1. Le paysage réglementaire cyber en France en 2025

La France et l’Union Européenne ont considérablement renforcé les obligations réglementaires en matière de cybersécurité au cours des dernières années. Pour les organisations françaises, le tableau de bord réglementaire inclut désormais :

• RGPD (2018) : protection des données personnelles, obligatoire pour toute organisation traitant des données de résidents européens.
• LPM / Loi de Programmation Militaire (2013, renforcée en 2019) : obligations spécifiques pour les OIV (Opérateurs d’Importance Vitale).
• Directive NIS1 transposée en 2018, NIS2 transposée en France en 2024 : exigences de sécurité pour les opérateurs de services essentiels et les fournisseurs numériques.
• DORA (2025) : résilience opérationnelle numérique pour les entités financières.
• ISO 27001:2022 : norme internationale de référence, exigée par de nombreux donneurs d’ordre.
• PCI-DSS v4 (2024) : obligatoire pour toute organisation traitant des données de cartes bancaires.

Face à cette accumulation, la bonne nouvelle est que ces référentiels partagent de nombreux contrôles. Une approche structurée permet de satisfaire plusieurs cadres simultanément.

2. ISO 27001:2022 : les contrôles clés et comment les adresser

La version 2022 d’ISO 27001 introduit 11 nouveaux contrôles par rapport à la version 2013, structurés en 4 domaines et 93 contrôles au total (contre 114 dans la version 2013). Les contrôles les plus directement liés aux audits techniques sont :

Domaine A.8 — Contrôles technologiques (nouveaux en 2022)

• A.8.8 : Gestion des vulnérabilités techniques — exige un processus d’identification et de remédiation des vulnérabilités. Un scanner agentless automatisé répond directement à cette exigence.
• A.8.25 : Cycle de vie du développement sécurisé — sécurité intégrée dans le SDLC.
• A.8.29 : Tests de sécurité dans le développement et l’acceptation — inclut les tests OWASP.
• A.8.9 : Gestion de la configuration — suivi des configurations sécurisées.

Domaine A.12 — Sécurité des opérations

• A.12.6 : Gestion des vulnérabilités techniques — audit régulier des systèmes.
• A.12.7 : Considérations d’audit des systèmes d’information.

Pour la certification ISO 27001, un organisme de certification accrédité évalue votre SMSI (Système de Management de la Sécurité de l’Information). Les preuves documentaires d’audits réguliers et de remédiation des vulnérabilités constituent des éléments clés de l’audit de certification.

3. RGPD : ce que la cybersécurité technique doit couvrir

Le RGPD n’est pas seulement un texte juridique sur les consentements et les droits des personnes. L’article 32 impose explicitement des « mesures techniques et organisationnelles appropriées » pour assurer la sécurité des données personnelles. En pratique, voici ce que cela implique techniquement :

Article 32 — Sécurité du traitement

• Chiffrement des données personnelles : les données doivent être chiffrées au repos et en transit. L’utilisation de protocoles TLS à jour est une obligation, pas une option.
• Confidentialité, intégrité et disponibilité : les trois piliers de la sécurité de l’information doivent être assurés pour les traitements de données personnelles.
• Capacité à rétablir la disponibilité : plans de continuité et de reprise d’activité documentés.
• Évaluation régulière de l’efficacité des mesures : obligation explicite d’audits de sécurité réguliers. Un scanner agentless répond directement à cette exigence.

Notification des violations (article 33)

En cas de violation de données personnelles, l’organisation dispose de 72 heures pour notifier la CNIL. La détection rapide des vulnérabilités — avant qu’elles ne soient exploitées — est donc directement liée au respect de cette obligation.

Privacy by Design (article 25)

La protection des données doit être intégrée dès la conception des systèmes, pas ajoutée en couche ultérieure. Cela inclut les headers de sécurité HTTP, les politiques CORS, les mécanismes d’authentification robustes — autant d’éléments détectables par un scanner agentless.

4. PCI-DSS v4 : les nouvelles exigences techniques de 2024

La version 4.0 de PCI-DSS, obligatoire depuis mars 2024, introduit des changements significatifs. Pour les organisations traitant des données de cartes bancaires, voici les exigences les plus directement liées aux audits techniques :

Exigence 2 — Ne pas utiliser les paramètres de sécurité par défaut des fournisseurs

Tous les composants système doivent être configurés de manière sécurisée, avec suppression des comptes, mots de passe et paramètres par défaut. Un scanner agentless détecte les configurations par défaut exposées.

Exigence 4 — Protéger les données du titulaire de carte en cours de transmission

Chiffrement fort des transmissions, interdiction de TLS 1.0 et 1.1, certificats valides. Contrôle directement couvert par les modules SSL/TLS d’un scanner agentless.

Exigence 6 — Développer et maintenir des systèmes et des logiciels sécurisés

La v4 renforce les exigences de sécurité des applications web, incluant explicitement la protection contre les vulnérabilités OWASP Top 10. Les tests de sécurité doivent être documentés et réguliers.

Exigence 11 — Tester régulièrement la sécurité des systèmes et des réseaux

Tests de vulnérabilités au moins tous les trimestres, et après chaque changement significatif. Tests de pénétration annuels. Les scans agentless automatisés répondent à l’exigence trimestrielle.

5. ANSSI RGS et LPM : les obligations spécifiques pour les OIV

Les Opérateurs d’Importance Vitale (OIV) font l’objet d’obligations de cybersécurité parmi les plus strictes en France, définies par la Loi de Programmation Militaire et les arrêtés sectoriels associés.

Référentiel Général de Sécurité (RGS)

Le RGS définit les exigences cryptographiques pour les systèmes d’information de l’État et des opérateurs régulés. La version v2 intègre désormais des recommandations sur la cryptographie post-quantique, avec un horizon de migration fixé à 2030 pour les systèmes les plus critiques.

Sur le plan cryptographique, le RGS exige des algorithmes de chiffrement de niveau suffisant — ce qui, en perspective post-quantique, signifie la migration progressive vers ML-KEM et ML-DSA. Kapelgy implémente ML-KEM-1024, aligné sur les recommandations ANSSI 2024-2030.

Qualification ANSSI

Les OIV doivent utiliser des produits de sécurité qualifiés par l’ANSSI pour les fonctions critiques. La qualification ANSSI est un processus d’évaluation rigoureux attestant du niveau de confiance d’un produit de sécurité.

Homologation des SI

Les systèmes d’information des OIV doivent faire l’objet d’une homologation de sécurité, processus documenté démontrant que les risques résiduels sont acceptés en connaissance de cause par l’autorité d’homologation.

6. NIS2 : qui est concerné et que faire maintenant

La directive NIS2, transposée en France en 2024, est la mise à jour la plus significative du paysage réglementaire cyber européen depuis le RGPD. Elle concerne potentiellement 15 000 entités françaises selon l’ANSSI.

Qui est concerné ?

NIS2 distingue les Entités Essentielles (EE) et les Entités Importantes (EI) dans 18 secteurs, dont : énergie, transport, banque, infrastructure des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, services gérés TIC, espace, administration publique, services postaux, gestion des déchets, fabrication de produits critiques, production alimentaire, industrie chimique, recherche.

Quelles obligations techniques ?

L’article 21 de NIS2 impose des « mesures techniques, opérationnelles et organisationnelles appropriées » incluant :

• Gestion des risques et des incidents de sécurité
• Sécurité de la chaîne d’approvisionnement
• Sécurité dans l’acquisition, le développement et la maintenance des systèmes
• Politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques
• Utilisation de la cryptographie et, le cas échéant, du chiffrement

Sanctions NIS2

Les entités essentielles s’exposent à des amendes allant jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial annuel. Les entités importantes jusqu’à 7 millions d’euros ou 1,4% du CA mondial.

7. Chevauchements et synergies : adresser plusieurs référentiels simultanément

La bonne nouvelle est que ISO 27001, RGPD, PCI-DSS et ANSSI partagent de nombreux contrôles. Voici les synergies les plus importantes :

• Gestion des vulnérabilités : exigée par ISO 27001 A.8.8, PCI-DSS Exigence 11, RGPD Article 32, NIS2 Article 21. Un processus d’audit agentless continu satisfait simultanément ces quatre cadres.
• Chiffrement en transit : exigé par ISO 27001 A.10, PCI-DSS Exigence 4, RGPD Article 32, ANSSI RGS. L’audit des configurations TLS couvre tous ces référentiels.
• Authentification forte : ISO 27001 A.9, PCI-DSS Exigence 8, ANSSI RGS. Un contrôle, plusieurs conformités.
• Journalisation et traçabilité : ISO 27001 A.12.4, PCI-DSS Exigence 10, NIS2 Article 21.
• Tests de sécurité réguliers : ISO 27001 A.12.6, PCI-DSS Exigence 11, NIS2 Article 21, ANSSI RGS.

Un outil qui mappe automatiquement les résultats d’audit aux contrôles de chaque référentiel évite de répéter l’analyse pour chaque framework.

8. Automatiser le suivi de conformité : l’approche continuous compliance

La conformité réglementaire n’est pas un projet ponctuel mais un état à maintenir en permanence. L’approche continuous compliance consiste à automatiser la surveillance et la remontée des indicateurs de conformité pour que l’état de conformité soit connu à tout moment, sans attendre un audit annuel.

Les composantes d’une approche continuous compliance :

• Scans de sécurité automatisés : audit agentless planifié (quotidien, hebdomadaire) avec mapping automatique aux contrôles réglementaires.
• Tableaux de bord de conformité : vision en temps réel du score de conformité par référentiel (ISO 27001, RGPD, PCI-DSS, ANSSI), avec historique et tendances.
• Alertes de non-conformité : notification immédiate dès qu’une nouvelle vulnérabilité crée un écart de conformité.
• Rapports auditables : génération automatique de rapports structurés exportables pour les auditeurs externes et les organismes de certification.
• Gestion des preuves : archivage automatique des résultats d’audit pour constituer le dossier de preuves exigé par les certificateurs.

9. Comment Kapelgy mappe les audits aux référentiels de conformité

 » class= »article-cta-link »>Voir les tableaux de bord de conformité Kapelgy en démo →