Dots
Dots
Gartner Report
/ news / RÉGULATION_CYBER_EN_EUROPE

Régulation Cyber en Europe

Published on July 18, 2025

Naviguer dans les réglementations cybersécurité en France et en Europe / édition 2025


La mise en œuvre du cadre européen de cybersécurité gagne en dynamisme en France.

Suite à l'adoption de la loi sur l'intelligence artificielle en 2024, sa phase d'application a débuté en 2025, introduisant les premières obligations pour les grands modèles d'IA. Parallèlement, le règlement DORA, entré en vigueur au début de 2025, est progressivement mis en œuvre par les entités financières. Par ailleurs, depuis mars 2025, un projet de loi est à l'examen pour transposer trois directives clés : NIS 2, REC et la directive associée à DORA.

Dans ce contexte, cet article vise à mettre en lumière les principaux défis et développements majeurs attendus tout au long de 2025.


Résilience opérationnelle et intelligence artificielle : le double défi réglementaire européen

DORA

DORA, le règlement européen adopté le 10 novembre 2022, vise à renforcer la résilience opérationnelle digitale des entités financières en imposant des exigences strictes en matière de gestion des risques TIC.

Alors que DORA est entré officiellement en vigueur le 17 janvier 2025, le cadre réglementaire continue d'évoluer :

  1. Tout au long de 2024, divers projets de normes techniques (RTS/ITS) ont été développés pour clarifier le règlement.
  2. L'ACPR apporte son soutien par le biais de notes explicatives, d'outils de reporting et de FAQ régulièrement mis à jour au fur et à mesure de l'évolution du cadre.

La date clé pour 2025 fut le 15 avril, marquant la date limite pour la première soumission du Registre des Informations (RoI).

L’analyse de Neverhack

Nos clients, après une phase d’analyse des écarts et l’élaboration de feuilles de route personnalisées, se sont désormais activement engagés dans le déploiement des mesures de conformité à DORA.

Défis critiques identifiés par NeverHack

Un examen approfondi de nos clients met en lumière plusieurs défis critiques :

Défi 1 : gestion des contrats avec les prestataires de services TIC

  1. Tous les prestataires ne se sentent pas directement concernés par les exigences de DORA.
  2. Les clauses contractuelles, notamment concernant les stratégies de sortie, nécessitent souvent une réécriture, tâche chronophage.
  3. Les équipes opérationnelles nécessitent un soutien continu et une sensibilisation afin d’assurer la conformité.
  4. La tenue du registre requis demande beaucoup de ressources.

Défi 2 : restructuration des processus d'externalisation

  1. Les cadres d'externalisation doivent être entièrement révisés pour être alignés sur DORA.
  2. Chaque service externalisé doit être accompagné d’une analyse des risques, souvent assurée par l’équipe CISO.
  3. Cela souligne la nécessité d’un processus robuste de gestion des risques tiers (TPRM) afin d’assurer une évaluation, une surveillance et une gouvernance cohérentes des prestataires externes à l’échelle de l’organisation.

Défi 3 : disparités de ressources au sein des groupes financiers

  1. La mise en œuvre de DORA exige des ressources significatives, en particulier pour les services critiques nécessitant des tests et des mises à jour plus fréquents.
  2. Les petites entités d’un groupe sont disproportionnellement affectées et dépendent d’une coordination centrale pour satisfaire aux obligations.
  3. Les petites entités opérant de manière autonome font face à des défis encore plus importants, car elles manquent souvent des ressources humaines nécessaires pour mettre en œuvre DORA tout en assurant leurs opérations quotidiennes. Dans certains cas, une seule personne (par exemple, le CISO) est responsable à la fois de la conformité réglementaire et de la sécurité opérationnelle, alourdissant ainsi considérablement la charge de mise en œuvre.

Défi 4 : gouvernance et coordination interne

  1. Les organisations doivent choisir entre développer en interne une expertise en sécurité de l'information ou recruter des professionnels externes, parfois en contradiction avec leurs politiques RH.
  2. La collaboration entre plusieurs départements internes s'avère difficile à gérer et à coordonner efficacement, soulignant ainsi la nécessité d’obtenir une validation de la direction générale pour légitimer et faciliter cette coopération inter-départementale.

AI ACT

L’AI Act, adopté le 1er août 2024, équilibre sécurité, droits fondamentaux et innovation dans le domaine de l’intelligence artificielle. Son application suit un calendrier progressif :

  1. 2 février 2025 : Interdiction des usages à haut risque de l’IA (manipulation subliminale, exploitation des vulnérabilités, scoring social)
  2. 2 août 2025 : Obligations pour les grands modèles d’IA, mise en place des autorités de supervision et du régime de sanctions
  3. 2 août 2026 : Application complète incluant les mesures de cybersécurité

Si vous utilisez l’IA (recrutement, évaluation de la solvabilité, chatbots, génération de contenu), d’ici août 2025 vous devrez (liste non exhaustive) :

  1. Désigner des responsables de l’IA
  2. Documenter tous les cas d’usage
  3. Établir des politiques d’utilisation acceptable
  4. Mettre en place un cadre de gestion des risques

Pour vous préparer à l’application complète et aux mesures de cybersécurité, nous recommandons les actions suivantes :

  1. Évaluer les vulnérabilités cybersécurité spécifiques à vos systèmes d’IA
  2. Former les équipes techniques aux exigences cybersécurité liées à l’IA
  3. Intégrer la cybersécurité dans votre futur cadre de gestion des risques


Du triptyque européen à la conformité nationale


Le 15 octobre 2024, le gouvernement français a présenté un projet de loi visant à renforcer la résilience des infrastructures critiques et la cybersécurité. Initialement prévu pour début 2024, ce projet a été retardé en raison de la dissolution de l'Assemblée nationale quelques mois auparavant. Ce texte transpose trois grandes directives européennes :

  1. NIS 2 : renforcement du niveau général de cybersécurité.
  2. REC : réduction des vulnérabilités et renforcement de la résilience physique des entités critiques.
  3. La directive associée à DORA : elle aligne plusieurs directives sectorielles existantes sur le nouveau cadre instauré par le règlement du même nom.

Adopté en première lecture par le Sénat le 12 mars 2025, le projet de loi a été transmis à l'Assemblée nationale le 13 mars 2025, où il est examiné par une commission spéciale dédiée. Soumis à une procédure accélérée depuis le 15 octobre 2024, le texte sera soit définitivement adopté s'il n'est pas modifié par l'Assemblée, soit renvoyé à une commission mixte paritaire pour résoudre les divergences entre les deux chambres.

Après l'adoption de la loi, des décrets d'application préciseront les modalités de mise en œuvre.


Conclusion


2025 marque l'application concrète du cadre européen de cybersécurité en France avec DORA, l’AI Act et un paysage législatif en évolution. Les organisations doivent adapter rapidement leur gouvernance, revoir leurs pratiques d'externalisation et se préparer à la supervision des systèmes d’IA afin de répondre aux nouvelles exigences en matière de résilience numérique. Le paysage de la cybersécurité continuera d’évoluer, avec le Cyber Resilience Act (CRA) prévu à partir de 2026, introduisant de nouvelles obligations pour les fournisseurs de produits et logiciels numériques.

Our related offers

Centre GRC

    Learn more

    Discover our offers

    View all offers

    You can also read

    All the latest news