Fin mars 2025, Cybermalveillance.gouv a publié son rapport d’activité de l’année 2024, présentant ainsi l’état des lieux et les évolutions en matière de menaces cyber.

De façon générale, les attaques et les arnaques sont en constante augmentation d’une année à l’autre, le rapport fondant son analyse sur le nombre de demandes d’assistance reçues, leur origine (entreprises et associations, collectivités ou particuliers) et leur type.

Ainsi, les entreprises ont effectué +24 % de demandes d’assistance auprès de la plateforme par rapport à l’année 2023.

Cybermalveillance.gouv souligne en outre,

Le 11 mars dernier, le Sénat a examiné le projet de loi, initialement déposé courant octobre 2024, portant sur la résilience des infrastructures critiques et au renforcement de la cybersécurité. Dès le lendemain, il a été adopté puis déposé le 13 mars à l’Assemblée Nationale (en attente de calendrier).

Ce projet de loi résulte directement du besoin urgent de ces dernières années d’assurer la continuité des entreprises face aux cyberattaques de plus en plus agressives et efficaces. Dans ce contexte, il prévoit donc concrètement la transposition de trois Directives européennes adoptées en matière de cybersécurité des entreprises :

• Directive « REC » (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques ;
• Directive « NIS 2 » (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union ;
• Directive « DORA » (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 en ce qui concerne la résilience opérationnelle numérique du secteur financier.

L’ACPR frappe de nouveau sur la sécurité des systèmes d’information ! En effet, elle vient de publier ce jeudi 12 février une nouvelle synthèse de son enquête sur la gestion de la sécurité des systèmes d’information des organismes d’assurance.

Elle y constate que, suite aux enquêtes précédentes auprès du secteur, celui-ci a pris une certaine conscience des enjeux et des risques impliquant une gestion spécifique par la fonction SSI ; fonction qui reste néanmoins encore peu incluse dans les décisions stratégiques.

L’année 2024 a été une année riche en documentation pour permettre aux organismes de se mettre en conformité par rapport à la réglementation DORA et anticiper la mise en place opérationnelle en 2025.

Entre textes européens et textes nationaux, entre impératifs et conseils des autorités, il est facile de se sentir rapidement perdu. Nous pouvons dès lors nous demander quelles sont les prochaines échéances, étapes, mais surtout quoi transmettre, comment, où et à qui.

Nous vous proposons donc de faire un petit point d’étape pour vous aider à y voir un peu plus clair sur l’année 2025 :

A l’occasion de l’entrée en application de DORA le 17 janvier 2025, l’ACPR a publié deux documents permettant aux entités assujetties de mieux s’y retrouver dans leurs obligations à court et moyen terme. L’autorité a en effet publié le formulaire de déclaration d’externalisation de notification des incidents TIC majeurs, mais surtout son premier paquet de questions/réponses à la FAQ DORA qui apporte de précieux renseignements sur ce qu’il faut renseigner, comment le renseigner et quand le renseigner.

Les éléments les plus marquants sont les suivants :

Le 22 février dernier, la Commission européenne a en effet validé deux projets de règlements délégués précisant certaines exigences du Pilier IV de DORA relatif à la gestion des risques liés aux prestataires de services de TIC (PTST)

Ces actes portent précisément sur :

• les (sous-)critères de désignation des PTST comme critiques, ce qui permet d’y voir un peu plus clair sur la méthode d’évaluation et sur les prestataires qui seront susceptibles de figurer sur la liste des PTST critiques établie par les AES ;
• les modalités de paiement et la détermination du montant des redevances de supervision que les PTST critiques devront verser au superviseur principal dont ils relèvent, en l’occurrence 50 000 € minimum par an pour chaque PTST critique. Ainsi, il y a tout lieu de penser que les PTST, d’une manière ou d’une autre, répercuteront ou compenseront cette charge auprès de leurs partenaires compte tenu du petit nombre qu’ils sont sur le marché et de la situation de dépendance inévitable dans laquelle se trouve un bon nombre d’entités à leur égard.

N.B : des ajustements du montant de cette redevance sont prévus pour la première liste publiée et pour la première année au cours de laquelle le PTST sera désigné comme critique.

Ces deux textes devraient faire l’objet d’une publication officielle après le 22 mai 2024, à la fin du délai de présentation des objections.

Consultez ici l’intégralité des documents : RÈGLEMENT DÉLÉGUÉ (UE) …/… DE LA COMMISSION du 22.2.2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par la définition des critères de désignation de prestataires tiers de services TIC comme critiques pour les entités financières ; RÈGLEMENT DÉLÉGUÉ (UE) …/… DE LA COMMISSION du 22.2.2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil en déterminant le montant des redevances de supervision à percevoir par le superviseur principal auprès des prestataires tiers critiques de services TIC et les modalités de paiement de ces redevances