Fait partie de notre série Compliance & Regulation
Lire le guide completExigences réglementaires en matière de cybersécurité par région : une carte de conformité pour les entreprises mondiales
Plus de 70 pays ont adopté ou mis à jour des réglementations en matière de cybersécurité depuis 2023. Le paysage réglementaire évolue plus rapidement que la plupart des entreprises ne peuvent le suivre. Ce qui était une orientation volontaire il y a deux ans est désormais une loi exécutoire assortie de sanctions importantes. Ce guide cartographie les exigences réglementaires en matière de cybersécurité dans les principales régions, aidant ainsi les entreprises mondiales à comprendre leurs obligations et à prioriser leur conformité.
Points clés à retenir
- NIS2 (UE) a étendu les obligations de cybersécurité à plus de 160 000 organisations, avec responsabilité personnelle pour la direction
- Les règles de divulgation de la SEC en matière de cybersécurité exigent que les entreprises publiques américaines signalent les incidents importants dans un délai de 4 jours ouvrables.
- Les réglementations de l'APAC varient considérablement : Singapour et l'Australie sont en tête, tandis que d'autres élaborent encore des cadres.
- Un cadre de sécurité unifié (ISO 27001 ou NIST CSF) satisfait 60 à 80 % des exigences régionales à l'échelle mondiale
Carte réglementaire régionale
Union européenne
| Réglementation | Efficace | Portée | Exigences clés | Pénalités |
|---|---|---|---|---|
| Directive NIS2 | octobre 2024 | Entités essentielles et importantes (18 secteurs) | Gestion des risques, reporting d'incidents (24h/72h), sécurité de la chaîne d'approvisionnement, responsabilité de gestion | 10 MEUR ou 2 % de chiffre d'affaires (essentiel), 7 MEUR ou 1,4 % (important) |
| DORA | janvier 2025 | Secteur financier (banques, assurances, investissements, fournisseurs de TIC) | Gestion des risques TIC, classification/rapport d'incidents, tests de résilience, risque tiers | Proportionné à la taille de l'entité |
| Loi sur la cyber-résilience | 2027 (par étapes) | Produits avec éléments numériques | Sécurisé par conception, gestion des vulnérabilités, SBOM, marquage CE | 15 MEUR soit 2,5% de chiffre d'affaires |
| RGPD (aspects sécurité) | 2018 | Toute organisation traitant des données personnelles de l'UE | "Mesures techniques et organisationnelles appropriées" | 20 MEUR ou 4% de chiffre d'affaires |
Changements de clé NIS2 par rapport à NIS1 :
- Extension de ~10 000 à ~160 000 organisations
- Organes de direction personnellement responsables du respect
- "Alerte précoce" obligatoire 24 heures sur 24 en cas d'incidents significatifs
- Exigences de sécurité de la chaîne d'approvisionnement
- Pénalités minimales de 10 millions d'euros pour les entités essentielles
États-Unis
| Réglementation | Efficace | Portée | Exigences clés | Pénalités |
|---|---|---|---|---|
| Règles de cybersécurité de la SEC | décembre 2023 | Entreprises publiques américaines | Divulgation des incidents importants (4 jours ouvrables), rapport annuel sur la gouvernance des risques | Mesures d'application de la SEC |
| Déclaration CISA (CIRCIA) | 2026 (proposé) | Infrastructure critique (16 secteurs) | Rapports d'incidents 72 heures sur 72, rapports sur les paiements de ransomwares 24 heures sur 24 | Sanctions civiles |
| Loi FTC (article 5) | En cours | Entreprises exerçant une activité commerciale | Pratiques de sécurité « raisonnables », application des pratiques « déloyales » | Varie (ordonnances sur consentement, amendes) |
| Lois des États sur la confidentialité (CA, CO, CT, VA, etc.) | Divers | Entreprises atteignant les seuils de l'État | Pratiques de sécurité, notification de violation (varie selon l'État) | Application de l'AG par l'État |
| Règle de sécurité HIPAA | 2005 (mis à jour) | Entités de santé et partenaires commerciaux | Garanties administratives, physiques et techniques pour les PHI | Jusqu'à 1,9 million de dollars par catégorie de violation par an |
| Règle de sauvegarde GLBA | Mis à jour 2023 | Institutions financières | Évaluation des risques, contrôles d'accès, MFA, chiffrement, réponse aux incidents | Application de la loi par les agences fédérales |
Royaume-Uni
| Réglementation | Efficace | Portée | Exigences clés | Pénalités |
|---|---|---|---|---|
| Règlements NIS du Royaume-Uni | 2018 (mis à jour) | Services essentiels, services numériques | Gestion des risques, reporting d'incidents, supply chain | 17 millions de livres sterling |
| RGPD Royaume-Uni | 2021 | Organisations traitant les données des résidents du Royaume-Uni | Mesures de sécurité, notification de violation (72 heures) | 17,5 millions de livres sterling ou 4 % de chiffre d'affaires |
| Exigences FCA | En cours | Entreprises de services financiers | Résilience opérationnelle, reporting d'incidents, risque tiers | Application de la FCA |
| Projet de loi sur la cybersécurité et la résilience | 2025-2026 | Élargi par rapport à la portée actuelle du NIS | Amélioration des rapports d'incidents et exigences de la chaîne d'approvisionnement | À déterminer |
Asie-Pacifique
| Pays | Réglementation | Exigences clés | Pénalités |
|---|---|---|---|
| Singapour | Loi sur la cybersécurité 2018 | Opérateurs CII : reporting d'incidents, audits, évaluations des risques | 100 000 SGD |
| Australie | Loi SOCI 2022 (modifiée) | Infrastructure critique : gestion des risques, reporting d'incidents (12-72h) | Sanctions civiles |
| Japon | Loi sur la sécurité économique 2022 | Infrastructure critique : contrôle de la chaîne d'approvisionnement | Arrêtés administratifs |
| Corée du Sud | Loi sur les réseaux + PIPA | Notification de violation de données, mesures de sécurité | 50 millions de KRW + 3% de chiffre d'affaires |
| Inde | CERT-In Directions 2022 | Rapport d'incident dans les 6 heures, conservation des journaux (180 jours) | Emprisonnement + amendes |
| Chine | CSL + DSL + PIPL | Infrastructure critique : localisation, examens de sécurité, rapports d'incidents | Jusqu'à 5 % de revenus |
Moyen-Orient et Afrique
| Pays | Réglementation | Exigences clés | Pénalités |
|---|---|---|---|
| EAU | Normes NESA + PDPL | Infrastructure critique : contrôles de sécurité, rapports d'incidents | Amendes + révocation de permis |
| Arabie Saoudite | Cadre ECC NCA | Gouvernement/critique : évaluations de conformité, surveillance | Application de la réglementation |
| Afrique du Sud | POPIA + ECTA | Mesures de sécurité, notification de violation | 10 millions ZAR ou emprisonnement |
| Kenya | Loi sur la protection des données 2019 | Mesures de sécurité, notification de violation | KSh 5M ou 1% de chiffre d'affaires |
Créer un cadre de conformité universel
Mapper les contrôles aux réglementations
Au lieu de mettre en œuvre des contrôles distincts pour chaque réglementation, construisez un cadre unifié :
| Domaine de contrôle | NIS2 | SEC | DORA | NIS britannique | Singapour CSA |
|---|---|---|---|---|---|
| Évaluation des risques | Obligatoire | Obligatoire | Obligatoire | Obligatoire | Obligatoire |
| Plan de réponse aux incidents | Obligatoire | Divulgué | Obligatoire | Obligatoire | Obligatoire |
| Rapport d'incident | 24h/72h | 4 autobus. jours | Basé sur la classification | 72 heures | Obligatoire |
| Sécurité de la chaîne d'approvisionnement | Obligatoire | Divulgué | Obligatoire | Obligatoire | Recommandé |
| MFA / contrôle d'accès | Obligatoire | Recommandé | Obligatoire | Obligatoire | Obligatoire |
| Cryptage | Obligatoire | Recommandé | Obligatoire | Obligatoire | Obligatoire |
| Tests d'intrusion | Obligatoire | Recommandé | Requis chaque année | Obligatoire | Obligatoire |
| Surveillance du conseil d'administration | Obligatoire (responsabilité personnelle) | Obligatoire (divulgation) | Obligatoire | Recommandé | Recommandé |
| Formation de sensibilisation à la sécurité | Obligatoire | Recommandé | Obligatoire | Obligatoire | Obligatoire |
| Continuité des activités | Obligatoire | Divulgué | Obligatoire (test de résilience) | Obligatoire | Obligatoire |
Cadre de base recommandé
Commencez par NIST Cybersecurity Framework 2.0 ou ISO 27001:2022 comme base :
- NIST CSF 2.0 : gratuit, flexible, largement reconnu aux États-Unis et à l'international
- ISO 27001 : Certifiable, préféré dans l'UE et par les entreprises clientes
Les deux cadres couvrent les principaux domaines de contrôle requis par la plupart des réglementations. Ajoutez des exigences réglementaires spécifiques (délais de reporting, formats de documentation) en haut.
Comparaison des rapports d'incidents
| Juridiction | Date limite de déclaration | Signaler à | Contenu requis |
|---|---|---|---|
| UE (NEI2) | Alerte précoce 24 heures, 72 heures complètes | CSIRT/autorité nationale | Impact, indicateurs, impact transfrontalier |
| UE (RGPD) | 72 heures (à l'autorité), « sans retard injustifié » (aux particuliers en cas de risque élevé) | Autorité de contrôle | Nature, catégories, relevés approximatifs, conséquences, mesures |
| UE (DORA) | Dépend du classement (1h à 1 mois) | Autorité de surveillance financière | Détails basés sur la classification |
| États-Unis (SEC) | 4 jours ouvrables (incidents importants) | Dépôt auprès de la SEC (8-K) | Nature, portée, calendrier, impact matériel |
| États-Unis (CISA) | Incidents 72 heures, ransomware 24 heures | CISA | Détails de l'incident, impact, indicateurs |
| Royaume-Uni (NIS) | 72 heures | NCSC/autorité compétente | Analyse d'impact, mesures prises |
| Inde (CERT-In) | 6 heures | CERT-In | Type d'incident, systèmes concernés, impact |
| Australie (SOCI) | 12h (critique), 72h (significatif) | ACSC | Impact, actions de réponse, indicateurs |
| Singapour (CSA) | Délai prescrit | ASC | Détails de l'incident, impact, réponse |
Priorisation de la conformité
Pour les entreprises opérant dans plusieurs régions
- Mettre en œuvre la norme ISO 27001 ou NIST CSF comme base (satisfait à 60 à 80 % de toutes les exigences)
- Cartographier les lacunes réglementaires pour chaque juridiction dans laquelle vous exercez vos activités
- Établissez la priorité en fonction de la gravité des sanctions : les règles de l'UE (NIS2/GDPR) et de la SEC entraînent les sanctions les plus élevées.
- Harmoniser le reporting : créer un processus de reporting d'incidents qui respecte le délai le plus strict (6 heures pour l'Inde) et adapter les résultats pour chaque autorité
- Documentez tout : la plupart des réglementations exigent une conformité démontrable, pas seulement la sécurité.
Questions fréquemment posées
NIS2 s'applique-t-il à notre entreprise ?
NIS2 s'applique si vous opérez dans l'UE et appartenez à l'un des 18 secteurs (énergie, transports, banque, soins de santé, infrastructures numériques, administration publique, espace, poste, déchets, alimentation, fabrication, produits chimiques, recherche et services TIC). Les entités essentielles sont de grandes entreprises dans des secteurs critiques. Les entités importantes sont les moyennes entreprises de ces secteurs. Le champ d'application élargi couvre bien plus d'entreprises que NIS1. Même si vous n'êtes pas directement concerné, vos clients peuvent exiger la conformité NIS2 de leur chaîne d'approvisionnement.
Comment pouvons-nous nous conformer aux réglementations en matière de cybersécurité dans plusieurs pays ?
Créez un cadre de sécurité unifié (ISO 27001 ou NIST CSF) qui couvre les exigences communes. Créez un document de cartographie réglementaire qui montre quels contrôles-cadres satisfont à quelles réglementations. Pour les exigences propres à des juridictions spécifiques (échéanciers de déclaration, formats de documentation), créez des addenda à votre cadre de base. C’est bien plus efficace que de créer des programmes de conformité distincts.
Existe-t-il des exigences en matière de cybersécurité pour les systèmes ERP en particulier ?
Ce n'est pas spécifique à l'ERP, mais les systèmes ERP relèvent généralement de plusieurs champs d'application réglementaires car ils traitent des données financières (SOX, DORA), des données personnelles (RGPD, NIS2) et sont souvent considérés comme des systèmes commerciaux critiques. Assurez-vous que votre ERP dispose : d'un contrôle d'accès basé sur les rôles, d'une journalisation d'audit, d'un chiffrement, de correctifs réguliers et de procédures de réponse aux incidents. ECOSIRE fournit un renforcement de la sécurité Odoo qui répond à ces exigences.
Ce qui vient ensuite
La conformité réglementaire en matière de cybersécurité est une dimension de votre programme de gouvernance. Combinez-le avec gouvernance des données pour les réglementations spécifiques aux données, confidentialité des données des employés pour les données sur le personnel et mise en œuvre du consentement aux cookies pour les propriétés Web.
Contactez ECOSIRE pour des conseils en matière de conformité en matière de cybersécurité dans plusieurs juridictions.
Publié par ECOSIRE – aider les entreprises à s'orienter dans le paysage réglementaire mondial.
Rédigé par
ECOSIRE Research and Development Team
Création de produits numériques de niveau entreprise chez ECOSIRE. Partage d'analyses sur les intégrations Odoo, l'automatisation e-commerce et les solutions d'entreprise propulsées par l'IA.
Articles connexes
Meilleures pratiques de sécurité des agents IA : protection des systèmes autonomes
Guide complet sur la sécurisation des agents IA couvrant la défense contre les injections rapides, les limites d'autorisation, la protection des données, la journalisation d'audit et la sécurité opérationnelle.
Liste de contrôle pour la préparation d'un audit : comment votre ERP rend les audits 60 % plus rapides
Compléter la liste de contrôle de préparation à l’audit à l’aide des systèmes ERP. Réduisez le temps d’audit de 60 % grâce à une documentation, des contrôles et une collecte automatisée de preuves appropriés.
Meilleures pratiques de sécurité cloud pour les PME : protégez votre cloud sans équipe de sécurité
Sécurisez votre infrastructure cloud avec les meilleures pratiques pratiques en matière d'IAM, de protection des données, de surveillance et de conformité que les PME peuvent mettre en œuvre sans équipe de sécurité dédiée.
Plus de Compliance & Regulation
Liste de contrôle pour la préparation d'un audit : comment votre ERP rend les audits 60 % plus rapides
Compléter la liste de contrôle de préparation à l’audit à l’aide des systèmes ERP. Réduisez le temps d’audit de 60 % grâce à une documentation, des contrôles et une collecte automatisée de preuves appropriés.
Guide de mise en œuvre du consentement aux cookies : gestion du consentement conforme à la loi
Mettez en œuvre un consentement aux cookies conforme au RGPD, à l'ePrivacy, au CCPA et aux réglementations mondiales. Couvre les bannières de consentement, la catégorisation des cookies et l'intégration CMP.
Réglementation sur le transfert de données transfrontalier : naviguer dans les flux de données internationaux
Parcourez les réglementations en matière de transfert de données transfrontalier avec les SCC, les décisions d'adéquation, les BCR et les évaluations d'impact des transferts pour la conformité au RGPD, au Royaume-Uni et à l'APAC.
Gouvernance et conformité des données : le guide complet pour les entreprises technologiques
Guide complet de gouvernance des données couvrant les cadres de conformité, la classification des données, les politiques de conservation, les réglementations en matière de confidentialité et les feuilles de route de mise en œuvre pour les entreprises technologiques.
Politiques de conservation des données et automatisation : conservez ce dont vous avez besoin, supprimez ce dont vous avez besoin
Créez des politiques de conservation des données avec des exigences légales, des calendriers de conservation, une application automatisée et une vérification de la conformité au RGPD, SOX et HIPAA.
Gestion de la confidentialité des données des employés : équilibrer les besoins en ressources humaines et les droits à la vie privée
Gérez la confidentialité des données des employés avec les exigences du RGPD, les motifs de traitement des données RH, les politiques de surveillance, les transferts transfrontaliers et les meilleures pratiques de conservation.