La vague réglementaire européenne, portée par NIS 2 (serpent de mer français à cause des turbulences politiques…) et DORA (Digital Operational Resilience Act), marque un point de rupture. Pour les DSI et les RSSI, l’enjeu n’est plus la simple conformité par la documentation, mais la résilience opérationnelle mesurable et prouvable.
Ces directives imposent que les systèmes d’information non seulement résistent aux incidents, mais démontrent une capacité d’adaptation continue face à des cybermenaces systémiques et à la défaillance de tiers critiques. La GRC n’est plus un outil de conformité passif ; elle devient le cadre stratégique de cette endurance numérique.
1. NIS 2 : Cyber-Résilience, Supply Chain et Élargissement du Périmètre
NIS 2 étend considérablement le champ d’application de la cybersécurité. Il ne s’agit plus uniquement des Opérateurs de Services Essentiels (OSE) ; la directive inclut désormais de nombreuses entités essentielles et importantes dans des secteurs variés. Pour le RSSI, cela se traduit par trois impératifs immédiats :
- Renforcement des Mesures Techniques : L’obligation de mettre en œuvre des mesures de sécurité plus strictes, notamment en matière de gestion des incidents, de cryptographie et de gestion des vulnérabilités, doit être formalisée dans le cadre GRC. Chaque contrôle technique doit être lié à un article précis de la directive pour garantir la traçabilité.
- Gestion de la Chaîne d’Approvisionnement Numérique : NIS 2 impose une surveillance rigoureuse des risques découlant des fournisseurs et prestataires IT tiers. Votre cadre GRC doit intégrer le TPRM (Third-Party Risk Management) pour évaluer les mesures de sécurité de vos fournisseurs Cloud, SaaS et de vos sous-traitants critiques, et s’assurer que leurs propres RTO/RPO sont compatibles avec les vôtres.
- Reporting d’Incident Accéléré : La directive fixe des délais de notification beaucoup plus courts pour les incidents significatifs. La GRC doit donc garantir une gouvernance des incidents parfaitement huilée, avec des flux de communication automatisés entre le SIEM, le CSIRT/SOC et les autorités compétentes, validant ainsi l’alignement entre les alertes techniques et la classification réglementaire.
2. DORA : L’Endurance Numérique du Secteur Financier
Pour les institutions financières et leurs fournisseurs critiques (établissements de crédit, assureurs, etc.), DORA est une rupture complète. Elle établit une tolérance zéro pour la défaillance des technologies de l’information et de la communication (TIC) et force une intégration poussée entre la gestion des risques TIC et la continuité d’activité.
DORA exige des organisations :
- Tests de Résilience Opérationnelle Numérique : Au-delà des tests de DRP classiques, DORA impose des tests d’intrusion basés sur des menaces (TLPT – Threat-Led Penetration Testing) réalisés par des entités externes désignées. La GRC sert à planifier, suivre les résultats de ces tests, et s’assurer que les remédiations sont intégrées dans le cycle de gestion des vulnérabilités et que les écarts sont signalés à la direction.
- Cartographie des Fonctionnalités Critiques : La GRC est l’outil idéal pour cartographier les fonctions métier critiques et les lier aux processus, systèmes et, surtout, aux personnes qui les supportent. Cette vue end-to-end est vitale pour la prise de décision en cas de crise.
- Contrôle du Risque Tiers TIC : DORA impose un cadre strict pour la sous-traitance de services TIC, y compris le Cloud. Le GRC doit formaliser les clauses contractuelles de résilience et permettre l’audit constant des prestataires essentiels.
3. La GRC comme Cadre Unifié de la Preuve et de l’Adaptabilité
Face à ces exigences, la GRC unifiée devient le système nerveux central qui gère l’adaptabilité. Elle permet de :
- Unifier le BCM et le DRP : Elle s’assure que vos plans techniques (DRP) et vos objectifs métier (BCM) sont alignés avec les RTO imposés par NIS 2 et DORA.
- Dé-siloter la Conformité : Elle agrège les preuves de résilience des systèmes (disponibilité, patching, logs) issues de vos outils SecOps pour les présenter dans un format qui satisfait tous les régulateurs, réduisant ainsi le travail manuel d’extraction.
- Gouvernance Proactive : Elle fournit au Conseil d’Administration et à la Direction Générale un tableau de bord en temps réel des indicateurs de résilience opérationnelle, transformant les risques TIC en décisions d’investissement stratégiques.
En définitive, NIS 2 et DORA sont un levier puissant pour le DSI et le RSSI. Elles justifient l’intégration d’une GRC mature, garantissant que l’entreprise n’est pas seulement conforme aux lois, mais fondamentalement plus robuste et adaptable face à l’incertitude.
En complément :
Les ransomwares, un fléau numérique
Formations cyber : la sensibilisation est-elle utile ?