Audit cybersécurité obligatoire : qui est concerné ?
Le cadre réglementaire européen et français en matière de cybersécurité s'est considérablement renforcé ces dernières années. Plusieurs textes imposent désormais des obligations d'audit et de tests de sécurité à un nombre croissant d'entreprises. Êtes-vous concerné ? Quelles sont vos obligations exactes ? Ce guide fait le point complet sur les réglementations en vigueur et à venir.
La directive NIS2 : le grand élargissement
La directive NIS2 (Network and Information Security 2), transposée en droit français en 2024, est le texte qui a le plus élargi le périmètre des entreprises soumises à des obligations de cybersécurité. Elle remplace la directive NIS1 de 2016 et concerne désormais un nombre beaucoup plus important d'organisations.
Qui est concerné ?
NIS2 s'applique à deux catégories d'entités dans 18 secteurs d'activité :
Entités essentielles
Secteurs critiques :
- Énergie (électricité, gaz, pétrole, hydrogène)
- Transport (aérien, ferroviaire, maritime, routier)
- Santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux)
- Eau potable et eaux usées
- Infrastructure numérique (DNS, cloud, data centers)
- Administration publique
- Espace
- Banques et infrastructures de marchés financiers
Entités importantes
Secteurs couverts :
- Services postaux et d'expédition
- Gestion des déchets
- Fabrication de produits chimiques
- Industrie alimentaire
- Fabrication (dispositifs médicaux, électronique, machines, véhicules)
- Services numériques (marketplaces, moteurs de recherche, réseaux sociaux)
- Recherche
Les critères de taille sont : plus de 50 salariés OU plus de 10 millions d'euros de chiffre d'affaires annuel. Cependant, certaines entités sont concernées quelle que soit leur taille (fournisseurs de services DNS, registres de noms de domaine, prestataires de services de confiance).
En France, on estime que NIS2 concerne environ 15 000 à 20 000 entités, contre seulement 500 pour NIS1. Si votre PME opère dans l'un de ces secteurs et dépasse les seuils de taille, vous êtes très probablement concerné.
Quelles obligations d'audit ?
NIS2 impose aux entités concernées de mettre en place des "mesures de gestion des risques en matière de cybersécurité" proportionnées. Ces mesures incluent explicitement : les politiques d'analyse des risques et de sécurité des systèmes d'information, la gestion des incidents, la continuité d'activité, la sécurité de la chaîne d'approvisionnement, les politiques de test et d'audit.
Si le texte ne prescrit pas une fréquence d'audit spécifique, il impose une obligation de résultat en matière de gestion des risques qui implique nécessairement des évaluations régulières. Les autorités de contrôle (ANSSI en France) pourront exiger des audits et les réaliser elles-mêmes. Les sanctions peuvent atteindre 10 millions d'euros ou 2% du CA mondial pour les entités essentielles, et 7 millions d'euros ou 1,4% du CA pour les entités importantes.
Le règlement DORA : le secteur financier
Le règlement DORA (Digital Operational Resilience Act), entré en application le 17 janvier 2025, impose des exigences spécifiques de résilience numérique au secteur financier européen.
Entités concernées : banques, assurances, sociétés de gestion, établissements de paiement, plateformes de trading, prestataires de services crypto, mais aussi leurs prestataires informatiques critiques (cloud, éditeurs de logiciels, infogérants).
Obligations d'audit spécifiques : DORA impose explicitement la réalisation de tests de pénétration fondés sur la menace (TLPT - Threat-Led Penetration Testing) au moins tous les trois ans pour les entités les plus significatives. Ces tests doivent être réalisés par des testeurs qualifiés et indépendants, suivant le cadre TIBER-EU. De plus, DORA exige des tests de résilience réguliers incluant des scans de vulnérabilités, des tests d'intrusion et des tests de continuité d'activité.
Si votre PME est un prestataire informatique du secteur financier (infogérance, développement logiciel, hébergement cloud), vous pouvez être directement impacté par DORA à travers les exigences que vos clients vous imposeront en matière de sécurité et d'auditabilité.
Le RGPD : l'obligation sous-estimée
Le RGPD ne mentionne pas explicitement le terme "audit cybersécurité", mais son article 32 impose la mise en place de "mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque". L'article 32 mentionne spécifiquement la nécessité d'une "procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement".
En pratique, cette obligation implique la réalisation régulière d'audits de sécurité et de tests d'intrusion, en particulier pour les systèmes qui traitent des données personnelles sensibles ou à grande échelle. La CNIL, dans ses contrôles, vérifie de plus en plus la réalité des mesures de sécurité techniques et organisationnelles, y compris l'existence d'audits récents.
Qui est concerné ? Toute entreprise qui traite des données personnelles, c'est-à-dire... quasiment toutes les entreprises. Les sanctions RGPD peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial, ce qui en fait la réglementation la plus lourde en termes de sanctions financières.
La LPM et les OIV : les opérateurs vitaux
La Loi de Programmation Militaire (LPM) française impose des obligations de sécurité renforcées aux Opérateurs d'Importance Vitale (OIV). Ces organisations, dont la liste est classifiée, opèrent dans des secteurs vitaux pour la nation (énergie, télécommunications, santé, transport, alimentation, finances...).
Les OIV sont tenus de réaliser des audits de sécurité réguliers par des prestataires qualifiés PASSI par l'ANSSI. Ces audits couvrent spécifiquement les Systèmes d'Information d'Importance Vitale (SIIV) et doivent être réalisés à une fréquence déterminée par l'ANSSI.
Si votre PME est sous-traitante d'un OIV et que vous avez accès à ses SIIV, vous pouvez être soumis à des exigences d'audit indirectes par votre donneur d'ordres. De nombreux OIV imposent désormais à leurs fournisseurs critiques des niveaux de sécurité alignés sur leurs propres obligations.
Réglementations sectorielles
En plus des réglementations transversales, certains secteurs ont leurs propres exigences :
Santé (HDS)
Les hébergeurs de données de santé doivent être certifiés HDS (Hébergeur de Données de Santé), certification qui impose des audits réguliers. Les établissements de santé sont soumis à des obligations croissantes en matière de cybersécurité via le programme CaRE (Cybersécurité accélération et Résilience des Établissements).
PCI-DSS (paiement par carte)
Toute entreprise qui traite, stocke ou transmet des données de cartes bancaires doit se conformer au standard PCI-DSS, qui impose des tests d'intrusion au minimum annuels et des scans de vulnérabilités trimestriels réalisés par des prestataires certifiés (ASV/QSA).
Défense (CMMC)
Les entreprises qui travaillent avec le secteur de la défense (y compris comme sous-traitants) sont soumises à des exigences de sécurité spécifiques qui incluent des évaluations régulières de la posture de sécurité.
Comment savoir si vous êtes concerné ?
Pour déterminer si votre entreprise est soumise à des obligations d'audit cybersécurité, posez-vous ces questions :
- Votre entreprise opère-t-elle dans l'un des 18 secteurs couverts par NIS2 ?
- Avez-vous plus de 50 salariés ou plus de 10 millions d'euros de CA ?
- Êtes-vous prestataire informatique d'entreprises du secteur financier ?
- Traitez-vous des données de cartes bancaires ?
- Hébergez-vous ou traitez-vous des données de santé ?
- Êtes-vous sous-traitant d'un OIV ou d'un opérateur de services essentiels ?
- Traitez-vous des données personnelles à grande échelle ?
- Vos clients ou partenaires exigent-ils des audits de sécurité ?
Si vous avez répondu oui à l'une de ces questions, vous avez très probablement des obligations d'audit cybersécurité. Même si vous n'êtes pas directement visé par un texte réglementaire, l'article 32 du RGPD impose à toute entreprise traitant des données personnelles de tester régulièrement ses mesures de sécurité.
Vérifiez vos obligations réglementaires
Nos experts vous aident à identifier les réglementations applicables à votre entreprise et à mettre en place les audits nécessaires pour être en conformité.
Vérifier ma conformité