Contexte : Naviguer entre plusieurs cadres réglementaires
Les organisations opérant dans l’Union européenne — en particulier dans les services financiers, les infrastructures critiques et les services essentiels — se trouvent de plus en plus soumises à plusieurs cadres réglementaires qui se chevauchent. ISO 27001, DORA (Digital Operational Resilience Act) et NIS2 (directive sur la sécurité des réseaux et de l’information) imposent chacun des exigences de sécurité de l’information qui, bien qu’ayant des objectifs réglementaires différents, partagent un terrain commun substantiel.
Pour les responsables conformité et les auditeurs, le défi principal est de comprendre où ces cadres s’alignent (implémenter une fois, documenter une fois), où ils divergent (exigences spécifiques supplémentaires) et comment construire un programme de conformité efficient qui satisfait les trois sans tripler l’effort.
Cet article fournit une matrice de chevauchement des contrôles complète et des orientations pratiques pour la conformité multi-cadres, avec une attention particulière à la gouvernance des pipelines CI/CD où les trois cadres ont des implications significatives.
Matrice complète de chevauchement des contrôles
Le tableau suivant cartographie dix domaines de contrôle principaux à travers ISO 27001, DORA et NIS2, identifiant les points d’alignement et de divergence.
| Domaine de contrôle | Référence ISO 27001 | Référence DORA | Référence NIS2 | Notes d’alignement |
|---|---|---|---|---|
| Gestion des risques | Clause 6.1, 8.2 ; A.6 Organisation | Article 6 — Cadre de gestion des risques ICT | Article 21(2)(a) — Analyse des risques et politiques de sécurité des systèmes d’information | Alignement fort. Les trois exigent une gestion formelle des risques. DORA impose un cadre de risque spécifique aux ICT avec supervision au niveau de la direction. NIS2 exige une approche basée sur les risques. ISO 27001 fournit la méthodologie de base. |
| Contrôle d’accès | A.9 — Contrôle d’accès (A.9.1–A.9.4) | Article 9(4)(c) — Politiques de gestion des accès | Article 21(2)(i) — Sécurité des ressources humaines, politiques de contrôle d’accès | Alignement fort. Les trois exigent un contrôle d’accès formel avec moindre privilège. DORA exige spécifiquement la gestion des identités et des accès pour les systèmes ICT. Cartographier les contrôles A.9 pour satisfaire les trois. |
| Gestion des changements | A.12.1.2 Gestion des changements ; A.14.2.2 Contrôle des changements système | Article 9(4)(e) — Procédures de gestion des changements ICT | Article 21(2)(a) — Politiques de sécurité des systèmes d’information (inclut le contrôle des changements) | Alignement fort. Les trois exigent un contrôle formel des changements. DORA mandate explicitement la gestion des changements ICT avec des exigences de documentation spécifiques. Les pipelines CI/CD sont le mécanisme d’application principal. |
| Gestion des incidents | A.16 — Gestion des incidents de sécurité de l’information | Articles 17–23 — Gestion des incidents liés aux ICT (classification détaillée, délais de signalement, notification aux autorités) | Articles 23–24 — Obligations de signalement d’incidents (alerte précoce 24 heures, notification 72 heures) | Alignement partiel. ISO 27001 fournit le cadre processus. DORA et NIS2 ajoutent des délais de signalement obligatoires et notification aux autorités qui vont au-delà d’ISO 27001. DORA a le schéma de classification le plus prescriptif. |
| Continuité d’activité | A.17 — Aspects sécurité de l’information de la continuité d’activité | Articles 11–12 — Gestion de la continuité d’activité ICT, plans de réponse et de récupération | Article 21(2)(c) — Continuité d’activité et gestion de crise | Alignement modéré. Les trois exigent une planification de la continuité. DORA ajoute des exigences spécifiques de test de continuité ICT incluant des tests basés sur des scénarios. NIS2 inclut des considérations de continuité de la chaîne d’approvisionnement. |
| Chaîne d’approvisionnement / Tiers | A.15 — Relations avec les fournisseurs | Articles 28–30 — Gestion des risques liés aux tiers ICT (exigences contractuelles détaillées, risque de concentration, surveillance des tiers critiques) | Article 21(2)(d) — Sécurité de la chaîne d’approvisionnement | Divergence significative. DORA a les exigences les plus étendues incluant un cadre de surveillance pour les prestataires ICT tiers critiques. NIS2 exige une évaluation des risques de la chaîne d’approvisionnement. ISO 27001 A.15 fournit la base mais est moins prescriptif. Les exigences DORA vont substantiellement au-delà d’ISO 27001. |
| Cryptographie | A.10 — Cryptographie | Article 9(4)(d) — Contrôles de chiffrement et cryptographiques | Article 21(2)(h) — Politiques et procédures sur la cryptographie et le chiffrement | Alignement fort. Les trois exigent des contrôles cryptographiques et la gestion des clés. NIS2 mentionne explicitement le chiffrement. Implémenter les contrôles A.10 de manière complète pour satisfaire les trois. |
| Gestion des vulnérabilités | A.12.6 — Gestion des vulnérabilités techniques | Article 9(3) — Les systèmes ICT doivent être continuellement surveillés et contrôlés pour les vulnérabilités | Article 21(2)(e) — Gestion et divulgation des vulnérabilités | Alignement modéré. Les trois exigent la gestion des vulnérabilités. NIS2 ajoute des exigences explicites de divulgation des vulnérabilités. DORA exige une surveillance continue. ISO 27001 fournit la base processus. |
| Journalisation et surveillance | A.12.4 — Journalisation et surveillance | Article 9(4)(b) — Surveillance et journalisation des opérations ICT ; Article 10 — Détection | Article 21(2)(b) — Gestion des incidents (nécessite une capacité de détection) | Alignement modéré. Les trois exigent la journalisation et la surveillance. DORA a les exigences les plus spécifiques pour la surveillance des opérations ICT et la détection d’anomalies. ISO 27001 A.12.4 fournit le cadre de base. |
| Tests de sécurité | A.14.2.8 — Tests de sécurité des systèmes | Articles 24–27 — Tests de résilience opérationnelle numérique (incluant les tests avancés de pénétration basés sur les menaces — TLPT) | Article 21(2)(f) — Politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques de cybersécurité | Divergence significative. DORA a les exigences de test les plus prescriptives incluant le TLPT obligatoire pour les entités financières significatives. NIS2 exige l’évaluation de l’efficacité. ISO 27001 exige des tests de sécurité mais avec moins de spécificité. Les exigences de test DORA vont substantiellement au-delà d’ISO 27001. |
Où les cadres s’alignent — Implémenter une fois, documenter une fois
Les domaines de contrôle suivants présentent un alignement suffisant pour qu’un seul contrôle bien implémenté puisse satisfaire les trois cadres simultanément :
- Méthodologie de gestion des risques : Un cadre unique de gestion des risques répondant aux exigences de la Clause 6.1 d’ISO 27001, avec des catégories de risque spécifiques aux ICT, peut servir de fondation pour la conformité à l’article 6 de DORA et à l’article 21(2)(a) de NIS2
- Contrôle d’accès : Les contrôles A.9 d’ISO 27001 implémentés de manière complète (incluant les comptes de service, les identifiants de pipeline et le MFA) satisfont les exigences de contrôle d’accès DORA et NIS2
- Gestion des changements : Le contrôle des changements appliqué par le pipeline répondant aux exigences A.14.2.2 et A.12.1.2 satisfait l’article 9(4)(e) de DORA et les attentes de contrôle des changements NIS2
- Contrôles cryptographiques : L’implémentation A.10 couvrant le chiffrement au repos et en transit, la gestion des clés et la gestion du cycle de vie des certificats répond aux trois cadres
- Journalisation et surveillance de base : Les contrôles de journalisation A.12.4 fournissent la fondation pour les trois cadres, bien que DORA puisse nécessiter une spécificité supplémentaire de surveillance
Où les cadres divergent — Exigences supplémentaires
Certains domaines nécessitent un effort supplémentaire au-delà des contrôles de base ISO 27001 pour satisfaire DORA et/ou NIS2 :
Signalement d’incidents (spécificités DORA + NIS2)
- DORA : Impose un schéma détaillé de classification des incidents, une notification initiale aux autorités compétentes dans des délais spécifiés, des rapports intermédiaires et des rapports finaux. Les incidents doivent être classifiés par gravité selon des critères spécifiques.
- NIS2 : Exige une alerte précoce dans les 24 heures, une notification d’incident dans les 72 heures et un rapport final dans un mois. S’applique aux incidents significatifs affectant la fourniture de services.
- Écart par rapport à ISO 27001 : ISO 27001 A.16 exige la gestion des incidents mais ne mandate pas de délais de notification aux autorités. Les organisations doivent superposer les obligations de signalement DORA/NIS2 au processus ISO 27001.
Risques tiers / Chaîne d’approvisionnement (spécificités DORA)
- DORA : Exige un registre complet des prestataires ICT tiers, une évaluation du risque de concentration, des dispositions contractuelles obligatoires (incluant les droits d’audit, les stratégies de sortie et les contrôles de sous-traitance) et une surveillance continue. Les prestataires ICT tiers critiques sont soumis à un cadre de surveillance européen.
- NIS2 : Exige une évaluation de la sécurité de la chaîne d’approvisionnement considérant les pratiques de sécurité des fournisseurs et prestataires directs.
- Écart par rapport à ISO 27001 : La gestion des fournisseurs A.15 est moins prescriptive que DORA. Les organisations des services financiers doivent significativement améliorer leur programme de gestion des fournisseurs pour répondre aux exigences DORA — en particulier pour les fournisseurs de plateformes CI/CD et les services de pipeline hébergés dans le cloud.
Tests de résilience (spécificités DORA)
- DORA : Exige un programme complet de tests de résilience opérationnelle numérique, incluant des tests basés sur des scénarios, des évaluations de vulnérabilité et — pour les entités significatives — des tests de pénétration basés sur les menaces (TLPT) réalisés par des testeurs externes qualifiés suivant des cadres reconnus.
- Écart par rapport à ISO 27001 : A.14.2.8 exige des tests de sécurité mais ne mandate pas le TLPT ni le niveau de rigueur de test spécifié par DORA. Les organisations de services financiers doivent développer un programme de test substantiellement plus complet.
Divulgation des vulnérabilités (spécificités NIS2)
- NIS2 : Introduit des exigences de divulgation coordonnée des vulnérabilités et impose que les organisations aient des politiques de gestion et de divulgation des vulnérabilités.
- Écart par rapport à ISO 27001 : A.12.6 couvre la gestion des vulnérabilités mais ne traite pas la divulgation publique. Les organisations doivent développer des politiques et processus de divulgation des vulnérabilités.
Approche pratique : Construire sur ISO 27001, superposer DORA/NIS2
Le chemin le plus efficient vers la conformité multi-cadres suit une approche en couches :
- Établir ISO 27001 comme base. ISO 27001 fournit le cadre de système de management le plus complet. Ses contrôles de l’Annexe A couvrent la gamme la plus large de domaines de sécurité. Commencez ici.
- Cartographier les ajouts spécifiques à DORA. Identifier où DORA exige plus que ce qu’ISO 27001 délivre — principalement dans le signalement des incidents, la gestion des tiers et les tests de résilience. Construire ces éléments comme des extensions aux contrôles ISO 27001 existants, pas comme des programmes séparés.
- Cartographier les ajouts spécifiques à NIS2. Identifier les exigences NIS2 non déjà couvertes par ISO 27001 + DORA — principalement la divulgation des vulnérabilités et les délais de signalement spécifiques.
- Unifier la collecte de preuves. Concevoir des processus de collecte de preuves qui produisent des artefacts satisfaisant les trois cadres simultanément. Une seule piste d’audit de pipeline, correctement structurée, peut servir les auditeurs ISO 27001, DORA et NIS2.
Recommandations d’efficacité pour la conformité multi-cadres
| Recommandation | Bénéfice | Priorité de mise en œuvre |
|---|---|---|
| Utiliser un registre des risques unique avec des étiquettes par cadre | Une évaluation des risques sert les trois cadres ; les auditeurs filtrent par cadre applicable | Élevée |
| Maintenir une matrice de contrôle unifiée cartographiant les contrôles vers tous les cadres applicables | Démontre la couverture, identifie les lacunes, réduit l’effort d’évaluation dupliqué | Élevée |
| Concevoir la gestion des incidents avec le délai le plus strict (alerte précoce de 24 heures) | Respecter le délai le plus court satisfait automatiquement les délais plus longs | Élevée |
| Implémenter la gestion des fournisseurs au niveau de rigueur DORA | DORA a les exigences les plus exigeantes ; répondre à DORA satisfait automatiquement ISO 27001 et NIS2 | Moyenne |
| Structurer les pistes d’audit de pipeline en tenant compte des besoins de preuves des trois cadres | Une source de preuves unique sert plusieurs auditeurs ; réduit la charge de collecte de preuves | Élevée |
| Réaliser les tests de résilience au standard DORA | Les exigences de test DORA dépassent ISO 27001 et NIS2 ; répondre à DORA satisfait les trois | Moyenne |
| Aligner le programme d’audit interne pour couvrir les trois cadres dans chaque cycle | Réduit la fatigue d’audit ; fournit une assurance complète | Moyenne |
Ce que les auditeurs évaluent différemment selon les cadres
Bien que les domaines de contrôle se chevauchent significativement, les auditeurs de chaque cadre ont des domaines d’attention et des approches d’évaluation distincts :
- Les auditeurs de certification ISO 27001 se concentrent sur le système de management — le cycle PDCA, l’engagement de la direction, l’amélioration continue et le fonctionnement des contrôles tel que documenté. Ils évaluent la conformité au standard.
- Les évaluations de supervision DORA se concentrent sur la résilience opérationnelle — l’organisation peut-elle résister, répondre et se remettre des perturbations ICT ? Les évaluateurs examinent la maturité et l’efficacité des mesures de résilience, avec un accent particulier sur les résultats de tests et la gestion des risques liés aux tiers.
- Les évaluations de conformité NIS2 se concentrent sur le respect du devoir de diligence de l’organisation pour la sécurité des réseaux et de l’information, avec un accent sur la capacité de signalement des incidents, la sécurité de la chaîne d’approvisionnement et la responsabilité de gouvernance (incluant la responsabilité personnelle de l’organe de direction sous NIS2).
Comprendre ces différentes perspectives permet aux responsables conformité de préparer des preuves et des briefings ciblés pour chaque type d’évaluation, même lorsque les contrôles sous-jacents sont partagés.
Lectures complémentaires
- Hub de conformité ISO 27001
- Hub de conformité DORA
- Hub de conformité NIS2
- Architecture de double conformité expliquée
Ressources connexes pour les auditeurs
- Glossaire — Définitions en langage clair des termes techniques
- Comparaison NIS2 vs DORA
- DORA Article 21 — Analyse approfondie
- Architecture de sécurité NIS2
Nouveau dans l’audit CI/CD ? Commencez par notre Guide de l’auditeur.
