Aller au contenu
DevSecOps Logo Stéphane ROBERT
Docs
Blog

Réglementations cybersécurité en Europe

Mise à jour :

En quelques années, l’Union européenne a considérablement renforcé son cadre réglementaire en matière de cybersécurité. Pour les équipes DevOps et les éditeurs de logiciels, ces nouvelles règles ne sont plus optionnelles : elles imposent des obligations concrètes sur la façon de développer, documenter et maintenir les produits numériques.

Cette section vous aide à comprendre ces réglementations, à identifier si vous êtes concerné, et à vous préparer aux échéances.

Pourquoi ces réglementations ?

L’Europe a tiré les leçons des incidents majeurs de cybersécurité des dernières années :

  • SolarWinds (2020) : une attaque sur la supply chain logicielle a compromis des milliers d’organisations, y compris des agences gouvernementales américaines
  • Log4Shell (2021) : une vulnérabilité dans une bibliothèque open source utilisée par des millions d’applications a créé une crise mondiale
  • Ransomwares sur les hôpitaux : des établissements de santé paralysés pendant des jours, mettant des vies en danger

Face à ces menaces, l’approche volontaire (“faites de la sécurité si vous voulez”) a montré ses limites. L’Union européenne a donc choisi une approche réglementaire : obliger les acteurs à intégrer la sécurité, avec des sanctions en cas de non-conformité.

Règlement vs Directive : comprendre la différence

Avant de plonger dans les textes, il est important de comprendre comment fonctionne le droit européen. L’UE dispose de deux types principaux de textes contraignants, et leur différence a des conséquences pratiques pour vous.

Le Règlement européen

Un règlement est un texte qui s’applique directement et uniformément dans tous les États membres, sans aucune modification.

Analogie : Imaginez une règle de jeu vidéo en ligne. Quand l’éditeur change les règles, tous les joueurs du monde entier jouent immédiatement avec les mêmes nouvelles règles. Personne ne peut décider localement d’appliquer une variante.

Caractéristiques :

  • Application immédiate dès l’entrée en vigueur
  • Texte identique dans les 27 pays de l’UE
  • Pas de marge de manœuvre pour les États
  • Sécurité juridique maximale : les règles sont les mêmes partout

Exemple : Le Cyber Resilience Act (CRA) est un règlement. Un éditeur de logiciel français aura exactement les mêmes obligations qu’un éditeur allemand ou espagnol.

La Directive européenne

Une directive fixe des objectifs à atteindre, mais laisse chaque État membre libre de choisir comment les atteindre dans son droit national. C’est ce qu’on appelle la transposition.

Analogie : Imaginez que l’UE demande à tous les pays d’avoir un système de tri des déchets. La France peut choisir des poubelles jaunes pour le plastique, l’Allemagne des poubelles vertes — l’important est que le tri soit effectif, pas la couleur des poubelles.

Caractéristiques :

  • Délai de transposition (généralement 18-24 mois)
  • Chaque pays rédige sa propre loi nationale
  • Variations possibles entre pays (dans les limites de la directive)
  • Les entreprises doivent vérifier la loi de leur pays

Exemple : La directive NIS2 a été transposée différemment selon les pays. En France, c’est l’ANSSI qui supervise ; en Allemagne, c’est le BSI. Les seuils et les sanctions peuvent varier légèrement.

Tableau récapitulatif

CritèreRèglementDirective
ApplicationDirecte et immédiateAprès transposition nationale
UniformitéIdentique dans toute l’UEVariations possibles entre pays
FlexibilitéAucuneLes États adaptent à leur contexte
Pour vousUne seule règle à connaîtreVérifier la loi de votre pays
Exemples cyberCRA, RGPD, AI ActNIS2, DORA

Ce que ça signifie concrètement

Si vous êtes concerné par le CRA (règlement) :

  • Les règles seront identiques que vous vendiez en France, Allemagne ou Pologne
  • Vous pouvez vous préparer dès maintenant avec le texte officiel
  • Pas de surprise : ce qui est écrit s’appliquera tel quel

Si vous êtes concerné par NIS2 (directive) :

  • Vérifiez la transposition dans votre pays (en France : loi de transposition + décrets ANSSI)
  • Les seuils exacts et certaines modalités peuvent différer
  • Les autorités de contrôle sont nationales (ANSSI en France)

Les deux piliers réglementaires

Cyber Resilience Act (CRA) Obligations pour les fabricants de produits numériques : SBOM, mises à jour de sécurité, marquage CE.
Directive NIS2 Obligations pour les entités essentielles et importantes : gouvernance, gestion des risques, notification des incidents.

CRA vs NIS2 : quelle différence ?

Ces deux textes sont complémentaires mais ciblent des acteurs différents :

CritèreCyber Resilience Act (CRA)Directive NIS2
Qui est concerné ?Les fabricants de produits numériques (logiciels, objets connectés)Les organisations qui utilisent ces produits (hôpitaux, banques, transports…)
LogiqueSécurité par conception du produitSécurité de l’organisation qui l’utilise
AnalogieLe constructeur automobile doit fabriquer une voiture sûreLe transporteur doit entretenir sa flotte et former ses chauffeurs
Type de texteRèglement (application directe)Directive (transposition nationale)
Échéance principaleDécembre 2027Octobre 2024 (transposition)

En pratique :

  • Si vous développez un logiciel ou un produit connecté → le CRA vous concerne
  • Si vous opérez une infrastructure critique (énergie, santé, finance…) → NIS2 vous concerne
  • Si vous faites les deux → les deux s’appliquent !

Ce que ça change pour les équipes DevOps

Ces réglementations ont des implications directes sur les pratiques DevOps :

Traçabilité obligatoire

Vous devrez pouvoir prouver ce qui compose vos produits et comment ils sont construits :

  • SBOM (Software Bill of Materials) : liste de tous les composants de votre logiciel
  • Provenance des artefacts : qui a construit quoi, quand, à partir de quoi
  • Journaux d’audit : traçabilité des actions sur les systèmes critiques

Gestion des vulnérabilités

La détection et la correction des failles deviennent une obligation légale :

  • Surveillance continue des vulnérabilités (CVE)
  • Délais de correction imposés selon la criticité
  • Notification des autorités en cas d’incident grave

Sécurité de la supply chain

Vos fournisseurs et vos dépendances deviennent votre responsabilité :

  • Évaluation de la sécurité des composants tiers
  • Contrats avec clauses de sécurité
  • Capacité à réagir si un fournisseur est compromis

Par où commencer ?

Si vous découvrez ces sujets, voici un ordre de lecture suggéré :

  1. Identifiez si vous êtes concerné en lisant les sections “Qui est concerné ?” de chaque guide
  2. Comprenez les obligations qui s’appliquent à votre situation
  3. Évaluez votre niveau actuel par rapport aux exigences
  4. Priorisez les actions en fonction des échéances

Les guides CRA et NIS2 détaillent chaque étape avec des explications accessibles, même si vous n’êtes pas expert en réglementation.

À retenir

  • CRA = obligations pour les fabricants de produits numériques (vous qui développez)
  • NIS2 = obligations pour les organisations critiques (vous qui opérez)
  • Les deux textes rendent obligatoires des pratiques qui étaient jusque-là volontaires
  • La traçabilité (SBOM, provenance, audits) devient centrale
  • Les sanctions sont significatives : jusqu’à 2,5% du CA mondial pour NIS2, 15M€ ou 2,5% pour le CRA
  • Les échéances approchent : commencez votre mise en conformité maintenant