🎯 Pourquoi cette page ?
Les réglementations de sécurité (DORA, RGPD, LPM, NIS2) et les référentiels cloud (SecNumCloud) imposent des exigences précises aux entreprises. Architecte cloud certifié, j’accompagne les organisations dans la mise en conformité de leurs infrastructures cloud (AWS, Azure, GCP).
Les réglementations de sécurité (DORA, RGPD, LPM, NIS2) et les référentiels cloud (SecNumCloud) imposent des exigences précises aux entreprises. Architecte cloud certifié, j’accompagne les organisations dans la mise en conformité de leurs infrastructures cloud (AWS, Azure, GCP).
🏦 Union Européenne - 2023
🏦 DORA (Digital Operational Resilience Act)
Digital Operational Resilience Act – Règlement européen sur la résilience opérationnelle numérique du secteur financier (banques, assurances, investissement).
- Obligations : Gestion des risques ICT (Information and Communication Technology), tests de résilience, gestion des incidents, gestion des risques tiers (cloud, sous-traitants).
- Impact cloud : Les fournisseurs cloud (AWS, Azure, GCP) doivent respecter des exigences renforcées pour les entités financières.
- Mise en œuvre : Cartographie des services critiques, plans de continuité, tests d’intrusion réguliers, reporting incidents 4h.
📅 Date d’application : 17 janvier 2025.
🇪🇺 Union Européenne - 2018
🔐 RGPD (Règlement Général sur la Protection des Données)
General Data Protection Regulation (GDPR) – Règlement sur la protection des données personnelles.
- Principes : Licéité, finalité, minimisation, exactitude, limitation de conservation, intégrité et confidentialité, accountability.
- Impact cloud : Les données personnelles hébergées dans le cloud doivent bénéficier de garanties (clauses types, BCR, certifications).
- Sanctions : Jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.
- Mise en œuvre cloud : RGPD by design, analyse d’impact (AIPD), sous-traitants signataires (AWS, Azure, GCP sont certifiés).
🇫🇷 France - 2013/2018
🏛️ LPM (Loi de Programmation Militaire) & ANSSI
Loi de Programmation Militaire – Cadre français pour la sécurité des opérateurs d’importance vitale (OIV).
- OIV (Opérateurs d’Importance Vitale) : État, armement, énergie, transport, santé, télécoms, finance, alimentation, etc.
- Exigences : Détection des incidents, notification à l’ANSSI, homologation de sécurité, plans de continuité.
- LPM 2018 : Renforcement des obligations (audits, durcissement des sanctions).
- Impact cloud : Les OIV doivent utiliser des clouds certifiés SecNumCloud (ou équivalent) pour les données sensibles.
🇫🇷 ANSSI - 2016/2021
☁️ SecNumCloud
Référentiel SecNumCloud de l’ANSSI – Certification pour les clouds souverains et sécurisés.
- Niveaux : SecNumCloud (exigences de base), SecNumCloud+ (hébergement de données sensibles, hors droit étranger).
- Exigences clés : Chiffrement maîtrisé par le client, isolation des données, protection contre les lois extra-européennes (Cloud Act).
- Fournisseurs certifiés : OVHcloud (SecNumCloud), Outscale, NumSpot, Thales, Orange, Google (en cours).
- Impact : Obligatoire pour les données de santé (HDS), les OIV et les administrations françaises.
Mon intervention : Accompagnement à la qualification SecNumCloud, conception d’architectures cloud compatibles, rédaction de dossiers d’homologation.
🇪🇺 Union Européenne - 2024
🛡️ NIS2 (Network and Information Security)
Directive NIS2 – Renforcement de la cybersécurité dans l’Union Européenne (remplace NIS 2016).
- Périmètre élargi : 18 secteurs (énergie, transport, santé, eau, numérique, spatial, etc.) + PME.
- Exigences : Gestion des risques, continuité des activités, chaîne d’approvisionnement, notification incidents 24h.
- Sanctions : Jusqu’à 10 millions d’euros ou 2 % du CA mondial pour les entités essentielles.
- Date transposition : 17 octobre 2024 (États membres), 18 octobre 2024 (applicabilité).
- Impact cloud : Les prestataires de services cloud entrent dans le champ de NIS2.
📊 Tableau comparatif
| Réglementation | Périmètre | Date | Sanctions max | Impact cloud |
|---|---|---|---|---|
| DORA | Finances (UE) | 2025 | Amendes + interdiction | Exigences renforcées pour fournisseurs cloud |
| RGPD | Données personnelles (UE) | 2018 | 20 M€ ou 4% CA | Sous-traitants certifiés, clauses types |
| LPM / ANSSI | OIV (France) | 2013/2018 | Sanctions pénales | Clouds SecNumCloud obligatoires |
| SecNumCloud | Cloud souverain (France) | 2016/2021 | Non certification | Référentiel technique de l’ANSSI |
| NIS2 | 18 secteurs (UE) | 2024 | 10 M€ ou 2% CA | Cloud providers dans le périmètre |
💡 Comment je peux vous aider ?
Architecte cloud certifié (AWS, Azure, GCP) et spécialiste de la conformité, je propose :
← Retour au blog
Architecte cloud certifié (AWS, Azure, GCP) et spécialiste de la conformité, je propose :
- 📋 Audit de conformité de votre infrastructure cloud (RGPD, SecNumCloud, DORA, NIS2)
- 🏗️ Conception d’architectures compatibles avec les exigences réglementaires
- 📄 Rédaction de dossiers d’homologation, analyses de risques, AIPD
- 🔐 Mise en œuvre technique (chiffrement, logging, IAM, segmentation, backup)
📧 Contact : olivier@obrun.fr | 📞 Tél : 06 50 41 52 53