Aller au contenu

Sekost

Logo Sekost by YesWeHack - Bleu
Flash offert
Accueil Règlementation Cybersécurité : quelles sont vos obligations légales en 2025 ?

Cybersécurité : quelles sont vos obligations légales en 2025 ?

Chaque année, de nouvelles réglementations et de nouvelles obligations légales voient le jour en matière de cybersécurité. Alors que l’ANSSI a constaté une augmentation de 15 % des incidents de sécurité en 2024, les régulateurs se mettent en ordre de bataille pour accroître le niveau de protection des entreprises.

Les PME sont aussi concernées. Cet article vous aide à identifier les cadres applicables à votre activité. Vous comprendrez ce que la loi attend de vous et repartirez avec des pratiques simples pour faciliter votre mise en conformité.

Avocat travaillant avec des documents contractuels et un marteau en bois sur une table
Face à l’évolution des réglementations, faites le point sur vos obligations légales en matière de cybersécurité

1. RGPD : quelles obligations légales pour la sécurité des données personnelles ?

1.1 Une obligation qui concerne toutes les entreprises

Le Règlement général sur la protection des données (RGPD) impose des exigences de cybersécurité à toute organisation qui traite des données personnelles de résidents de l’Union européenne. Cela inclut par exemple les fichiers clients, les informations RH, ou encore les coordonnées de prospects.

Conformément à l’article 32, vous avez l’obligation de garantir la confidentialité, l’intégrité et la disponibilité des données traitées par votre entreprise.

1.2 Des mesures techniques et organisationnelles 

Le texte ne dresse pas de liste exhaustive, mais exige que les mesures mises en place soient proportionnées au niveau de risque. Un CRM qui contient l’ensemble des coordonnées de vos clients, par exemple, appelle à des protections renforcées.

La CNIL recommande de formaliser a minima :

  • une politique de sécurité claire et documentée,
  • des règles de gestion des accès aux outils,
  • des procédures de sauvegarde testées régulièrement,
  • un dispositif de journalisation fiable.

Ces éléments doivent être tenus à jour et prouvés en cas de contrôle.

1.3 Que faire en cas de violation de données ?

Le RGPD définit la violation de données comme toute atteinte à la sécurité entraînant la perte, l’altération, la divulgation ou l’accès non autorisé à des données personnelles.

Si un incident survient, vous devez le notifier à la CNIL dans les 72 heures suivant sa détection. Ce délai démarre à partir du moment où l’incident est identifié, pas lorsqu’il est résolu.

1.4 Sanctions possibles en cas de non-conformité

Le RGPD prévoit des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Ce plafond est défini à l’article 83 du règlement.

En 2024, la CNIL a infligé plus de 55 millions d’euros d’amendes pour des manquements à la protection des données personnelles. Les PME ne sont pas épargnées, notamment lorsqu’aucune mesure concrète de sécurité n’est mise en œuvre.

1.5 Quelles actions concrètes pour votre mise en conformité ?

Voici des mesures simples à mettre en œuvre dans votre entreprise :

  • rédiger une politique de sécurité qui encadre l’usage des outils numériques, la gestion des mots de passe, et les règles d’accès aux données au sein de votre entreprise,
  • vérifier régulièrement les droits d’accès aux données personnelles ,
  • effectuer des sauvegardes régulières,
  • réaliser un audit à l’aide d’un outil comme Sekost pour évaluer le niveau d’exposition de vos données.
Drapeaux de l’Union européenne symbolisant les obligations réglementaires liées aux tests d’intrusion informatique
Les réglementations européennes comme le RGPD ou NIS2 renforcent vos obligations légales en matière de cybersécurité

2. Directive NIS 2 : un cadre réglementaire renforcé pour certaines entreprises

2.1 Qui est concerné par la directive NIS 2 ?

La directive européenne NIS2 est entrée en application le 18 octobre 2024, avec une période de trois ans de mise en conformité s’étendant jusqu’à la fin d’année 2027. Elle remplace la directive NIS de 2016 et élargit considérablement le périmètre des entreprises concernées.

Le texte introduit deux catégories d’organisations :

  • les entités essentielles, souvent actives dans des secteurs critiques de notre société (énergie, transport, santé, eau, banques, administrations publiques…).
  • les entités importantes, présentes dans des domaines sensibles mais non vitaux (services numériques, production agroalimentaire, gestion des déchets, fabrication de produits chimiques…).

Vous appartenez à l’une de ces catégories si votre entreprise remplit certains critères de taille (plus de 50 salariés ou 10 millions d’euros de chiffre d’affaires) et exerce dans un des secteurs listés par la directive. Les sous-traitants, prestataires, éditeurs de ces entités sont également concernés.

2.2 Des exigences concrètes en matière de cybersécurité

La directive européenne NIS 2 impose une série de mesures techniques et organisationnelles, adaptées au niveau de risque de votre entreprise. Ces mesures couvrent l’ensemble du cycle de sécurité, de la prévention à la réaction.

Le texte prévoit notamment :

  • une politique de cybersécurité validée par la direction,
  • un plan de gestion des incidents
  • des règles de contrôle des accès aux systèmes critiques ;
  • une stratégie de gestion des vulnérabilités, avec un processus clair d’identification et de correction des failles,
  • la mise en œuvre de tests de sécurité réguliers, menés en interne ou réalisés par un tiers,
  • une formation continue du personnel sur les risques numériques,
  • un suivi des prestataires externes, en particulier ceux ayant des droits à privilèges,
  • le signalement sous 24 heures des incidents de sécurité significatifs à compter de la détection, suivi d’un rapport consolidé sous 72 heures, puis d’une analyse finale dans le mois.

Ces exigences sont communes aux entités essentielles et importantes.

2.3 Quelles sanctions en cas de non-conformité ?

La directive prévoit des sanctions administratives pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial, selon l’article 34.

Mais l’impact le plus immédiat pour une PME peut être contractuel. Un manquement aux exigences de cybersécurité peut justifier une exclusion d’un appel d’offres, ou une rupture de contrat par un client soumis à NIS2.

L’ANSSI insiste sur la nécessité de documenter les mesures mises en place pour pouvoir les justifier en cas de contrôle.

2.4 Comment engager une mise en conformité adaptée à votre activité ?

Pour démarrer, vous pouvez :

  • désigner un responsable cybersécurité, même à temps partiel, pour piloter la démarche,
  • cartographier vos systèmes critiques et les données qu’ils traitent,
  • mettre en place une revue régulière des accès et des dépendances externes,
  • préparer un plan de détection et de notification des incidents.

3. Règlement DORA : des obligations légales pour le secteur financier

3.1 À qui s’applique le règlement DORA ?

Le règlement européen DORA (Digital Operational Resilience Act) est entré en vigueur le 16 janvier 2023. Depuis le 17 janvier 2025, la conformité est obligatoire pour toutes les entreprises concernées.

Ce texte a pour but de renforcer la résilience numérique du secteur financier face aux cybermenaces. Il s’applique à plus de 20 catégories d’acteurs, dont :

  • les banques,
  • les sociétés d’assurance,
  • les gestionnaires d’actifs,
  • les fintechs,
  • les prestataires de services de paiement,
  • les opérateurs de plateformes de marché.

Il concerne également les prestataires de services TIC critiques pour ces acteurs. Si votre PME intervient en appui de ces structures, vous pouvez directement être concerné par DORA.

3.2 Ce que le règlement impose en matière de cybersécurité

Le texte définit des obligations légales inspirées des meilleures pratiques internationales de cybersécurité. 

Le règlement DORA impose :

  • une gouvernance claire impliquant la direction dans la stratégie de résilience,
  • une analyse régulière des risques TIC,
  • un plan de réponse aux incidents,
  • un système de journalisation et de supervision continue
  • une gestion des vulnérabilités structurée et documentée,
  • des tests de résilience réguliers, pouvant inclure des simulations d’attaques,
  • un cadre strict pour les fournisseurs TIC, avec une obligation de cartographier les dépendances critiques et de contractualiser des clauses de sécurité.
  • un processus de notification similaire à celui de la directive NIS 2.

3.3 Sanctions en cas de non-conformité

Les sanctions financières peuvent atteindre jusqu’à 10 millions d’euros ou 5 % du chiffre d’affaires mondial, selon la gravité des manquements.

Des astreintes journalières sont également prévues pour les prestataires TIC critiques qui ne respectent pas les exigences imposées par leurs clients régulés. Ces astreintes peuvent atteindre 1 % du chiffre d’affaires quotidien moyen mondial, pendant une durée maximale de six mois.

Le non-respect du règlement peut aussi entraîner la suspension d’un contrat, une rupture commerciale, ou une perte de certification.

3.4 Par où commencer pour se préparer à DORA ?

Pour une PME, le plus efficace est d’adopter une démarche progressive :

  • identifiez les fonctions critiques concernées et nommez un responsable DORA,
  • cartographiez vos systèmes, données, flux et évaluez l’écart avec les exigences DORA,
  • organisez la gestion des incidents : classez, consignez et notifiez dans les délais,
  • testez la résilience et pilotez vos fournisseurs via des programmes de tests et des clauses contractuelles.

4. Cyber Resilience Act : quelles obligations pour la sécurité des produits numériques ?

4.1 À qui s’applique le CRA ?

Le Cyber Resilience Act (CRA) est un règlement européen adopté pour garantir la cybersécurité des produits numériques vendus dans l’Union européenne. Il concerne tous les équipements matériels et logiciels qui intègrent un élément numérique.

Sont concernés par ce texte :

  • les fabricants de produits numériques,
  • les importateurs qui introduisent ces produits sur le marché européen,
  • les distributeurs ou revendeurs, y compris en ligne.

Le périmètre du CRA concerne à la fois les objets connectés, les logiciels métiers, les applications mobiles, les équipements réseau ou encore les composants intégrés dans des machines industrielles.

Le règlement est entré en vigueur le 10 décembre 2024. Les entreprises disposent d’une période de trois ans, soit jusqu’au 11 décembre 2027, pour se mettre en conformité.

4.2 Quelles sont les obligations légales à respecter ?

Le CRA impose d’intégrer la sécurité dès la conception du produit et de la maintenir tout au long de son cycle de vie. Cette exigence s’applique aux produits neufs comme aux mises à jour.

Les entreprises concernées doivent notamment :

  • évaluer les risques de cybersécurité associés à l’usage prévu du produit,
  • mettre en œuvre des mesures techniques pour protéger le produit contre les intrusions et les altérations,
  • publier une procédure de gestion des vulnérabilités, accessible à leurs clients,
  • assurer la correction des failles de sécurité dans des délais raisonnables après leur détection,
  • tenir à jour une documentation technique prouvant la conformité du produit,
  • informer les autorités compétentes et les utilisateurs en cas de vulnérabilité exploitée.

4.3 Quelles sont les sanctions prévues ?

En cas de non-conformité, les sanctions peuvent aller jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial. Le produit peut aussi être retiré du marché, interdit à la vente, ou faire l’objet d’un rappel si une faille critique est identifiée sans correctif disponible.

L’absence de documentation, le non-respect des délais de correction, ou le défaut d’information des utilisateurs sont considérés comme des manquements graves.

4.4 Comment anticiper la mise en conformité au CRA ?

Si vous développez un produit numérique, un logiciel métier, ou un système embarqué, vous devez initier dès maintenant une analyse de conformité.

Voici des premières étapes simples :

  • identifier la liste des produits concernés par le CRA dans votre catalogue ou vos outils internes,
  • formaliser une politique de correction des failles,
  • définir un point de contact public pour le signalement des vulnérabilités,
  • analyser la capacité de votre équipe à maintenir des mises à jour de sécurité tout au long du cycle de vie du produit.

Conclusion

Protéger votre entreprise face aux risques numériques est désormais une obligation légale. Les textes comme le RGPD, NIS2, DORA ou encore le Cyber Resilience Act établissent des règles claires. Ces réglementations ne s’adressent pas qu’aux grands groupes : les PME sont directement concernées.

Les textes de loi n’attendent pas de vous la perfection technique. C’est votre capacité à montrer que vous prenez le sujet au sérieux qui fera la différence, et transformera la contrainte réglementaire en gage de sérieux et de fiabilité auprès de vos clients. Il est important pour votre PME de suivre l’évolution des législations : de nouvelles réglementations sont actuellement en train d’être étudiées, à l’instar du cyberscore, un indicateur visuel qui devra être affiché sur tous les sites web français. Affaire à suivre donc.

une jauge graduée du vert au rouge foncé qui point vers le rouge clair

Besoin d’un audit cyber ?

Notre équipe identifie les failles avant les attaquants. 100% à distance, sans rien installer.

Demander un audit gratuit