Par Olivia Dubois
·
22 mars 2026
Les réglementations NIS2 (Network and Information Security Directive 2) et DORA (Digital Operational Resilience Act) transforment en profondeur la gouvernance des outils numériques dans les entreprises européennes. Pour les DSI, RSSI et DPO, la gestion des SaaS et de l'IA n'est plus seulement une question d'efficacité : c'est une obligation légale. Ce guide fait le point sur les exigences, les calendriers et les stratégies de mise en conformité.
La directive NIS2 (UE 2022/2555), entrée en application en octobre 2024, élargit considérablement le périmètre de la cybersécurité obligatoire en Europe. Elle remplace la directive NIS1 de 2016 et concerne désormais un nombre bien plus large d'organisations.
NIS2 s'applique aux « entités essentielles » et « entités importantes » dans 18 secteurs, parmi lesquels :
| Entités essentielles | Entités importantes |
|---|---|
| Énergie (électricité, gaz, pétrole) | Services postaux et de livraison |
| Transports (aérien, ferroviaire, maritime, routier) | Gestion des déchets |
| Banques et infrastructures des marchés financiers | Industrie chimique |
| Santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux) | Industrie alimentaire |
| Eau potable et eaux usées | Fabrication (dispositifs médicaux, électronique, automobile) |
| Infrastructure numérique (DNS, data centers, cloud, CDN) | Fournisseurs numériques (places de marché, réseaux sociaux, moteurs de recherche) |
| Administrations publiques | Recherche |
| Espace |
Critère de taille : Toute entreprise de plus de 50 employés OU avec un CA supérieur à 10 M€ dans ces secteurs est concernée, quelle que soit sa taille si elle est considérée comme critique.
NIS2 impose des obligations directement liées à la gouvernance des outils SaaS et IA :
Gestion des risques de la chaîne d'approvisionnement : L'entreprise doit identifier, évaluer et gérer les risques liés à ses fournisseurs et prestataires numériques. Cela inclut les fournisseurs SaaS et les outils d'IA utilisés par les collaborateurs.
Cartographie des actifs numériques : Un inventaire complet des systèmes d'information, incluant les applications SaaS, est obligatoire. Le Shadow IT et le Shadow AI doivent être détectés et documentés.
Notification des incidents : Les incidents de sécurité significatifs doivent être notifiés à l'autorité compétente (ANSSI en France) dans les 24 heures (alerte précoce), avec un rapport complet sous 72 heures.
Responsabilité des dirigeants : Les organes de direction sont personnellement responsables de la supervision des mesures de cybersécurité. Les dirigeants doivent suivre des formations en cybersécurité.
| Type de sanction | Entités essentielles | Entités importantes |
|---|---|---|
| Amende maximale | 10 M€ ou 2 % du CA mondial | 7 M€ ou 1,4 % du CA mondial |
| Responsabilité personnelle | Oui (dirigeants) | Oui (dirigeants) |
| Suspension d'activité | Possible | Non |
Le règlement DORA (UE 2022/2554), applicable depuis janvier 2025, est spécifique au secteur financier. Il vise à garantir que les entités financières puissent résister, répondre et se remettre de perturbations liées aux technologies de l'information et de la communication (TIC).
DORA s'applique à l'ensemble du secteur financier européen :
Les entités financières doivent mettre en place un cadre de gestion des risques TIC complet, incluant :
C'est le pilier le plus impactant pour la gestion SaaS :
Échange volontaire d'informations sur les cybermenaces et vulnérabilités entre entités financières.
Si votre entreprise ne sait pas quels outils SaaS et IA sont utilisés, elle ne peut pas :
Selon les données d'Avanoo, les entreprises découvrent en moyenne 8,65 fois plus d'outils que ce qu'elles pensaient utiliser. Chaque outil non référencé est un trou dans la conformité.
Une approche structurée en quatre étapes :
Cartographier l'ensemble des SaaS et outils IA utilisés dans l'organisation, y compris le Shadow IT et le Shadow AI. Avanoo croise les données SSO, facturation, proxy et extension navigateur pour fournir un inventaire exhaustif en moins de 15 minutes.
Chaque outil est évalué selon les critères de NIS2 et DORA :
La gestion des applications d'Avanoo permet de centraliser cette classification.
Définir des politiques par catégorie d'outil :
La gestion des incidents permet de tracer les non-conformités et de suivre les plans de remédiation.
La conformité n'est pas un projet ponctuel. De nouveaux outils apparaissent chaque semaine, les réglementations évoluent, et les risques se transforment. Un suivi analytique continu de la chaîne d'approvisionnement numérique est indispensable.
| Date | Événement | Impact |
|---|---|---|
| Octobre 2024 | NIS2 : date limite de transposition nationale | Les États membres doivent avoir transposé la directive |
| Janvier 2025 | DORA : entrée en application | Toutes les entités financières et leurs prestataires TIC doivent être conformes |
| Février 2025 | EU AI Act : interdictions (systèmes à risque inacceptable) | Certains usages d'IA sont interdits |
| Août 2025 | EU AI Act : obligations pour les systèmes à haut risque (partie 1) | Obligations de conformité pour les fournisseurs de systèmes IA à haut risque |
| Août 2026 | EU AI Act : obligations complètes | Toutes les obligations de l'EU AI Act sont applicables |
| Continu | NIS2 : audits et contrôles | L'ANSSI peut diligenter des contrôles à tout moment |
NIS2 et DORA, quelle différence ?
NIS2 est une directive qui s'applique à 18 secteurs d'activité et couvre la cybersécurité de manière large. DORA est un règlement spécifique au secteur financier, centré sur la résilience opérationnelle numérique. Si vous êtes dans le secteur financier, vous devez respecter les deux.
Mon entreprise de moins de 50 salariés est-elle concernée par NIS2 ?
En principe non, sauf si vous êtes un prestataire TIC critique pour une entité soumise à NIS2 ou DORA. Si vous fournissez des services SaaS à des banques, des hôpitaux ou des opérateurs d'énergie, vous pouvez être indirectement concerné.
Comment prouver la conformité ?
La conformité se prouve par la documentation : registre des fournisseurs TIC, évaluations de risques, politiques de sécurité, rapports d'incidents, preuves de tests. Une plateforme de gouvernance SaaS comme Avanoo facilite la production de ces preuves.
Quel est le lien entre NIS2/DORA et le RGPD ?
Le RGPD protège les données personnelles, NIS2 protège les réseaux et systèmes d'information, et DORA protège la résilience opérationnelle du secteur financier. Ces trois réglementations se complètent : un outil SaaS non conforme peut violer les trois simultanément.
Quel budget prévoir pour la mise en conformité ?
Le budget varie considérablement selon la taille de l'organisation et son niveau de maturité. Les postes principaux sont : l'outillage (plateforme de gouvernance SaaS), le conseil (accompagnement juridique et technique), la formation (dirigeants et collaborateurs), et les tests (pénétration, résilience). Un point de départ efficace : cartographier vos usages SaaS et IA pour identifier les écarts de conformité les plus urgents.
NIS2 et DORA ne sont pas des réglementations abstraites : elles imposent des obligations concrètes de cartographie, d'évaluation et de gouvernance des outils numériques utilisés par votre organisation. Le Shadow IT et le Shadow AI rendent la conformité impossible tant qu'ils ne sont pas détectés et encadrés.
Les entreprises qui investissent maintenant dans une gouvernance SaaS et IA structurée gagnent un avantage compétitif : elles réduisent leurs risques, prouvent leur conformité, et accélèrent leur transformation numérique en toute sécurité.
Découvrez comment Avanoo peut cartographier votre écosystème SaaS et IA en 15 minutes →
Shadow AI Expert & Chief AI Officer
Olivia Dubois est Shadow AI Expert et Chief AI Officer chez Avanoo. Diplômée d'HEC Paris et ancienne consultante chez BCG, elle accompagne les entreprises dans la détection et la gouvernance du Shadow AI et du Shadow IT.
Découvrez comment Avanoo peut cartographier votre paysage SaaS et IA, réduire les risques et optimiser les coûts. Une plateforme fiable avec un accompagnement humain dédié.
