Conformité NIS2 et DORA pour les SaaS : guide complet pour les entreprises européennes

Les réglementations NIS2 (Network and Information Security Directive 2) et DORA (Digital Operational Resilience Act) transforment en profondeur la gouvernance des outils numériques dans les entreprises européennes. Pour les DSI, RSSI et DPO, la gestion des SaaS et de l'IA n'est plus seulement une question d'efficacité : c'est une obligation légale. Ce guide fait le point sur les exigences, les calendriers et les stratégies de mise en conformité.

NIS2 : ce que change la directive pour les entreprises

Qu'est-ce que NIS2 ?

La directive NIS2 (UE 2022/2555), entrée en application en octobre 2024, élargit considérablement le périmètre de la cybersécurité obligatoire en Europe. Elle remplace la directive NIS1 de 2016 et concerne désormais un nombre bien plus large d'organisations.

Qui est concerné ?

NIS2 s'applique aux « entités essentielles » et « entités importantes » dans 18 secteurs, parmi lesquels :

Critère de taille : Toute entreprise de plus de 50 employés OU avec un CA supérieur à 10 M€ dans ces secteurs est concernée, quelle que soit sa taille si elle est considérée comme critique.

Obligations clés pour la gestion SaaS

NIS2 impose des obligations directement liées à la gouvernance des outils SaaS et IA :

1. Gestion des risques de la chaîne d'approvisionnement : L'entreprise doit identifier, évaluer et gérer les risques liés à ses fournisseurs et prestataires numériques. Cela inclut les fournisseurs SaaS et les outils d'IA utilisés par les collaborateurs.

2. Cartographie des actifs numériques : Un inventaire complet des systèmes d'information, incluant les applications SaaS, est obligatoire. Le Shadow IT et le Shadow AI doivent être détectés et documentés.

3. Notification des incidents : Les incidents de sécurité significatifs doivent être notifiés à l'autorité compétente (ANSSI en France) dans les 24 heures (alerte précoce), avec un rapport complet sous 72 heures.

4. Responsabilité des dirigeants : Les organes de direction sont personnellement responsables de la supervision des mesures de cybersécurité. Les dirigeants doivent suivre des formations en cybersécurité.

Sanctions NIS2

DORA : la résilience opérationnelle numérique

Qu'est-ce que DORA ?

Le règlement DORA (UE 2022/2554), applicable depuis janvier 2025, est spécifique au secteur financier. Il vise à garantir que les entités financières puissent résister, répondre et se remettre de perturbations liées aux technologies de l'information et de la communication (TIC).

Qui est concerné ?

DORA s'applique à l'ensemble du secteur financier européen :

• Banques et établissements de crédit
• Compagnies d'assurance et de réassurance
• Sociétés de gestion d'actifs
• Entreprises d'investissement
• Infrastructures de marché (bourses, chambres de compensation)
• Prestataires de services de paiement
• Fintech et crypto-actifs
• Leurs prestataires TIC critiques (cloud, SaaS, infrastructure)

Les 5 piliers de DORA

Pilier 1 : Gestion des risques TIC

Les entités financières doivent mettre en place un cadre de gestion des risques TIC complet, incluant :

• Identification et classification de tous les actifs TIC (y compris les SaaS)
• Évaluation continue des risques
• Mesures de protection, détection, réponse et rétablissement
• Plans de continuité d'activité

Pilier 2 : Gestion et notification des incidents

• Classification des incidents TIC selon des critères harmonisés
• Notification aux autorités dans les 4 heures (incidents majeurs)
• Rapports intermédiaires et finaux obligatoires

Pilier 3 : Tests de résilience opérationnelle

• Tests de pénétration avancés (TLPT — Threat-Led Penetration Testing) tous les 3 ans pour les entités significatives
• Tests de continuité et de reprise réguliers

Pilier 4 : Gestion des risques liés aux tiers

C'est le pilier le plus impactant pour la gestion SaaS :

• Registre des fournisseurs TIC : Inventaire complet de tous les prestataires, avec classification par criticité
• Évaluation des risques : Chaque fournisseur SaaS et IA doit être évalué (sécurité, résilience, dépendances)
• Clauses contractuelles : Les contrats SaaS doivent inclure des clauses spécifiques (droit d'audit, notification d'incidents, portabilité des données, plans de sortie)
• Concentration : Les entités doivent surveiller la concentration de leurs dépendances auprès de fournisseurs tiers critiques

Pilier 5 : Partage d'informations

Échange volontaire d'informations sur les cybermenaces et vulnérabilités entre entités financières.

L'intersection NIS2 × DORA × SaaS Management

Le problème : le Shadow IT et le Shadow AI rendent la conformité impossible

Si votre entreprise ne sait pas quels outils SaaS et IA sont utilisés, elle ne peut pas :

• Tenir le registre des fournisseurs TIC (DORA Pilier 4)
• Évaluer les risques de la chaîne d'approvisionnement (NIS2)
• Classifier les systèmes d'IA (EU AI Act)
• Garantir que les données personnelles ne sont pas traitées hors cadre (RGPD)
• Notifier un incident si elle ne sait pas quel outil est compromis

Selon les données d'Avanoo, les entreprises découvrent en moyenne 8,65 fois plus d'outils que ce qu'elles pensaient utiliser. Chaque outil non référencé est un trou dans la conformité.

La solution : une plateforme de gouvernance SaaS et IA

Une approche structurée en quatre étapes :

Étape 1 : Découverte complète

Cartographier l'ensemble des SaaS et outils IA utilisés dans l'organisation, y compris le Shadow IT et le Shadow AI. Avanoo croise les données SSO, facturation, proxy et extension navigateur pour fournir un inventaire exhaustif en moins de 15 minutes.

Étape 2 : Classification et évaluation des risques

Chaque outil est évalué selon les critères de NIS2 et DORA :

• Criticité pour l'activité
• Type de données traitées
• Localisation de l'hébergement (UE / hors UE)
• Politique de sécurité du fournisseur
• Niveau de dépendance et de concentration

La gestion des applications d'Avanoo permet de centraliser cette classification.

Étape 3 : Gouvernance et politiques

Définir des politiques par catégorie d'outil :

• Approuvé : Conforme, audité, contrat en place
• Encadré : Usage limité avec restrictions
• Interdit : Non conforme, alternative obligatoire

La gestion des incidents permet de tracer les non-conformités et de suivre les plans de remédiation.

Étape 4 : Pilotage continu

La conformité n'est pas un projet ponctuel. De nouveaux outils apparaissent chaque semaine, les réglementations évoluent, et les risques se transforment. Un suivi analytique continu de la chaîne d'approvisionnement numérique est indispensable.

Calendrier de mise en conformité

Checklist de conformité NIS2/DORA pour les SaaS

Gouvernance

• Les organes de direction sont formés aux risques cyber
• Un responsable de la sécurité des systèmes d'information (RSSI) est désigné
• Une politique de gestion des risques TIC est documentée et approuvée
• Les budgets cybersécurité sont alloués et suivis

Cartographie

• L'inventaire complet des applications SaaS est à jour
• Le Shadow IT est détecté et documenté
• Le Shadow AI est cartographié
• Chaque fournisseur SaaS est classifié par niveau de criticité

Fournisseurs

• Les contrats SaaS incluent les clauses DORA obligatoires
• Les évaluations de risques fournisseurs sont documentées
• La concentration des dépendances est surveillée
• Les plans de sortie (exit plans) existent pour les fournisseurs critiques

Incidents

• Un processus de notification des incidents est en place
• Les délais de notification sont respectés (24h NIS2, 4h DORA)
• Les rapports d'incidents sont archivés
• Des exercices de gestion de crise sont menés régulièrement

Tests

• Des tests de résilience sont effectués annuellement
• Des tests de pénétration (TLPT) sont planifiés (tous les 3 ans)
• Les plans de continuité d'activité sont testés

FAQ

NIS2 et DORA, quelle différence ?

NIS2 est une directive qui s'applique à 18 secteurs d'activité et couvre la cybersécurité de manière large. DORA est un règlement spécifique au secteur financier, centré sur la résilience opérationnelle numérique. Si vous êtes dans le secteur financier, vous devez respecter les deux.

Mon entreprise de moins de 50 salariés est-elle concernée par NIS2 ?

En principe non, sauf si vous êtes un prestataire TIC critique pour une entité soumise à NIS2 ou DORA. Si vous fournissez des services SaaS à des banques, des hôpitaux ou des opérateurs d'énergie, vous pouvez être indirectement concerné.

Comment prouver la conformité ?

La conformité se prouve par la documentation : registre des fournisseurs TIC, évaluations de risques, politiques de sécurité, rapports d'incidents, preuves de tests. Une plateforme de gouvernance SaaS comme Avanoo facilite la production de ces preuves.

Quel est le lien entre NIS2/DORA et le RGPD ?

Le RGPD protège les données personnelles, NIS2 protège les réseaux et systèmes d'information, et DORA protège la résilience opérationnelle du secteur financier. Ces trois réglementations se complètent : un outil SaaS non conforme peut violer les trois simultanément.

Quel budget prévoir pour la mise en conformité ?

Le budget varie considérablement selon la taille de l'organisation et son niveau de maturité. Les postes principaux sont : l'outillage (plateforme de gouvernance SaaS), le conseil (accompagnement juridique et technique), la formation (dirigeants et collaborateurs), et les tests (pénétration, résilience). Un point de départ efficace : cartographier vos usages SaaS et IA pour identifier les écarts de conformité les plus urgents.

Conclusion

NIS2 et DORA ne sont pas des réglementations abstraites : elles imposent des obligations concrètes de cartographie, d'évaluation et de gouvernance des outils numériques utilisés par votre organisation. Le Shadow IT et le Shadow AI rendent la conformité impossible tant qu'ils ne sont pas détectés et encadrés.

Les entreprises qui investissent maintenant dans une gouvernance SaaS et IA structurée gagnent un avantage compétitif : elles réduisent leurs risques, prouvent leur conformité, et accélèrent leur transformation numérique en toute sécurité.

Découvrez comment Avanoo peut cartographier votre écosystème SaaS et IA en 15 minutes →