA, Inde, Chine…) est encadré strictement. Le niveau de protection doit être "essentiellement équivalent" à celui de l'UE.
✔
Décision d'adéquation (Art.45)
La Commission européenne a reconnu le pays comme offrant un niveau de protection adéquat. Transfert libre et sans formalité. Pays reconnus : Royaume-Uni, Suisse, Japon, Canada (secteur privé), Israël, Nouvelle-Zélande, Corée du Sud, USA via le Data Privacy Framework (DPF) depuis 2023.
⚡
Clauses Contractuelles Types — CCT (Art.46)
Contrats standardisés adoptés par la Commission UE. La solution la plus utilisée pour les prestataires cloud (AWS, Azure, Google Cloud…). Depuis 2021, nouvelles CCT modernisées. Nécessitent un Transfer Impact Assessment (TIA) pour évaluer la législation du pays destinataire.
BCR
Binding Corporate Rules — BCR (Art.46)
Règles internes contraignantes pour les groupes multinationaux. Approuvées par une autorité de contrôle (CNIL). Lourdes à mettre en place mais permettent de transférer librement au sein du groupe. Ex : Microsoft, Google ont leurs propres BCR.
!
Jurisprudence Schrems I & II (CJUE)
La CJUE a invalidé deux fois les accords UE-USA (Safe Harbor 2015, Privacy Shield 2020 — arrêt Schrems II). Raison : législation de surveillance américaine (FISA 702, Executive Order 12333) incompatible avec le droit fondamental à la vie privée. Le DPF (2023) est le 3ème accord, actuellement contesté.
En IT : utiliser AWS us-east-1, Office 365, Google Workspace = transfert hors UE. Vérifier que le prestataire propose des CCT signées et des engagements contractuels conformes. Privilégier les régions EU (eu-west-1, etc.).
// CONSENTEMENT : CONDITIONS DE VALIDITÉ · ART.7
Le consentement est la base légale la plus connue mais aussi la plus contraignante. Pour être valide, il doit réunir 4 conditions cumulatives :
LIBRE
Pas de déséquilibre de pouvoir (ex: employeur/salarié). Pas de consentement comme condition d'accès à un service si non nécessaire.
SPÉCIFIQUE
Un consentement par finalité. Impossible de regrouper "j'accepte tout" en une seule case.
ÉCLAIRÉ
La personne doit comprendre ce à quoi elle consent : qui collecte, pourquoi, combien de temps.
UNIVOQUE
Action positive et non ambiguë. Pas de cases pré-cochées, pas de silence valant acceptation.
Retrait possible à tout moment — Sans conséquence pour la personne et aussi facile que de le donner. Un bouton "désabonnement" accessible = obligation.
Preuve de consentement — Le RT doit être capable de prouver que le consentement a été donné (date, heure, version du formulaire, IP).
Mineurs de moins de 16 ans — Consentement des parents requis. Les États membres peuvent abaisser ce seuil à 13 ans (France : 15 ans).
// SANCTIONS : EXEMPLES RÉELS CNIL 2023-2025
325M€
Google (2025) — Collecte de données sans base légale valide, transferts hors UE non conformes.
150M€
Shein (2025) — Défaut de transparence et de sécurité sur données de millions d'utilisateurs européens.
40M€
Amazon (2023) — Système de cookies non conforme sur Amazon.fr. Retrait de consentement trop complexe.
5M€
TotalEnergies (2023) — Prospection commerciale sans consentement valide, conservation excessive des données.
100k€
Commune française (2024) — Vidéosurveillance avec reconnaissance faciale sans base légale, sans AIPD.
En 2025, la CNIL a réalisé 1 247 contrôles (+15% vs 2024). 32% des entreprises contrôlées étaient des PME/TPE. Seulement 34% des entreprises qui déclaraient être conformes l'étaient réellement.
RÈGLEMENT (UE) 2024/1689
AI ACT
Règlement européen sur l'Intelligence Artificielle — Premier cadre légal mondial sur l'IA
35M€
ou 7% CA · Pratiques interdites
15M€
ou 3% CA · Autres violations
4
Niveaux de risque définis
2027
IA haut risque dans produits réglementés
Lien RGPD : L'AI Act ne remplace pas le RGPD. Les deux se complètent. Si un système IA traite des données personnelles, il est soumis aux deux textes simultanément. Exemple : un outil RH avec IA d'analyse de CV → AI Act (IA haut risque) + RGPD (données perso des candidats) + obligation AIPD.
// PYRAMIDE DES RISQUES — APPROCHE "RISK-BASED"
RISQUE INACCEPTABLE
↳ INTERDIT
Pratiques totalement prohibées depuis le 2 février 2025
• Manipulation subliminale inconsciente des comportements humains
• Exploitation des vulnérabilités (âge, handicap, situation sociale)
• Notation sociale ("Social Scoring") par les États
• Identification biométrique en temps réel dans l'espace public (sauf exceptions sécurité nationale très encadrées)
• IA permettant de déduire émotions en milieu professionnel/scolaire
• Scraping facial de bases de données pour élargir des bases de reconnaissance
• Exploitation des vulnérabilités (âge, handicap, situation sociale)
• Notation sociale ("Social Scoring") par les États
• Identification biométrique en temps réel dans l'espace public (sauf exceptions sécurité nationale très encadrées)
• IA permettant de déduire émotions en milieu professionnel/scolaire
• Scraping facial de bases de données pour élargir des bases de reconnaissance
HAUT RISQUE
↳ ENCADRÉ
Soumis à un cadre de conformité strict
Domaines concernés : biométrie, infrastructures critiques (eau, énergie, réseau), éducation, emploi/RH, services publics essentiels, justice, maintien de l'ordre, migration.
Obligations : gestion des risques documentée, données de haute qualité, documentation technique, traçabilité/auditabilité, supervision humaine, robustesse et cybersécurité garanties, enregistrement dans base EU.
Obligations : gestion des risques documentée, données de haute qualité, documentation technique, traçabilité/auditabilité, supervision humaine, robustesse et cybersécurité garanties, enregistrement dans base EU.
RISQUE LIMITÉ
↳ TRANSPARENCE
Obligation de transparence uniquement
Chatbots, deepfakes, IA génératives : l'utilisateur DOIT être informé qu'il interagit avec une IA ou que le contenu est généré par IA. Les contenus deepfake doivent être clairement marqués.
RISQUE MINIMAL
↳ LIBRE
Filtres anti-spam, recommandations de contenu basiques, jeux vidéo avec IA… Aucune obligation spécifique au titre de l'AI Act. Bonne pratique : adhérer au Code de conduite volontaire.
// CALENDRIER D'APPLICATION
Août 2024
Entrée en vigueur
Publication au JOUE. Le règlement (UE) 2024/1689 entre officiellement en vigueur.
Fév. 2025
Interdictions + Littératie IA
Pratiques interdites actives. Art.4 : obligation de littératie IA pour tous les déployeurs — former les équipes à utiliser l'IA de manière responsable.
Août 2025
Modèles GPAI (Art.51-55)
Règles pour les modèles IA à usage général (GPT-4, Gemini, Mistral, Llama…). Obligations de documentation, transparence, et mesures anti-risques systémiques.
Août 2026
Application complète IA haut risque
Systèmes IA à haut risque soumis à toutes les obligations. Bacs à sable réglementaires opérationnels. Enregistrement base UE obligatoire.
Août 2027
IA dans produits réglementés
Extension aux systèmes IA intégrés dans des produits déjà réglementés (dispositifs médicaux, machines, équipements radio…).
// IMPACT DIRECT CYBER & IT
Les systèmes IA à haut risque doivent garantir :
Cybersécurité tout au long du cycle de vie — Résistance aux attaques adversariales, injection de prompt, empoisonnement des données. Obligation de patch/update.
Robustesse et exactitude — Tests de robustesse documentés. Gestion des boucles de rétroaction (risque de biais amplifié).
Traçabilité (logs automatiques) — Les systèmes IA haut risque doivent enregistrer automatiquement les entrées/sorties et décisions pour permettre l'audit.
Documentation technique obligatoire — Architecture, données d'entraînement, métriques de performance, limitations connues.
Supervision humaine — L'interface doit permettre à un humain de comprendre, superviser, stopper le système. Pas de "boite noire" sans override possible.
AIPD avant déploiement d'IA haut risque — En conjonction avec le RGPD, toute IA traitant des données perso à haut risque nécessite une analyse d'impact.
Un outil de détection d'intrusion basé sur l'IA ou un système de analyse comportementale des employés peut tomber dans la catégorie "haut risque". Vérifier avant déploiement.
// FOURNISSEUR vs DÉPLOYEUR : OBLIGATIONS DISTINCTES
L'AI Act distingue deux rôles avec des obligations très différentes. En entreprise, on est souvent les deux simultanément.
[ FOURNISSEUR — Art.16 ]
Développe ou met sur le marché un système IA (éditeur logiciel, startup IA, DSI qui crée un modèle interne).
Documentation technique complète obligatoire
Marquage CE + déclaration de conformité UE
Enregistrement dans la base UE (EU AI Database)
Système de gestion des risques documenté
Notice d'utilisation claire pour les déployeurs
Signalement des incidents graves aux autorités
[ DÉPLOYEUR — Art.26 ]
Utilise un système IA existant dans son contexte professionnel (entreprise qui déploie Copilot, ChatGPT Enterprise, IA RH…).
Utiliser le système conformément à la notice
Assurer la supervision humaine effective
Analyse d'impact sur les droits fondamentaux (avant déploiement haut risque)
Littératie IA (Art.4) : former les utilisateurs du système
Conserver les logs générés automatiquement
Informer les personnes soumises à l'IA
// MODÈLES IA À USAGE GÉNÉRAL — GPAI · ART.51-55
Les GPAI (General Purpose AI) sont des modèles capables d'accomplir une grande variété de tâches : GPT-4, Claude, Gemini, Mistral, Llama… Ils font l'objet d'obligations spécifiques depuis août 2025.
I
Obligations minimales (tous les GPAI)
Documentation technique du modèle, politique de respect du droit d'auteur (entraînement sur données protégées), résumé public des données d'entraînement, coopération avec les autorités.
II
Modèles à risque systémique (GPAI puissants)
Seuil : puissance de calcul d'entraînement ≥ 10^25 FLOPs. Obligations renforcées : évaluation adversariale (red-teaming), signalement incidents graves à la Commission, mesures de cybersécurité du modèle, fiabilité et résistance aux manipulations.
III
Codes de bonnes pratiques
Les fournisseurs GPAI peuvent adhérer à des codes de bonnes pratiques élaborés par l'AI Office européen pour prouver leur conformité.
AI Office européen : Nouvelle autorité créée au sein de la Commission pour superviser les modèles GPAI et les systèmes IA haut risque transnationaux. Les États membres désignent leurs autorités nationales compétentes.
// SANCTIONS AI ACT DÉTAILLÉES
35M€ / 7% CA
Pratiques interdites (risque inacceptable) — Social scoring, manipulation, biométrie en temps réel non autorisée, reconnaissance émotionnelle illicite.
15M€ / 3% CA
Autres violations — Non-conformité d'un système haut risque, fausse déclaration aux autorités, manquements aux obligations GPAI.
7,5M€ / 1,5% CA
Informations inexactes — Fournir des informations incorrectes ou incomplètes aux autorités de surveillance.
Pour les PME et startups, les amendes sont plafonnées au montant le plus bas entre le pourcentage et la valeur absolue. Proportionnalité prise en compte selon la taille et la nature de l'infraction.
// LITTÉRATIE IA OBLIGATOIRE · ART.4
Applicable depuis le 2 février 2025. Tout déployeur (entreprise qui utilise un système IA) doit s'assurer que ses employés disposent d'un niveau suffisant de compétence, connaissances et compréhension de l'IA utilisée.
Former les utilisateurs directs — Comprendre les capacités et limites du système, risques de biais, cas de refus de décision automatique.
Former les superviseurs — Savoir interpréter les sorties du système, identifier les anomalies, exercer la supervision humaine.
Adapter au contexte — La formation doit être proportionnelle au niveau de risque du système déployé et au rôle de chaque employé.
Documenter les formations — Conserver les preuves de formation pour démontrer la conformité lors d'un contrôle.
En pratique : si ton entreprise déploie Copilot 365, ChatGPT Enterprise, ou un SIEM avec IA, tu dois documenter qu'une formation a été dispensée aux utilisateurs. Une simple note d'information ne suffit pas.
DIRECTIVE (UE) 2022/2555
NIS 2
Network and Information Security 2 — Directive sur la Sécurité des Réseaux et des Systèmes d'Information
~15 000
Entités françaises concernées
10M€
ou 2% CA · Entités essentielles
7M€
ou 1,4% CA · Entités importantes
18
Secteurs d'activité couverts
Statut France (Mars 2026) : La France a pris du retard dans la transposition. La Commission européenne a émis un avis motivé en mai 2025. Le projet de loi "Résilience" est en cours de parcours parlementaire. Cependant, les notifications d'incidents à l'ANSSI sont déjà effectives. La conformité totale est attendue pour fin 2027 selon le DG de l'ANSSI.
// ENTITÉS ESSENTIELLES vs IMPORTANTES
NIS2 classe les entités selon deux niveaux d'exigence :
[ ENTITÉS ESSENTIELLES — ANNEXE I ]
Énergie
Transports
Secteur bancaire
Infrastructures marchés financiers
Santé
Eau potable
Eaux usées
Infrastructure numérique
Gestion services TIC
Espace
Administration publique
[ ENTITÉS IMPORTANTES — ANNEXE II ]
Services postaux
Gestion des déchets
Chimie
Alimentation
Fabrication industrielle critique
Fournisseurs numériques
Recherche
Prestataires IT : Si tu travailles pour ou avec une entité NIS2, tu peux être indirectement concerné par la chaîne d'approvisionnement. Les attaques par rebond représentaient 24% des cyberattaques en 2022.
Critère de taille : Grandes et moyennes entreprises (>50 salariés OU >10M€ de CA). Les TPE/PME <50 salariés sont généralement exclues sauf secteurs critiques.
// 10 MESURES DE GESTION DES RISQUES · ART.21
Politique de sécurité des SI documentée — PSSI formalisée, approuvée par la direction, révisée annuellement.
Gestion des incidents — Procédures détection, réponse, notification. L'ANSSI doit être notifiée en cas d'incident significatif.
Continuité d'activité (PCA/PRI) — Sauvegardes, reprise après sinistre, gestion de crise documentée et testée.
Sécurité de la chaîne d'approvisionnement — Évaluer les risques des fournisseurs et prestataires. Clauses contractuelles de sécurité.
Sécurité de l'acquisition, développement et maintenance — DevSecOps, gestion des vulnérabilités, patch management.
Politique d'évaluation des mesures de sécurité — Audits réguliers, tests de pénétration, indicateurs de performance sécurité.
Cyberhygiène et formation — Sensibilisation régulière de TOUS les employés. La direction DOIT suivre des formations cyber (art.20).
Cryptographie et chiffrement — Politique documentée. Chiffrement des données sensibles en transit et au repos.
Sécurité des ressources humaines & contrôle d'accès — RBAC, gestion des identités, procédures d'onboarding/offboarding. Gestion des habilitations.
MFA / Authentification multi-facteurs — Obligatoire pour les accès sensibles. Communications sécurisées obligatoires.
// NOTIFICATION D'INCIDENTS · ART.23
Délais de notification à l'ANSSI pour un incident significatif :
24h max
Alerte précoce
Notification initiale à l'ANSSI. Signalement que l'incident s'est produit, s'il est soupçonné d'origine malveillante ou transfrontalière.
72h max
Notification complète
Évaluation initiale complète : gravité, impact, indicateurs de compromission (IoC) si disponibles.
1 mois max
Rapport final
Rapport détaillé : description complète, analyse des causes, mesures prises, impact réel.
// Portail de notification ANSSI
url = "monespacenis2.cyber.gouv.fr"
action_immediate = "Enregistrement entité"
obligation_actuelle = "Notification incidents"
url = "monespacenis2.cyber.gouv.fr"
action_immediate = "Enregistrement entité"
obligation_actuelle = "Notification incidents"
// GOUVERNANCE & RESPONSABILITÉ DIRECTION
NIS2 introduit une responsabilité personnelle des dirigeants en cas de manquement grave. La direction ne peut plus déléguer la cyber sans s'y impliquer.
Formation obligatoire de la direction
Les membres des organes de direction doivent suivre des formations régulières sur les risques cyber et les bonnes pratiques (Art.20). Ils doivent valider et superviser les mesures de sécurité.
Approbation des mesures de sécurité
Les organes de direction approuvent les mesures de gestion des risques et sont responsables de leur mise en œuvre. La cybersécurité doit être un point d'agenda régulier du Comex/CA.
Responsabilité en cas de non-conformité
En cas d'infraction répétée, les autorités peuvent interdire temporairement à un dirigeant d'exercer ses fonctions de gestion. Les sanctions peuvent aussi inclure la publication des infractions.
RÈGLEMENT (UE) 2022/2554
DORA
Digital Operational Resilience Act — Résilience Opérationnelle Numérique du Secteur Financier
Jan. 2025
Date d'application effective
TLPT
Tests de pénétration ciblés obligatoires
ICT
Registre prestataires TIC obligatoire
24h
Délai alerte précoce incident majeur TIC
Pourquoi DORA en cybersécurité ? Le secteur financier est une cible privilégiée des cyberattaques. DORA uniformise les exigences TIC pour toutes les entités financières de l'UE et impose aux prestataires IT/cloud qui les servent de respecter les mêmes standards. Si tu bosses pour une banque, assurance, fintech, ou un hébergeur cloud du secteur financier, DORA te concerne directement.
// ENTITÉS CONCERNÉES
Établissements de crédit (banques)
Établissements de paiement
Sociétés d'investissement
Compagnies d'assurance
Gestionnaires d'actifs
Prestataires de cryptoactifs (PSAN)
Plateformes de négociation
Chambres de compensation
Agences de notation de crédit
Fonds de pension
Prestataires TIC critiques
Les prestataires tiers de services TIC (cloud, MSSP, éditeurs logiciels) considérés comme "critiques" sont soumis à supervision directe des Autorités Européennes de Surveillance (ABE, AEAPP, AEMF). Régime simplifié pour les micro-entités (<10 salariés, <2M€ CA).
// 5 PILIERS DE DORA
01
Gestion des risques TIC
Cadre de gouvernance ICT complet : inventaire des actifs TIC, cartographie des risques, stratégie de résilience numérique. La direction valide et supervise le cadre. Révision annuelle obligatoire.
02
Gestion & notification des incidents TIC
Classification des incidents, procédures de réponse, notification obligatoire des incidents MAJEURS à l'ACPR/AMF selon délais stricts (voir ci-dessous).
03
Tests de résilience opérationnelle numérique
Tests réguliers obligatoires : tests de base (vulnérabilités, pentests) annuels pour toutes les entités. TLPT (Threat-Led Penetration Testing) pour les entités significatives, tous les 3 ans min.
04
Gestion des risques tiers TIC
Registre ICT obligatoire : inventaire de tous les contrats TIC avec prestataires externes. Clauses contractuelles DORA dans chaque contrat. Stratégies de sortie documentées pour les prestataires critiques.
05
Partage d'informations sur les menaces
Encouragement au partage de renseignement cyber entre institutions financières au sein de "communautés de confiance" volontaires et encadrées.
// DÉLAIS DE NOTIFICATION INCIDENTS TIC · ART.19-20
Pour un incident TIC majeur (indisponibilité étendue, violation de données critique, perte d'intégrité…), les délais sont plus courts que NIS2 :
4h max
Alerte précoce obligatoire
Si l'incident est soupçonné d'origine malveillante ou si ses effets transfrontaliers sont probables. Notification initiale à l'ACPR (banques/assurances) ou AMF (marchés financiers).
24h max
Rapport intermédiaire
Évaluation complète : gravité, périmètre affecté, impact sur les opérations, premières mesures prises, indicateurs de compromission si disponibles.
1 mois max
Rapport final
Analyse complète des causes racines, impact financier, mesures de remédiation appliquées, actions préventives pour éviter la récurrence.
// Portails de déclaration DORA en France
banques = "portail.acpr.banque-france.fr"
assurances = "portail.acpr.banque-france.fr"
marches = "amf-france.org → ROSA"
format = Règlement d'exécution UE 2025/302
// REGISTRE ICT & TLPT
[ REGISTRE ICT — CONTENU OBLIGATOIRE ]
Nom et coordonnées de chaque prestataire TIC
Description des services fournis et leur criticité
Pays de localisation des données et de traitement
Dates de début/fin de contrat, dernière révision
Concentration de prestataires (risque de dépendance)
Soumis annuellement à l'ACPR ou à l'AMF. Format normalisé défini par les Autorités Européennes de Surveillance.
[ TLPT — THREAT-LED PENETRATION TESTING ]
Test de pénétration guidé par le renseignement sur les menaces réelles. Basé sur le cadre TIBER-EU de la BCE.
Qui ? Entités financières significatives désignées par l'autorité compétente
Fréquence : Au moins tous les 3 ans
Scope : Systèmes de production en conditions réelles
Résultats : Rapport partagé avec l'autorité compétente, plan de remédiation
// SANCTIONS DORA
Sanctions admin.
Entités financières — Sanctions administratives proportionnées définies par chaque État membre. Peuvent inclure avertissement public, injonction de mise en conformité, suspension temporaire d'activité.
10M€ ou 5% CA
Prestataires TIC critiques (désignés par les AES) — En cas de non-conformité aux injonctions des superviseurs principaux. Possible astreinte journalière de 1% du CA mondial moyen.
Responsabilité dirigeants
Les organes de direction peuvent être déclarés personnellement responsables. Interdiction temporaire d'exercer des fonctions de direction en cas de violations graves.
DROIT FRANÇAIS & COMPLÉMENTAIRE
LOIS & TEXTES FR
Textes complémentaires applicables en France — Loi Informatique & Libertés, LCEN, Code pénal informatique
// LOI INFORMATIQUE & LIBERTÉS (LIL)
La loi française qui complète et adapte le RGPD au contexte national. Elle confère notamment des pouvoirs à la CNIL et adapte certaines dispositions aux spécificités françaises (données de santé, condamnations pénales, traitements de souveraineté…).
CNIL comme autorité de contrôle — Pouvoir d'enquête, de mise en demeure et de sanction. 1 247 contrôles réalisés en 2025 (+15% vs 2024).
Données sensibles élargies — En France : biométriques (strictement réglementées), génétiques, données judiciaires. Collecte par principe interdite, exceptions listées.
Droit à la mort numérique — Droit à donner des directives sur le sort de ses données après son décès (spécificité française).
// LCEN — LOI POUR LA CONFIANCE EN L'ÉCONOMIE NUMÉRIQUE
Responsabilité des hébergeurs
Un hébergeur n'est pas responsable des contenus stockés s'il n'a pas connaissance de leur caractère illicite ou s'il agit promptement pour les retirer. Régime dit "notice and take down".
Obligation de conservation des logs
Les FAI et hébergeurs sont obligés de conserver pendant 1 an les données de connexion (logs) des utilisateurs pour les besoins des enquêtes judiciaires.
Contrats électroniques
Encadre la formation des contrats en ligne, la signature électronique, les mentions obligatoires dans les CGU/CGV.
// CODE PÉNAL — INFRACTIONS INFORMATIQUES (STAD)
Articles 323-1 à 323-7 du Code pénal — Accès / maintien frauduleux dans un STAD (Système de Traitement Automatisé de Données)
2 ans / 60k€
Art.323-1 — Accès frauduleux à un STAD (même sans altération). C'est l'article qui s'applique en cas de pentest non autorisé, même "curiosité" sans malveillance.
3 ans / 100k€
Art.323-1 al.2 — Si cet accès entraîne la suppression ou modification de données, ou altération du fonctionnement du système.
5 ans / 150k€
Art.323-2 — Entrave au fonctionnement d'un STAD (DoS, ransomware, sabotage). S'applique aux attaques de type DDoS, injection de malware.
5 ans / 150k€
Art.323-3 — Introduction, suppression, modification frauduleuse de données (SQL Injection, falsification de logs…)
10 ans / 300k€
Art.323-4-1 — Si ces infractions concernent une infrastructure critique (hôpital, réseau énergie, système bancaire…)
Point critique TSSR : Un pentest réalisé sans autorisation écrite préalable et explicite du propriétaire du système constitue une infraction pénale même si tu es "pour t'exercer" ou "pour tester". Toujours formaliser une lettre d'autorisation (scope, dates, techniques autorisées).
// AUTRES TEXTES — FRANCE & UE
CRA
Cyber Resilience Act — Règlement (UE) 2024/2847
En vigueur nov. 2024, applicable progressivement jusqu'en 2027. Impose des exigences de cybersécurité aux produits numériques avec éléments numériques (IoT, logiciels, équipements réseau) tout au long de leur cycle de vie. Fabricants/éditeurs : SBOM obligatoire, gestion des vulnérabilités 5 ans min, mises à jour de sécurité gratuites.
LPM
Loi de Programmation Militaire 2013 (Art.22) + LPM 2024
Donne des pouvoirs à l'ANSSI pour intervenir sur les OIV (Opérateurs d'Importance Vitale). 12 secteurs OIV : activités civiles de l'État, activités militaires, judiciaire, alimentation, santé, eau, énergie, communications électroniques, industrie, transports, finances, espace/recherche. La LPM 2024 étend les capacités de cyberdéfense offensive (CALID) et de renseignement cyber.
SREN
Loi SREN — Loi n°2024-449 du 21 mai 2024
Loi française "visant à sécuriser et réguler l'espace numérique". Points clés : SecNumCloud ancré dans la loi (référentiel ANSSI pour cloud de confiance), filtre anti-arnaque SIM swapping, encadrement des influenceurs numériques, mise en œuvre nationale du DSA/DMA, renforcement des pouvoirs de l'ARCOM.
Godfrain
Loi Godfrain — Loi n°88-19 du 5 janvier 1988
Texte fondateur des infractions informatiques en France, ancêtre des Art.323-1 et suivants du Code pénal. Première loi au monde à criminaliser l'accès non autorisé aux systèmes informatiques. Contexte : 1988, affaire du "Chaos Computer Club" et premières intrusions sur systèmes universitaires français.
Art.226
Code pénal Art.226-16 à 226-24 — Infractions RGPD/LIL
Sanctions pénales spécifiques pour violations de données personnelles : Art.226-16 (5 ans / 300k€ : traitement sans formalité), Art.226-17 (5 ans / 300k€ : défaut de sécurité), Art.226-18 (5 ans / 300k€ : collecte déloyale), Art.226-21 (5 ans / 300k€ : détournement de finalité), Art.226-22 (3 ans / 100k€ : divulgation sans autorisation).
DSA
Digital Services Act — Règlement (UE) 2022/2065
Applicable depuis fév. 2024. Modération des contenus illicites (délai de traitement signalements), transparence algorithmique obligatoire, interdiction du ciblage publicitaire basé sur données sensibles, interdiction du ciblage des mineurs, accès aux données pour chercheurs. Sanctions : jusqu'à 6% du CA mondial.
DMA
Digital Markets Act — Règlement (UE) 2022/1925
Applicable depuis mars 2024. "Gatekeepers" désignés (Alphabet, Apple, Meta, Microsoft, Amazon, ByteDance) soumis à obligations spécifiques : interopérabilité des messageries (WhatsApp/iMessage avec tiers), interdiction de l'auto-préférence, portabilité des données B2B. Sanction : jusqu'à 10% CA mondial, 20% en cas de récidive.
// LOI RENSEIGNEMENT 2015 & SURVEILLANCE LÉGALE
Encadre les techniques de renseignement utilisées par les services français (DGSI, DGSE, DRSD…). Directement pertinente en cybersécurité :
Algorithmes de détection
Autorisation d'utiliser des algorithmes sur les métadonnées des opérateurs télécoms pour détecter des comportements suspects (menaces terroristes). Supervisés par la CNCTR (Commission Nationale de Contrôle des Techniques de Renseignement).
Boîtes noires chez les opérateurs
Les FAI et hébergeurs peuvent être contraints d'installer des sondes ("boîtes noires") pour l'analyse des flux réseau. Concerne directement les administrateurs réseau en entreprise.
IMSI Catchers & captation de données
Autorisation de capter des communications, d'utiliser des IMSI catchers, d'accéder aux données stockées sur des appareils (avec autorisation du Premier ministre et avis CNCTR).
La CNCTR (autorité administrative indépendante) contrôle la légalité des techniques utilisées. Elle a émis 17 000 autorisations en 2023. Toute personne peut la saisir si elle soupçonne une surveillance illégale.
// DIRECTIVE ePrivacy — COOKIES & COMMUNICATIONS
Complète le RGPD pour les communications électroniques. S'applique à tout site web, application mobile, logiciel client.
Cookies : règle du consentement préalable
Tout cookie non strictement nécessaire au service (analytics, publicitaire, social media) nécessite un consentement préalable, libre, spécifique et éclairé. Les bandeaux cookie doivent proposer "Accepter" et "Refuser" avec la même facilité.
Cookies exemptés
Session d'authentification, panier e-commerce, mémorisation de préférences UI, cookies de sécurité (CSRF token), mesures d'audience strictement limitées (certains outils analytics exemptés par la CNIL sous conditions).
Lignes directrices CNIL 2020
La CNIL a émis des recommandations précises : refus aussi simple qu'acceptation, pas de design trompeur (dark patterns), durée de conservation du consentement max 13 mois, renouvellement requis.
Un futur Règlement ePrivacy (en négociation depuis 2017) doit remplacer la directive et s'aligner sur le RGPD. En 2026, le texte est toujours en discussion au Conseil de l'UE.
// DIRECTIVE RCE — RÉSILIENCE DES ENTITÉS CRITIQUES
Sœur de NIS2 mais axée sur la résilience physique des entités critiques (pas seulement cyber). Transposée dans le même projet de loi "Résilience" en France.
11 secteurs critiques : énergie, transports, banque, marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, administration publique, espace, alimentation.
Évaluation des risques — Identification des entités critiques par les États membres, analyse de risques (incidents naturels, accidents, terrorisme, sabotage).
Plan de résilience — Mesures techniques, organisationnelles et de sécurité du personnel (contrôle judiciaire des personnels sensibles).
Notification d'incidents physiques — Incidents significatifs (perturbation des services) notifiés à l'autorité compétente.
// eIDAS 2 — IDENTITÉ NUMÉRIQUE EUROPÉENNE
Crée le portefeuille d'identité numérique européen (EUDI Wallet) — application mobile permettant à chaque citoyen UE de stocker et présenter ses identités et attestations numériques.
EUDI Wallet
Application mobile fournie par chaque État membre. Stocke : carte d'identité numérique, permis de conduire, diplômes, prescriptions médicales… Acceptée obligatoirement par les services publics et grandes plateformes privées.
Signature électronique qualifiée (QES)
Valeur légale équivalente à une signature manuscrite dans toute l'UE. Émise par des Prestataires de Services de Confiance Qualifiés (PSCQ) figurant sur la Trust List de chaque État. En France : CertEurope, DocuSign (qualifié), Certigna.
Impact IT
Les administrateurs SI doivent intégrer eIDAS 2 dans les systèmes d'authentification. Obligation d'accepter le wallet pour les services en ligne recevant plus de 5 000 utilisateurs/mois. Lien direct avec IAM (Identity & Access Management).
NORMES ISO/IEC — SÉRIE 27000
NORMES ISO 27000
Famille de normes internationales pour la Sécurité des Systèmes d'Information — Référence mondiale incontournable
27001
Norme de certification SMSI
27002
114 contrôles de sécurité
50 000+
Organisations certifiées dans le monde
2022
Dernière révision majeure
Normes vs Lois : Les normes ISO ne sont pas des obligations légales directes (sauf si une loi y renvoie expressément). Mais NIS2 (Art.21) encourage explicitement les certifications reconnues. Pour un AIS ou RSSI, la connaissance de la série 27000 est fondamentale : c'est le langage commun de la cybersécurité professionnelle mondiale.
// ISO/IEC 27001:2022 — LA NORME DE CERTIFICATION
Définit les exigences pour établir, mettre en œuvre, maintenir et améliorer en continu un SMSI (Système de Management de la Sécurité de l'Information). Seule norme de la famille qui donne lieu à une certification tierce partie.
[ STRUCTURE — APPROCHE PDCA ]
PLAN
Définir le périmètre, évaluer les risques, choisir les contrôles applicables (SoA)
DO
Mettre en œuvre les contrôles, former les équipes, appliquer les politiques
CHECK
Audits internes, revues de direction, mesures d'efficacité des contrôles
ACT
Actions correctives, amélioration continue, traitement des non-conformités
[ CLAUSES OBLIGATOIRES (4 À 10) ]
Clause 4 — Contexte de l'organisme : parties prenantes, enjeux internes/externes, périmètre du SMSI
Clause 5 — Leadership : engagement de la direction, politique SSI, rôles et responsabilités
Clause 6 — Planification : évaluation des risques SSI, traitement des risques, SoA (Statement of Applicability)
Clause 7 — Support : ressources, compétences, sensibilisation, communication, documentation
Clause 8 — Fonctionnement : mise en œuvre du plan de traitement des risques, contrôle des processus externalisés
Clause 9 — Évaluation des performances : surveillance, audits internes, revue de direction
Clause 10 — Amélioration : non-conformités, actions correctives, amélioration continue
// ISO/IEC 27002:2022 — LES 114 CONTRÔLES
Référentiel de bonnes pratiques organisé en 4 thèmes et 93 contrôles (la version 2022 a restructuré les 114 contrôles de l'édition 2013). C'est le "guide d'implémentation" de l'Annexe A de la 27001.
5
Thème Organisationnel — 37 contrôles
Politiques SSI, rôles et responsabilités, gestion des risques, sécurité dans les projets, relations avec les fournisseurs, gestion des incidents, continuité d'activité, conformité légale. Exemples : 5.1 Politiques SSI, 5.23 Sécurité cloud, 5.30 Disponibilité des SI.
6
Thème Personnes — 8 contrôles
Ressources humaines : vérification des antécédents (screening), contrats de confidentialité, formation SSI, processus disciplinaire, responsabilités après la fin du contrat, travail à distance, accès aux données confidentielles.
7
Thème Physique — 14 contrôles
Sécurité physique et environnementale : périmètres de sécurité, contrôle d'accès physique, protection contre les menaces physiques, câblage sécurisé, politique "bureau propre/écran vide", sécurité des équipements, destruction sécurisée des supports.
8
Thème Technologique — 34 contrôles
Contrôles techniques : gestion des identités et accès (IAM), authentification, gestion des clés cryptographiques, protection contre les malwares, journalisation et surveillance (SIEM), gestion des vulnérabilités, sécurité réseau, DLP, filtrage web. Inclut les 11 nouveaux contrôles 2022 (threat intelligence, SIEM, cloud security, DevSecOps…).
// NOUVEAUTÉS ISO 27001/27002 VERSION 2022
La révision 2022 introduit 11 nouveaux contrôles absents de l'édition 2013, reflétant les enjeux cyber actuels :
5.7 Threat Intelligence
5.23 Sécurité des services cloud
5.30 Disponibilité TIC (PCA)
7.4 Surveillance physique
8.9 Gestion de la configuration
8.10 Suppression sécurisée données
8.11 Data masking
8.12 DLP (Data Leakage Prevention)
8.16 Surveillance des activités
8.23 Filtrage web
8.28 Codage sécurisé (DevSecOps)
Chaque contrôle est désormais associé à 5 attributs : type de contrôle (préventif/détectif/correctif), propriété SSI (C/I/D), concept cybersécurité (identifier/protéger/détecter/répondre/rétablir), capacité opérationnelle, domaine de sécurité.
// AUTRES NORMES DE LA FAMILLE 27000
27000
ISO/IEC 27000 — Vocabulaire & Introduction
Définitions communes à toute la famille : SMSI, actif, menace, vulnérabilité, risque, contrôle, politique. Lecture obligatoire avant toute implémentation.
27003
ISO/IEC 27003 — Guide d'implémentation SMSI
Guidance pratique pour implémenter les clauses 4 à 10 de la 27001. Explique comment constituer le projet de certification, définir le périmètre, mener l'évaluation des risques.
27004
ISO/IEC 27004 — Métriques SSI
Comment mesurer l'efficacité du SMSI. Définition d'indicateurs (KPI/KRI), processus de mesure, exemples de métriques pour chaque contrôle 27002.
27005
ISO/IEC 27005:2022 — Gestion des risques SSI
Méthodologie complète d'appréciation des risques : identification des actifs, menaces, vulnérabilités, calcul de l'exposition, traitement (accepter/transférer/réduire/éviter). Articulation avec ISO 31000.
27017
ISO/IEC 27017 — Sécurité Cloud
Extension de la 27002 pour les services cloud. 37 contrôles spécifiques au cloud, dont 7 nouveaux non présents dans la 27002. Couvre la séparation des environnements, la gestion des VMs, la sécurité des API, la gestion des incidents cloud.
27018
ISO/IEC 27018 — Données personnelles dans le cloud
Contrôles pour la protection des PII (Personally Identifiable Information) dans les clouds publics. Complément naturel du RGPD pour les prestataires cloud. Couvre : consentement, transparence, droit d'effacement, transferts.
27019
ISO/IEC 27019 — Systèmes de contrôle industriels (ICS/SCADA)
Extension pour les systèmes de contrôle des infrastructures énergétiques (centrales, réseaux de distribution…). Couvre les spécificités OT/ICS où la disponibilité prime sur la confidentialité.
27035
ISO/IEC 27035 — Gestion des incidents SSI
En 3 parties : principes de gestion des incidents (27035-1), lignes directrices de planification et préparation (27035-2), guide pour les équipes de réponse (27035-3). Référence pour construire un SOC ou un CSIRT.
27701
ISO/IEC 27701 — Extension PIMS (Privacy)
Extension de la 27001/27002 pour la protection de la vie privée. Crée un PIMS (Privacy Information Management System). Aligné sur le RGPD. Permet une certification RGPD via une norme ISO. Couvre les rôles RT et ST.
27799
ISO 27799 — Sécurité des données de santé
Application de la 27002 aux systèmes d'information de santé. Couvre les spécificités des données médicales, DSI hospitalières, DMP. Référence pour les ESN travaillant avec les hôpitaux et le secteur médical.
// LIEN ISO 27001 ↔ RÉGLEMENTATIONS
La certification ISO 27001 ne dispense pas de la conformité réglementaire, mais elle démontre un niveau de maturité qui facilite les audits et réduit les sanctions.
| RÉGLEMENTATION | LIEN AVEC ISO 27001/27002 | VALEUR |
|---|---|---|
| RGPD Art.32 | 27001/27002 couvrent exactement les "mesures techniques et organisationnelles appropriées" | Preuve de conformité Art.32 |
| NIS2 Art.21 | NIS2 encourage explicitement les certifications reconnues. 27001 = référence principale | Démontre les 10 mesures NIS2 |
| DORA | Cadre ICT governance DORA aligné sur 27001. 27017 pour sécurité cloud financier | Accélère la conformité DORA |
| AI Act | Documentation technique IA (27001) + 27701 pour données perso des systèmes IA | Facilite la conformité haut risque |
| SecNumCloud | Référentiel ANSSI s'appuie fortement sur 27001/27002 + exigences supplémentaires souveraineté | Base obligatoire |
// NORMES CONNEXES INCONTOURNABLES
NIST
NIST Cybersecurity Framework 2.0 (CSF)
Framework américain (NIST, 2024). 6 fonctions : Gouverner, Identifier, Protéger, Détecter, Répondre, Rétablir. Très utilisé comme complément à ISO 27001, notamment dans les SOC et programmes de cybersécurité. Non contraignant mais référence mondiale.
ISO 22301
ISO 22301 — Continuité d'activité (SMCA)
Norme pour les Systèmes de Management de la Continuité d'Activité (PCA/PRA). Couvre : BIA (Business Impact Analysis), stratégies de continuité, plans de reprise, exercices. Directement liée à NIS2 (exigence PCA) et DORA (tests de résilience).
IEC 62443
IEC 62443 — Sécurité des systèmes industriels (OT/ICS)
Normes pour la cybersécurité des systèmes de contrôle industriels (SCADA, automates, capteurs IoT industriels). Pertinent pour les secteurs énergie, eau, transports couverts par NIS2. Distingue niveaux de sécurité SL1 à SL4.
SOC 2
SOC 2 (AICPA) — Contrôles des prestataires de services
Standard américain pour les prestataires cloud/SaaS. 5 critères : sécurité, disponibilité, intégrité de traitement, confidentialité, vie privée. Requis par de nombreux clients américains. Complémentaire à ISO 27001 pour les ESN avec clients US.
SecNumCloud
SecNumCloud v3.2 (ANSSI) — Cloud souverain français
Référentiel de qualification ANSSI pour les prestataires cloud. Basé sur ISO 27001 + exigences supplémentaires de souveraineté (protection contre droit extra-territorial US/CLOUD Act, immunité judiciaire, localisation données en France). Loi SREN 2024 lui donne un ancrage légal. Niveaux : basique, standard, renforcé.
RÈGLEMENTS & DIRECTIVES UE COMPLÉMENTAIRES
AUTRES TEXTES UE
Règlements Data Governance Act, Data Act, Cybersecurity Act, eIDAS 2, DSA, DMA — Cartographie complète de l'écosystème juridique numérique européen
Écosystème réglementaire UE : L'UE a produit depuis 2022 une série de règlements numériques qui forment un corpus cohérent. Ils se complètent et se croisent. En tant que professionnel IT/cyber, tu dois connaître lesquels s'appliquent à ton secteur et à ton rôle.
// DATA GOVERNANCE ACT — RÈGLEMENT (UE) 2022/868
Facilite le partage de données entre secteurs public et privé dans l'UE, dans un cadre de confiance. Complément logique du RGPD pour les données non personnelles ou mixtes.
Réutilisation des données publiques — Cadre pour la mise à disposition des données détenues par les organismes publics (données de santé anonymisées, données de transport…).
Services d'intermédiation de données — Création d'un statut réglementé pour les "data marketplaces" (places de marché de données). Notification obligatoire à l'autorité compétente.
Altruisme en matière de données — Cadre pour les organisations qui collectent des données à des fins d'intérêt général (recherche médicale, lutte contre le changement climatique).
Espaces européens de données — Construction d'espaces de données sectoriels (santé EHDS, mobilité, agriculture, énergie…) basés sur ce cadre.
// DATA ACT — RÈGLEMENT (UE) 2023/2854
Règle l'accès et l'utilisation des données générées par les objets connectés et services associés. Clé pour l'IoT, les véhicules connectés, les équipements industriels.
Portabilité machine-to-machine — Les utilisateurs d'objets connectés ont le droit d'accéder aux données générées par leur appareil et de les partager avec des tiers (droit à la portabilité B2B).
Accès aux données B2B — Les fabricants doivent permettre aux clients d'accéder aux données de leurs équipements. Interdit les clauses contractuelles abusives sur la propriété des données.
Accès des pouvoirs publics aux données privées — En cas de nécessité exceptionnelle (urgence, catastrophe), les organismes publics peuvent exiger l'accès aux données des entreprises privées.
Switching cloud — Facilite la portabilité entre fournisseurs cloud : délais, formats standardisés, suppression des frais de transfert excessifs. Lié à DORA (stratégies de sortie prestataires).
// CYBERSECURITY ACT — RÈGLEMENT (UE) 2019/881
Renforce le mandat de l'ENISA (Agence de l'UE pour la cybersécurité) et crée le premier cadre de certification cybersécurité à l'échelle UE.
ENISA — Agence permanente renforcée
Avant 2019, l'ENISA avait un mandat limité et temporaire. Le Cybersecurity Act lui donne un mandat permanent et des ressources accrues : publications de guides, threat landscape annuel (ENISA ETL), soutien aux CSIRT nationaux, coopération entre États membres.
Schémas de certification UE
Cadre pour créer des schémas de certification cybersécurité valables dans toute l'UE. 3 niveaux d'assurance : Basique (auto-évaluation), Substantiel (tierce partie allégée), Élevé (certification complète). Actuellement : EUCC (produits TIC), EUCS (services cloud), EU5G (réseaux 5G).
EUCS — EU Cybersecurity Certification Scheme for Cloud
Certification cloud paneuropéenne en finalisation. 3 niveaux : Basic, Substantial, High. Le niveau "High" impose des exigences de souveraineté proches de SecNumCloud. Potentiellement obligatoire pour certains marchés publics et secteurs NIS2.
// EUROPEAN HEALTH DATA SPACE (EHDS)
Premier espace européen de données sectorielles. Régit l'accès et l'utilisation des données de santé à des fins primaires (soins) et secondaires (recherche, politiques publiques).
Dossier de santé numérique européen — Accès transfrontalier aux données de santé des patients (résumé patient, ordonnances, imagerie).
Droit d'accès des patients — Accès à leurs données de santé et droit d'opposition à l'utilisation secondaire.
Utilisation secondaire encadrée — Recherche médicale, IA en santé, politiques publiques : accès via des "organismes d'accès aux données de santé" agréés, dans des environnements sécurisés.
Exigences sécurité — Systèmes DSE (Dossiers de Santé Électroniques) certifiés. Lien fort avec RGPD Art.9 (données de santé = catégorie sensible).
// CARTOGRAPHIE GLOBALE DES TEXTES NUMÉRIQUES UE
| TEXTE | OBJET | EN VIGUEUR | AUTORITÉ | SANCTION MAX |
|---|---|---|---|---|
| RGPD 2016/679 | Protection données personnelles | Mai 2018 | CNIL (FR) | 20M€ / 4% CA |
| AI Act 2024/1689 | Systèmes d'IA | Août 2024 (progressif) | AI Office + CNIL | 35M€ / 7% CA |
| NIS2 2022/2555 | Cybersécurité SI critiques | Oct 2024 (FR en cours) | ANSSI | 10M€ / 2% CA |
| DORA 2022/2554 | Résilience numérique finance | Jan 2025 | ACPR / AMF | Var. / 5% CA |
| DSA 2022/2065 | Services numériques / plateformes | Fév 2024 | ARCOM + Cour d'appel Paris | 6% CA |
| DMA 2022/1925 | Marchés numériques / gatekeepers | Mars 2024 | Commission européenne | 10% CA (20% récidive) |
| CRA 2024/2847 | Cybersécurité produits numériques | Nov 2024 (progressif) | ANSSI + autorités marché | 15M€ / 2,5% CA |
| DGA 2022/868 | Gouvernance des données | Sept 2023 | Autorité nationale données | Var. |
| Data Act 2023/2854 | Accès données IoT / cloud | Sept 2025 | Autorité nationale données | Var. |
| eIDAS 2 2024/1183 | Identité numérique / portefeuille | 2024 (progressif) | Autorités nationales | Var. |
| Cybersecurity Act 2019/881 | ENISA + certification cyber | Juin 2019 | ENISA + autorités nationales | Var. |
| Directive RCE 2022/2557 | Résilience entités critiques (physique) | Oct 2024 (FR en cours) | Autorité nationale (SGDSN) | Var. |
| ePrivacy 2002/58/CE | Communications élec. / cookies | 2003 (révision en négociation) | CNIL | 3% CA (CNIL) |
| EHDS 2025/327 | Espace européen données de santé | Mars 2025 (progressif) | Autorité données santé | Var. |
RÉFÉRENTIEL TERMINOLOGIQUE
GLOSSAIRE
Définitions précises des termes juridiques, techniques et réglementaires — Droit du numérique & Cybersécurité
// TERMES RGPD & PROTECTION DES DONNÉES
AIPD / DPIA
Analyse d'Impact sur la Protection des Données — Document obligatoire avant tout traitement à risque élevé (Art.35 RGPD). Évalue les risques pour les droits et libertés des personnes et documente les mesures d'atténuation.
BCR
Binding Corporate Rules — Règles internes contraignantes permettant à un groupe multinational de transférer des données personnelles hors UE au sein de ses filiales, après approbation de l'autorité de contrôle.
CCT / SCC
Clauses Contractuelles Types (Standard Contractual Clauses) — Modèles de contrats adoptés par la Commission UE pour encadrer les transferts de données vers des pays tiers. Solution la plus utilisée avec les prestataires cloud américains.
DPA
Data Processing Agreement — Contrat obligatoire entre un responsable de traitement et son sous-traitant (Art.28 RGPD). Définit les obligations du ST en matière de sécurité, de confidentialité et d'assistance.
DPO / DPD
Data Protection Officer / Délégué à la Protection des Données — Responsable RGPD de l'organisation. Obligatoire pour les organismes publics, les entités traitant à grande échelle, ou traitant des données sensibles. Interlocuteur de la CNIL.
PII
Personally Identifiable Information — Terme anglais équivalent aux "données à caractère personnel" du RGPD. Toute information permettant d'identifier directement ou indirectement une personne physique.
RAT
Registre des Activités de Traitement — Document interne listant tous les traitements de données personnelles d'une organisation (Art.30 RGPD). Présenté à la CNIL sur demande lors d'un contrôle.
RT / CT
Responsable de Traitement / Co-responsable de Traitement — Entité(s) qui détermine(nt) les finalités et les moyens du traitement. Porte la responsabilité légale principale vis-à-vis des personnes concernées et des autorités.
SoA
Statement of Applicability — Document ISO 27001 listant tous les contrôles de l'Annexe A/ISO 27002, indiquant pour chacun s'il est applicable, et si non, pourquoi. Document clé pour l'audit de certification.
TIA
Transfer Impact Assessment — Évaluation de l'impact des transferts de données vers des pays tiers. Exige d'analyser la législation du pays destinataire (surveillance, accès par autorités) pour vérifier la compatibilité avec le RGPD.
// TERMES CYBERSÉCURITÉ & INFRASTRUCTURE
CALID
Centre d'Analyse en Lutte Informatique Défensive — Entité militaire française (rattachée au COMCYBER) chargée de la cyberdéfense des systèmes du ministère des Armées. Intervient aussi en soutien aux OIV en cas d'attaque majeure.
CERT / CSIRT
Computer Emergency Response Team / Computer Security Incident Response Team — Équipe spécialisée dans la réponse aux incidents de cybersécurité. En France : CERT-FR (ANSSI), CSIRT sectoriels. NIS2 impose l'existence de CSIRT nationaux.
ENISA
European Union Agency for Cybersecurity — Agence européenne de cybersécurité basée à Héraklion (Crète) et Athènes. Publie le rapport de paysage des menaces (ETL), développe les schémas de certification EUCC/EUCS, soutient la coopération entre États membres.
GPAI
General Purpose AI — Modèle d'IA capable de réaliser une grande variété de tâches (traitement du langage, génération d'images, code…). Ex : GPT-4, Claude, Gemini, Mistral. Soumis à obligations spécifiques de l'AI Act depuis août 2025.
IoC
Indicators of Compromise — Données techniques indiquant qu'un système a été compromis : hash de fichier malveillant, adresse IP d'un C2, nom de domaine, clé de registre. À inclure dans les rapports de notification NIS2/DORA.
OSE
Opérateur de Services Essentiels — Catégorie française issue de la transposition de NIS1. Les OSE vont être intégrés dans le nouveau dispositif NIS2 comme entités essentielles ou importantes selon leur secteur et taille.
OIV
Opérateur d'Importance Vitale — Concept français (LPM 2013, Art. L.1332-1 Code de la Défense). Environ 300 organisations dans 12 secteurs d'activité d'importance vitale. Soumises à des obligations spécifiques de l'ANSSI (SIIV) au-delà de NIS2.
PSSI
Politique de Sécurité des Systèmes d'Information — Document de référence de la sécurité d'une organisation. Définit les objectifs, les règles et les responsabilités en matière de sécurité. Exigée par NIS2 (Art.21) et ISO 27001 (Clause 5).
SBOM
Software Bill of Materials — Inventaire détaillé de tous les composants logiciels d'un produit (bibliothèques, dépendances, versions). Rendu obligatoire par le CRA pour faciliter la gestion des vulnérabilités.
SIIV
Système d'Information d'Importance Vitale — Sous-ensemble des SI des OIV dont la compromission aurait des conséquences graves sur la sécurité nationale. Soumis à des règles de sécurité imposées par l'ANSSI (arrêtés sectoriels).
SMSI
Système de Management de la Sécurité de l'Information — Ensemble de politiques, processus, procédures et ressources gérant la sécurité de l'information d'une organisation. Objet de la certification ISO/IEC 27001.
TLPT
Threat-Led Penetration Testing — Test de pénétration guidé par du renseignement sur les menaces réelles ciblant l'organisation. Plus réaliste que les pentests classiques. Basé sur le cadre TIBER-EU. Obligatoire pour les entités financières significatives sous DORA.
// PORTAILS OFFICIELS — SOURCES DE RÉFÉRENCE
| ORGANISME | RÔLE | URL | UTILISATION |
|---|---|---|---|
| CNIL | Autorité RGPD + ePrivacy + AI Act (FR) | cnil.fr | Délibérations, guides, AIPD, plaintes |
| ANSSI | Cybersécurité nationale, NIS2, OIV | cyber.gouv.fr | Guides, alertes, certifications, SecNumCloud |
| ACPR | DORA — banques & assurances | acpr.banque-france.fr | Notifications incidents, registres ICT |
| AMF | DORA — marchés financiers | amf-france.org | Portail ROSA, registres ICT |
| EUR-Lex | Textes juridiques UE officiels | eur-lex.europa.eu | Texte intégral des règlements et directives |
| ENISA | Agence cybersécurité UE | enisa.europa.eu | Threat landscape, guides, certifications EUCC/EUCS |
| AI Office | Supervision AI Act (modèles GPAI) | digital-strategy.ec.europa.eu/ai | Codes de bonnes pratiques, base IA |
| Légifrance | Droit français | legifrance.gouv.fr | Code pénal, LIL, LCEN, SREN, LPM |
| CERT-FR | Alertes cybersécurité FR (ANSSI) | cert.ssi.gouv.fr | Bulletins de sécurité, CVE, alertes incidents |
| MonEspaceNIS2 | Portail ANSSI NIS2 FR | monespacenis2.cyber.gouv.fr | Enregistrement entités, notification incidents |
| ISO Online | Normes ISO (achat) | iso.org | Catalogue officiel ISO 27001/27002 et toute la série |
| AFNOR | Représentation française ISO | boutique.afnor.org | Normes ISO en français, versions traduites |
SYNTHÈSE OPÉRATIONNELLE
VUE CYBER
Ce que ça change concrètement pour un TSSR / Admin Infrastructure / Futur AIS
Perspective métier : Tu n'es pas juriste. Mais comprendre ces textes te permet de poser les bonnes questions, de dimensionner les bons projets, et de devenir un interlocuteur crédible face à la DSI, à la DPO, et aux auditeurs. La compliance, c'est aussi de la technique.
// PAR TÂCHE TECHNIQUE — QUI S'APPLIQUE ?
| TÂCHE IT | RGPD | NIS2 | AI ACT | DORA |
|---|---|---|---|---|
| Gestion Active Directory (comptes utilisateurs) | ✔ Fortement | ✔ Si entité NIS2 | — | — |
| Configuration pare-feu / routeur | — | ✔ Sécurité périmétrique | — | ✔ Si secteur financier |
| Supervision / SIEM (Centreon, Splunk…) | ✔ Logs perso | ✔ Détection incidents | — | ✔ Obligatoire DORA |
| Déploiement outil IA (copilot RH, UEBA…) | ✔ AIPD requise | ✔ Si critique | ✔ Haut risque potentiel | — |
| Sauvegardes & PRA | ✔ Intégrité données | ✔ PCA obligatoire | — | ✔ Tests réguliers |
| Pentest / audit sécurité | — | ✔ Audits requis | — | ✔ TLPT requis |
| Gestion logs serveur (Nginx, Apache…) | ✔ Si logs perso | ✔ Traçabilité | — | — |
| Déploiement chatbot / IA conversation | ✔ Données traitées | — | ✔ Transparence obligatoire | — |
// RÉFLEXES À AVOIR EN INFRASTRUCTURE
Chiffrer les disques des portables et supports amovibles — RGPD Art.32. BitLocker/LUKS obligatoire pour tout laptop contenant des données perso ou d'entreprise.
Désactiver immédiatement les comptes AD des employés qui quittent — RGPD (minimisation, conservation) + NIS2 (contrôle d'accès). Procédure offboarding formalisée.
Définir des durées de rétention pour tous les logs — RGPD interdit la conservation indéfinie. Archiver ou purger automatiquement selon une politique documentée (ex: logs sécurité 12 mois).
Documenter toutes les sauvegardes et les tester — NIS2 + DORA exigent un PCA documenté ET testé. Un backup jamais testé ne vaut rien juridiquement et pratiquement.
MFA sur tous les accès sensibles — NIS2 (Art.21) impose le MFA pour les accès critiques. DORA l'impose aussi. Aucune exception pour les admins systèmes.
Obtenir une autorisation écrite AVANT tout pentest — Code pénal Art.323-1. Sans lettre de mission signée = infraction pénale, même en entreprise, même pour "tester".
Identifier si les outils IA déployés tombent sous l'AI Act — Avant déploiement : évaluer le niveau de risque. Si haut risque : AIPD + documentation technique + supervision humaine obligatoire.
Inclure des clauses RGPD dans les contrats avec prestataires — Tout sous-traitant traitant des données perso doit signer un DPA (Data Processing Agreement). NIS2 étend ça à la sécurité.
// ÉTAT DE CONFORMITÉ DES TEXTES (2026)
RGPD
Pleinement applicable — 2018
DORA
Applicable depuis jan 2025
AI ACT — Interdictions
Applicable depuis fév 2025
AI ACT — Modèles GPAI
Applicable depuis août 2025
AI ACT — IA haut risque
Août 2026
NIS2 — France (Loi Résilience)
En cours, retard pris
NIS2 — Conformité totale entités
Fin 2027
CRA — Cyber Resilience Act
Déploiement progressif
// AUTORITÉS DE CONTRÔLE FR
| TEXTE | AUTORITÉ | PORTAIL |
|---|---|---|
| RGPD / LIL | CNIL | cnil.fr |
| NIS2 | ANSSI | cyber.gouv.fr |
| DORA | ACPR / AMF | acpr.banque-france.fr |
| AI Act | CNIL + futur org. | cnil.fr/IA |