La conformité réglementaire suppose désormais d’objectiver les écarts, de prioriser les actions et de documenter les efforts dans la durée. Euro Cyber Group défend une approche outillée de la “gap analysis”, fondée sur l’automatisation. Une brique d’intelligence artificielle vient structurer et guider le travail de conformité des PME et des ETI. Entretien avec David Ofer, président du groupe.
NIS2 et DORA : un changement de rythme pour les organisations
Les réglementations NIS2 et DORA entreront en application en 2025. Elles imposent des exigences renforcées en matière de gestion des risques numériques, de continuité d’activité et de gouvernance cyber. Pour de nombreuses organisations, le sujet ne se limite plus à “être conforme”, mais à être capable de démontrer cette conformité dans la durée, y compris vis-à-vis des partenaires et des autorités.
« On ne parle plus seulement de règles à appliquer, mais de résilience opérationnelle mesurable », résume David Ofer. Une évolution qui met sous tension des structures souvent peu armées pour traduire des textes réglementaires en dispositifs concrets, suivis et documentés.
Partir des écarts plutôt que des textes
Chez Euro Cyber Group, l’entrée par la “gap analysis” est centrale. L’objectif n’est pas de dérouler la réglementation article par article, mais d’identifier précisément les écarts entre les exigences de NIS2 ou DORA et la réalité des pratiques en place.
Cette analyse repose sur une méthodologie structurée, avec l’identification des rôles clés liés à la gestion des risques TIC, une évaluation ciblée par fonction et l’exploitation des données collectées pour faire ressortir les points de non-conformité. Le résultat prend la forme d’un rapport synthétique, assorti d’une vision managériale et d’un plan d’action hiérarchisé.
« Ce que cherchent les organisations, ce n’est pas un diagnostic théorique, mais une feuille de route claire », insiste David Ofer.
De l’analyse au pilotage continu
Cette logique est intégrée dans la plateforme ECG Protect, développée en interne par Euro Cyber Group. Elle centralise la documentation réglementaire, les éléments de gouvernance et les briques de supervision cyber. À partir de là, des moteurs d’analyse automatisent l’évaluation du niveau de conformité et mettent en évidence les écarts à corriger.
Concrètement, une organisation peut visualiser son niveau d’adhésion aux exigences NIS2 ou DORA, identifier les vulnérabilités dans la gestion des risques TIC et prioriser les actions à engager. « L’idée est de passer d’un audit ponctuel à un pilotage dans le temps », explique David Ofer.
La conformité des tiers, nouveau point de tension
L’un des enjeux majeurs introduits par DORA concerne la maîtrise des risques liés aux prestataires et fournisseurs. ECG Protect permet d’intégrer cette dimension en donnant la possibilité aux partenaires de déposer leur propre documentation de conformité. Celle-ci est ensuite analysée automatiquement, sans multiplication de questionnaires ni traitements manuels.
« On gagne énormément de temps et on fiabilise l’évaluation », observe David Ofer. Une approche qui vise à répondre à une exigence croissante de traçabilité et de justification, sans alourdir les processus internes.
Rendre la conformité exploitable, y compris hors grands comptes
Euro Cyber Group intervient déjà auprès de collectivités, de cabinets juridiques, de courtiers ou d’acteurs de l’assurance. Mais le groupe assume une attention particulière aux PME et aux ETI, directement concernées par NIS2 ou intégrées dans des chaînes de valeur soumises à DORA.
« Beaucoup d’organisations découvrent aujourd’hui l’ampleur des exigences à venir », constate David Ofer. L’enjeu n’est pas seulement budgétaire, mais organisationnel : savoir par où commencer, quoi prioriser et comment documenter les efforts engagés.
