4 mai 2026 Rétrospectives Timothée

DORA & NIS2 : comment prouver la maîtrise de votre surface d'attaque externe ?

En bref : DORA (en vigueur depuis le 17 janvier 2025) et NIS2 (transposé en droit national depuis octobre 2024) partagent une exigence commune : prouver une maîtrise continue et documentée de la surface d'attaque externe. Ce n'est plus une option technique. C'est une obligation réglementaire — avec des sanctions qui atteignent le COMEX.

Ce que les premiers contrôles ont révélé

Depuis janvier 2025, les premières mises en demeure DORA sont tombées. Le schéma est toujours le même : des organisations qui pensaient être conformes, mais qui n'ont pas su produire les preuves attendues. Inventaires statiques, alertes sans horodatage, rapports de pentest annuels présentés comme preuve de résilience continue. L'ACPR et l'AMF ne cherchent pas à savoir si vous êtes vulnérable — elles veulent vérifier si vous le savez vous-même, et si vous en gardez la trace.

C'est là le vrai changement de posture réglementaire. DORA et NIS2 ne demandent plus de "faire de son mieux". Ils imposent de démontrer, à tout moment, que vous savez ce qui est exposé et comment vous le gérez. La charge de la preuve s'est inversée.

Les chiffres confirment pourquoi. Selon le Verizon Data Breach Investigations Report 2024, l'exploitation de failles comme point d'entrée initial a progressé de 180 % en un an. Les incidents liés à la chaîne d'approvisionnement représentent désormais 15 % des cas, contre 9 % l'année précédente. Ce que les régulateurs ont intégré, et que beaucoup d'équipes sécurité n'ont pas encore traduit en processus documenté.

Ce que DORA exige sur votre infrastructure numérique

Le Digital Operational Resilience Act s'applique depuis le 17 janvier 2025 à l'ensemble du secteur financier européen : banques, assurances, gestionnaires d'actifs, établissements de paiement — et leurs prestataires de services TIC critiques. Plus de 22 000 entités concernées.

Cinq chapitres touchent directement la gestion de la surface d'attaque externe :

Chapitre DORA Exigence Preuve attendue
Ch. II – Gestion du risque TIC Identifier et surveiller les risques en continu Inventaire à jour des actifs exposés, y compris le shadow IT
Ch. III – Gestion des incidents Détecter et classer les incidents TIC Réduction du délai de détection, alertes horodatées
Ch. IV – Tests de résilience Tests réguliers et documentés Tests d'intrusion continus basés sur l'exposition réelle
Ch. V – Risques prestataires Maîtriser le risque fournisseurs Surveillance des actifs tiers exposés (SaaS, hébergement)
Ch. VI – Partage d'informations Partager des indicateurs de menaces Données exploitables sur les failles et tendances

Sanction en cas de non-conformité : jusqu'à 1 % du chiffre d'affaires mondial quotidien pour les prestataires TIC critiques. L'ACPR, l'AMF, l'ESMA et l'EBA disposent d'un pouvoir de mise en demeure renforcé — et l'utilisent.

Ce que NIS2 impose — y compris à vos dirigeants

Si DORA cible le secteur financier, NIS2 va plus loin sur un point précis : elle engage la responsabilité personnelle des dirigeants. C'est un changement de fond qui n'a pas encore été pleinement intégré dans les COMEX.

La directive s'applique depuis octobre 2024 à deux catégories d'organisations :

  • Entités essentielles : énergie, transport, santé, banques, infrastructure numérique, administrations publiques

  • Entités importantes : services postaux, agroalimentaire, fabrication, prestataires numériques

Toute structure de plus de 50 salariés ou 10 M€ de chiffre d'affaires dans ces secteurs est concernée. En Europe, ce sont plus de 100 000 organisations — contre 15 000 sous NIS1.

Les 3 exigences clés pour votre surface d'attaque

1. Gestion des risques (Art. 21)

NIS2 impose de mettre en place des mesures concrètes en matière de cybersécurité : analyse des risques, gestion des failles et des mises à jour de sécurité, protection des données personnelles, surveillance continue des systèmes. Vous devez pouvoir démontrer à tout moment quels actifs de votre surface d'attaque sont exposés, quelles failles les touchent, lesquelles sont réellement exploitables, et comment elles sont traitées. Pas dans un rapport annuel — en temps réel.

2. Réponse aux incidents et notification sous 24 heures (Art. 23)

La gestion des incidents est désormais soumise à des délais stricts : toute organisation doit notifier un incident significatif dans les 24 heures après détection, envoyer une notification formelle sous 72 heures, puis un rapport final sous un mois. Ces délais sont impossibles à tenir sans surveillance continue et cartographie à jour de la surface d'attaque. Un scan trimestriel ne suffit plus — et lors des premiers contrôles, c'est précisément ce point qui a mis les organisations en difficulté.

3. Gestion de la chaîne d'approvisionnement

La gestion de la chaîne d'approvisionnement est désormais une obligation réglementaire explicite. Chaque entité est responsable du niveau de sécurité de ses fournisseurs critiques. Identifier les prestataires TIC, évaluer leur exposition, surveiller leur surface d'attaque : tout cela fait partie du périmètre réglementaire. Selon l'ENISA Threat Landscape 2024, 60 % des incidents majeurs de 2024-2025 sont passés par un fournisseur tiers.

Sanctions NIS2 : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles ; jusqu'à 7 M€ ou 1,4 % pour les entités importantes. Les dirigeants qui n'ont pas mis en place les mesures requises peuvent être interdits temporairement d'exercer leur fonctio

DORA vs NIS2 : ce qui change selon votre secteur

Critere DORA NIS2
Nature Reglement (application directe) Directive (transposition nationale)
Secteur cible Secteur financier 18 secteurs critiques
En vigueur depuis 17 janvier 2025 Octobre 2024
Surface d'attaque Exigence implicite (Ch. II, IV, V) Exigence explicite (Art. 21)
Sanctions max. 1 % du CA quotidien 10 M€ ou 2 % du CA mondial
Responsabilite dirigeants Indirecte Directe et personnelle

Si vous êtes une banque, vous êtes soumis aux deux textes simultanément. Leurs exigences se cumulent.

Les 5 piliers d'une mise en conformité réussie

Ce que cherche concrètement un auditeur ACPR ou NIS2 lors d'un contrôle.

1 — Un inventaire continu de vos actifs exposés

Domaines, sous-domaines, adresses IP, APIs, services cloud, SaaS utilisés par vos équipes — sans oublier le shadow IT et les actifs liés à vos prestataires. L'inventaire doit être vivant, pas une liste figée mise à jour deux fois par an.

Preuve attendue : tableau de bord EASM horodaté avec historique de découverte

2 — Une priorisation basée sur le risque réel

Une liste brute de failles ne suffit pas. Ce que les régulateurs attendent : la preuve que vous croisez criticité métier, exposition sur Internet et exploitabilité réelle — notamment via des scores comme l'EPSS, qui mesure la probabilité d'exploitation active dans les 30 prochains jours.

Preuve attendue : scoring documenté avec contexte d'exposition, pas un CVSS générique

3 — Une surveillance continue, pas des audits ponctuels

La résilience opérationnelle ne se prouve pas avec un rapport daté de trois mois. Elle se mesure avec des alertes horodatées, un délai de détection documenté, et une tendance à l'amélioration visible dans la durée.

Preuve attendue : métriques de détection et de remédiation sur 12 mois glissants

4 — Des tests réguliers et documentés

DORA parle de tests de résilience opérationnelle, NIS2 d'évaluation de l'efficacité des mesures. Dans les deux cas, un pentest annuel ne couvre pas les 364 jours restants. Les régulateurs attendent des tests continus, pas des audits ponctuels.

Preuve attendue : rapports de tests avec retests documentés après chaque correction

5 — Des preuves lisibles pour les régulateurs

Un bon dossier de conformité doit être compréhensible par un juriste, un membre du COMEX et un auditeur externe — pas seulement par votre équipe sécurité. La forme compte autant que le fond pour convaincre un régulateur.

Preuve attendue : exports PDF/CSV mappés aux articles et chapitres réglementaires

Les 3 erreurs qui font échouer un audit

Erreur 1 — Confondre scan de failles et gestion de la surface d'attaque

Un scanner de failles analyse un périmètre que vous lui fournissez. Il ne découvre pas ce que vous ignorez. L'EASM cartographie en continu ce qui n'est pas dans votre inventaire : shadow IT, sous-domaines oubliés, actifs d'acquisitions récentes. Les auditeurs font la différence — et la notent.

Erreur 2 — Exclure les prestataires du périmètre

La gestion de la chaîne d'approvisionnement est dans le scope des deux textes. CRM SaaS, hébergeur, éditeurs logiciels : tous doivent être surveillés. Si votre prestataire est compromis, c'est votre responsabilité réglementaire qui est engagée.

Erreur 3 — Remettre un rapport illisible

Un export brut de plusieurs centaines de pages ne constitue pas une preuve de conformité. Ce qui convainc un auditeur : des données structurées, horodatées, et directement liées aux exigences réglementaires.

Comment Patrowl répond à ces exigences

Patrowl est une plateforme française d'External Attack Surface Management (EASM) et de tests de sécurité en continu, conçue pour la conformité réglementaire. Hébergée en France, certifiée CyberVadis (824/1000).

Ce qui distingue Patrowl dans un contexte DORA/NIS2 : chaque alerte est requalifiée manuellement par un analyste du CERT interne avant d'être transmise. Pas de flood de notifications, pas de faux positifs qui paralysent les équipes. Seulement ce qui compte vraiment — avec le contexte pour agir.

Concrètement, une organisation financière soumise à DORA peut déployer Patrowl et obtenir en 48 heures un premier état de sa surface d'attaque externe, mappé aux chapitres II, IV et V du règlement. Les actifs découverts, les failles priorisées par exploitabilité réelle (score EPSS), et les rapports exportables directement utilisables lors d'un contrôle ACPR.

Patrowl permet de :

  • Cartographier en continu tous les actifs exposés, y compris le shadow IT et les prestataires

  • Détecter les failles exploitables, requalifiées par des experts avant chaque alerte

  • Prioriser selon l'exploitabilité réelle et la criticité métier — pas seulement le score CVSS

  • Tester la résilience opérationnelle en continu via des pentests automatisés (PTaaS)

  • Produire des rapports audit-ready mappés aux exigences DORA et NIS2

  • Surveiller l'exposition externe de vos prestataires critiques

Conclusion : prouver, pas juste déclarer

DORA et NIS2 ne demandent pas à vos équipes d'être infaillibles. Ils demandent de prouver, en continu, que vous savez ce qui est exposé et comment vous le traitez. Les premiers contrôles l'ont confirmé : ce qui fait échouer les organisations, ce n'est pas l'absence de sécurité — c'est l'absence de preuves.

Trois points à retenir :

  1. La surface d'attaque externe est au cœur des deux textes — ce que vous ignorez vous expose autant que ce que vous connaissez.

  2. La preuve compte autant que la pratique — un inventaire non documenté, des alertes sans historique, des rapports illisibles ne passeront pas un contrôle.

  3. La chaîne d'approvisionnement est dans votre scope — surveiller vos propres actifs ne suffit plus si vous ignorez l'exposition de vos prestataires.

Passez à l'action

Demandez une cartographie  de votre surface d'attaque avec Patrowl. En 48 heures, vous recevez un rapport des actifs exposés et des failles exploitables, directement mappé aux exigences DORA et NIS2.

Nous contacter

FAQ

Mon organisation est-elle concernée par NIS2 si elle n'est pas dans le secteur financier ?
Oui, si vous dépassez 50 salariés ou 10 M€ de chiffre d'affaires et que vous opérez dans l'un des 18 secteurs couverts par NIS2 : énergie, transport, santé, eau, infrastructure numérique, services postaux, agroalimentaire, fabrication, prestataires numériques, ou administrations publiques. NIS2 s'applique à plus de 100 000 organisations en Europe — contre 15 000 sous NIS1. En cas de doute, l'ANSSI met à disposition un outil de vérification sur son site.
DORA et NIS2 se cumulent-ils ou l'un remplace-t-il l'autre ?
Ils se cumulent si vous êtes dans le secteur financier. Une banque, un assureur ou un établissement de paiement est soumis aux deux textes simultanément — et leurs exigences s'additionnent, elles ne se substituent pas. DORA est un règlement européen d'application directe, NIS2 est une directive transposée en droit national. En pratique, votre dossier de conformité doit pouvoir satisfaire les deux référentiels en même temps.
Un pentest annuel compte-il comme preuve de résilience continue ?
Non. Un pentest annuel couvre un périmètre figé à un instant T — il ne prouve rien sur les 364 jours restants. DORA (Ch. IV) et NIS2 (Art. 21) attendent des tests réguliers et documentés sur la base de l'exposition réelle et continue. Ce que cherchent les auditeurs : des rapports de tests horodatés, des retests documentés après chaque correction, et une tendance d'amélioration visible dans la durée. Un rapport PDF daté d'il y a 11 mois ne passe pas un contrôle ACPR.
Qu'est-ce qu'un inventaire d'actifs "vivant" — et comment le prouver à un auditeur ?
Un inventaire vivant est mis à jour en continu — pas manuellement deux fois par an. Il couvre l'ensemble des actifs exposés à internet : domaines, sous-domaines, IPs, APIs, services cloud, SaaS, shadow IT, et actifs liés à vos prestataires. Pour convaincre un auditeur, il vous faut un tableau de bord avec historique horodaté des découvertes, une trace des ajouts et suppressions d'actifs, et la capacité à produire un état de votre surface d'attaque à n'importe quelle date passée. Un tableur Excel mis à jour à la main ne satisfait pas ce critère.
Que se passe-t-il concrètement si mon organisation n'est pas conforme lors d'un contrôle ?
Le contrôleur (ACPR, AMF, ANSSI selon votre secteur) commence généralement par une mise en demeure avec un délai de mise en conformité. Si les manquements persistent, les sanctions financières s'appliquent : jusqu'à 1 % du chiffre d'affaires mondial quotidien sous DORA pour les prestataires TIC critiques, jusqu'à 10 M€ ou 2 % du CA mondial sous NIS2. Au-delà de l'amende, NIS2 prévoit l'interdiction temporaire d'exercer pour les dirigeants qui n'ont pas mis en place les mesures requises — une sanction personnelle qui commence à concentrer l'attention des COMEX.
Faut-il surveiller les prestataires SaaS ou seulement ses propres actifs ?
Les deux. DORA (Ch. V) et NIS2 (gestion de la chaîne d'approvisionnement) vous rendent explicitement responsables du niveau de sécurité de vos fournisseurs critiques. Cela inclut votre CRM SaaS, votre hébergeur, vos éditeurs logiciels, et tout prestataire ayant accès à vos systèmes ou données. Selon l'ENISA Threat Landscape 2024, 60 % des incidents majeurs de 2024-2025 sont passés par un fournisseur tiers. Surveiller uniquement vos propres actifs couvre moins de la moitié du risque réel.

Sources

  1. Verizon Data Breach Investigations Report 2024 — verizon.com/business/dbir

  2. ENISA Threat Landscape 2024 — enisa.europa.eu

  3. Règlement (UE) 2022/2554 — DORA — eur-lex.europa.eu

  4. Directive (UE) 2022/2555 — NIS2 — eur-lex.europa.eu

  5. ANSSI — Guide NIS2 — ssi.gouv.fr

Nos dernières actualités

Voir plus d'actualités