{"id":1327,"date":"2026-03-25T17:02:14","date_gmt":"2026-03-25T16:02:14","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/iso-27001-vs-dora-vs-nis2-controls-overlap-matrix-2\/"},"modified":"2026-03-26T00:16:24","modified_gmt":"2026-03-25T23:16:24","slug":"iso-27001-vs-dora-vs-nis2-controls-overlap-matrix","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/cross-regulation-comparisons\/iso-27001-vs-dora-vs-nis2-controls-overlap-matrix\/","title":{"rendered":"ISO 27001 vs DORA vs NIS2 \u2014 Matrice de chevauchement des contr\u00f4les"},"content":{"rendered":"

Contexte : Naviguer entre plusieurs cadres r\u00e9glementaires<\/h2>\n

Les organisations op\u00e9rant dans l’Union europ\u00e9enne \u2014 en particulier dans les services financiers, les infrastructures critiques et les services essentiels \u2014 se trouvent de plus en plus soumises \u00e0 plusieurs cadres r\u00e9glementaires qui se chevauchent. ISO 27001, DORA (Digital Operational Resilience Act) et NIS2 (directive sur la s\u00e9curit\u00e9 des r\u00e9seaux et de l’information) imposent chacun des exigences de s\u00e9curit\u00e9 de l’information qui, bien qu’ayant des objectifs r\u00e9glementaires diff\u00e9rents, partagent un terrain commun substantiel.<\/p>\n

Pour les responsables conformit\u00e9 et les auditeurs, le d\u00e9fi principal est de comprendre o\u00f9 ces cadres s’alignent<\/strong> (impl\u00e9menter une fois, documenter une fois), o\u00f9 ils divergent<\/strong> (exigences sp\u00e9cifiques suppl\u00e9mentaires) et comment construire un programme de conformit\u00e9 efficient qui satisfait les trois sans tripler l’effort.<\/p>\n

Cet article fournit une matrice de chevauchement des contr\u00f4les compl\u00e8te et des orientations pratiques pour la conformit\u00e9 multi-cadres, avec une attention particuli\u00e8re \u00e0 la gouvernance des pipelines CI\/CD o\u00f9 les trois cadres ont des implications significatives.<\/p>\n

Matrice compl\u00e8te de chevauchement des contr\u00f4les<\/h2>\n

Le tableau suivant cartographie dix domaines de contr\u00f4le principaux \u00e0 travers ISO 27001, DORA et NIS2, identifiant les points d’alignement et de divergence.<\/p>\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
Domaine de contr\u00f4le<\/th>\nR\u00e9f\u00e9rence ISO 27001<\/th>\nR\u00e9f\u00e9rence DORA<\/th>\nR\u00e9f\u00e9rence NIS2<\/th>\nNotes d’alignement<\/th>\n<\/tr>\n<\/thead>\n
Gestion des risques<\/strong><\/td>\nClause 6.1, 8.2 ; A.6 Organisation<\/td>\nArticle 6 \u2014 Cadre de gestion des risques ICT<\/td>\nArticle 21(2)(a) \u2014 Analyse des risques et politiques de s\u00e9curit\u00e9 des syst\u00e8mes d’information<\/td>\nAlignement fort.<\/strong> Les trois exigent une gestion formelle des risques. DORA impose un cadre de risque sp\u00e9cifique aux ICT avec supervision au niveau de la direction. NIS2 exige une approche bas\u00e9e sur les risques. ISO 27001 fournit la m\u00e9thodologie de base.<\/td>\n<\/tr>\n
Contr\u00f4le d’acc\u00e8s<\/strong><\/td>\nA.9 \u2014 Contr\u00f4le d’acc\u00e8s (A.9.1\u2013A.9.4)<\/td>\nArticle 9(4)(c) \u2014 Politiques de gestion des acc\u00e8s<\/td>\nArticle 21(2)(i) \u2014 S\u00e9curit\u00e9 des ressources humaines, politiques de contr\u00f4le d’acc\u00e8s<\/td>\nAlignement fort.<\/strong> Les trois exigent un contr\u00f4le d’acc\u00e8s formel avec moindre privil\u00e8ge. DORA exige sp\u00e9cifiquement la gestion des identit\u00e9s et des acc\u00e8s pour les syst\u00e8mes ICT. Cartographier les contr\u00f4les A.9 pour satisfaire les trois.<\/td>\n<\/tr>\n
Gestion des changements<\/strong><\/td>\nA.12.1.2 Gestion des changements ; A.14.2.2 Contr\u00f4le des changements syst\u00e8me<\/td>\nArticle 9(4)(e) \u2014 Proc\u00e9dures de gestion des changements ICT<\/td>\nArticle 21(2)(a) \u2014 Politiques de s\u00e9curit\u00e9 des syst\u00e8mes d’information (inclut le contr\u00f4le des changements)<\/td>\nAlignement fort.<\/strong> Les trois exigent un contr\u00f4le formel des changements. DORA mandate explicitement la gestion des changements ICT avec des exigences de documentation sp\u00e9cifiques. Les pipelines CI\/CD sont le m\u00e9canisme d’application principal.<\/td>\n<\/tr>\n
Gestion des incidents<\/strong><\/td>\nA.16 \u2014 Gestion des incidents de s\u00e9curit\u00e9 de l’information<\/td>\nArticles 17\u201323 \u2014 Gestion des incidents li\u00e9s aux ICT (classification d\u00e9taill\u00e9e, d\u00e9lais de signalement, notification aux autorit\u00e9s)<\/td>\nArticles 23\u201324 \u2014 Obligations de signalement d’incidents (alerte pr\u00e9coce 24 heures, notification 72 heures)<\/td>\nAlignement partiel.<\/strong> ISO 27001 fournit le cadre processus. DORA et NIS2 ajoutent des d\u00e9lais de signalement obligatoires et notification aux autorit\u00e9s<\/strong> qui vont au-del\u00e0 d’ISO 27001. DORA a le sch\u00e9ma de classification le plus prescriptif.<\/td>\n<\/tr>\n
Continuit\u00e9 d’activit\u00e9<\/strong><\/td>\nA.17 \u2014 Aspects s\u00e9curit\u00e9 de l’information de la continuit\u00e9 d’activit\u00e9<\/td>\nArticles 11\u201312 \u2014 Gestion de la continuit\u00e9 d’activit\u00e9 ICT, plans de r\u00e9ponse et de r\u00e9cup\u00e9ration<\/td>\nArticle 21(2)(c) \u2014 Continuit\u00e9 d’activit\u00e9 et gestion de crise<\/td>\nAlignement mod\u00e9r\u00e9.<\/strong> Les trois exigent une planification de la continuit\u00e9. DORA ajoute des exigences sp\u00e9cifiques de test de continuit\u00e9 ICT incluant des tests bas\u00e9s sur des sc\u00e9narios. NIS2 inclut des consid\u00e9rations de continuit\u00e9 de la cha\u00eene d’approvisionnement.<\/td>\n<\/tr>\n
Cha\u00eene d’approvisionnement \/ Tiers<\/strong><\/td>\nA.15 \u2014 Relations avec les fournisseurs<\/td>\nArticles 28\u201330 \u2014 Gestion des risques li\u00e9s aux tiers ICT (exigences contractuelles d\u00e9taill\u00e9es, risque de concentration, surveillance des tiers critiques)<\/td>\nArticle 21(2)(d) \u2014 S\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement<\/td>\nDivergence significative.<\/strong> DORA a les exigences les plus \u00e9tendues incluant un cadre de surveillance pour les prestataires ICT tiers critiques. NIS2 exige une \u00e9valuation des risques de la cha\u00eene d’approvisionnement. ISO 27001 A.15 fournit la base mais est moins prescriptif. Les exigences DORA vont substantiellement au-del\u00e0 d’ISO 27001.<\/td>\n<\/tr>\n
Cryptographie<\/strong><\/td>\nA.10 \u2014 Cryptographie<\/td>\nArticle 9(4)(d) \u2014 Contr\u00f4les de chiffrement et cryptographiques<\/td>\nArticle 21(2)(h) \u2014 Politiques et proc\u00e9dures sur la cryptographie et le chiffrement<\/td>\nAlignement fort.<\/strong> Les trois exigent des contr\u00f4les cryptographiques et la gestion des cl\u00e9s. NIS2 mentionne explicitement le chiffrement. Impl\u00e9menter les contr\u00f4les A.10 de mani\u00e8re compl\u00e8te pour satisfaire les trois.<\/td>\n<\/tr>\n
Gestion des vuln\u00e9rabilit\u00e9s<\/strong><\/td>\nA.12.6 \u2014 Gestion des vuln\u00e9rabilit\u00e9s techniques<\/td>\nArticle 9(3) \u2014 Les syst\u00e8mes ICT doivent \u00eatre continuellement surveill\u00e9s et contr\u00f4l\u00e9s pour les vuln\u00e9rabilit\u00e9s<\/td>\nArticle 21(2)(e) \u2014 Gestion et divulgation des vuln\u00e9rabilit\u00e9s<\/td>\nAlignement mod\u00e9r\u00e9.<\/strong> Les trois exigent la gestion des vuln\u00e9rabilit\u00e9s. NIS2 ajoute des exigences explicites de divulgation<\/strong> des vuln\u00e9rabilit\u00e9s. DORA exige une surveillance continue. ISO 27001 fournit la base processus.<\/td>\n<\/tr>\n
Journalisation et surveillance<\/strong><\/td>\nA.12.4 \u2014 Journalisation et surveillance<\/td>\nArticle 9(4)(b) \u2014 Surveillance et journalisation des op\u00e9rations ICT ; Article 10 \u2014 D\u00e9tection<\/td>\nArticle 21(2)(b) \u2014 Gestion des incidents (n\u00e9cessite une capacit\u00e9 de d\u00e9tection)<\/td>\nAlignement mod\u00e9r\u00e9.<\/strong> Les trois exigent la journalisation et la surveillance. DORA a les exigences les plus sp\u00e9cifiques pour la surveillance des op\u00e9rations ICT et la d\u00e9tection d’anomalies. ISO 27001 A.12.4 fournit le cadre de base.<\/td>\n<\/tr>\n
Tests de s\u00e9curit\u00e9<\/strong><\/td>\nA.14.2.8 \u2014 Tests de s\u00e9curit\u00e9 des syst\u00e8mes<\/td>\nArticles 24\u201327 \u2014 Tests de r\u00e9silience op\u00e9rationnelle num\u00e9rique (incluant les tests avanc\u00e9s de p\u00e9n\u00e9tration bas\u00e9s sur les menaces \u2014 TLPT)<\/td>\nArticle 21(2)(f) \u2014 Politiques et proc\u00e9dures pour \u00e9valuer l’efficacit\u00e9 des mesures de gestion des risques de cybers\u00e9curit\u00e9<\/td>\nDivergence significative.<\/strong> DORA a les exigences de test les plus prescriptives incluant le TLPT obligatoire pour les entit\u00e9s financi\u00e8res significatives. NIS2 exige l’\u00e9valuation de l’efficacit\u00e9. ISO 27001 exige des tests de s\u00e9curit\u00e9 mais avec moins de sp\u00e9cificit\u00e9. Les exigences de test DORA vont substantiellement au-del\u00e0 d’ISO 27001.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

O\u00f9 les cadres s’alignent \u2014 Impl\u00e9menter une fois, documenter une fois<\/h2>\n

Les domaines de contr\u00f4le suivants pr\u00e9sentent un alignement suffisant pour qu’un seul contr\u00f4le bien impl\u00e9ment\u00e9 puisse satisfaire les trois cadres simultan\u00e9ment :<\/p>\n