Guide pilier RSSI · DPO · Dirigeants ~30 min de lecture 8 réglementations

Guide complet de la conformité cyber 2026

Couvre : RGPD · NIS2 · DORA · Cyber Resilience Act · ISO 27001 · SecNumCloud · HDS · PCI DSS
Réponse rapide

En 2026, une entreprise française doit naviguer entre plusieurs réglementations cyber selon son secteur et sa taille : RGPD pour toutes les entreprises traitant des données personnelles (sanctions jusqu'à 4% du CA mondial), NIS2 pour ~10-15 000 entités essentielles et importantes, DORA pour le secteur financier, Cyber Resilience Act pour les fabricants de produits numériques, ISO 27001 comme référence volontaire internationale. Démarche pragmatique : cartographier les obligations applicables, désigner un responsable (DPO/RSSI), faire un état des lieux des risques, combler les écarts prioritaires (MFA, sauvegardes, documentation), notifier aux régulateurs, maintenir dans le temps.

En une phrase — Ce guide cartographie les réglementations cyber applicables aux entreprises françaises en 2026 : obligations, échéances, sanctions et démarche pratique pour se mettre en conformité. Pour DPO, RSSI, dirigeants et juristes.
RGPD
Toutes entreprises traitant données personnelles · Sanctions jusqu'à 4% CA mondial
NIS2
~10-15 000 entités françaises essentielles et importantes · Sanctions jusqu'à 10 M€
DORA
Secteur financier (banques, assurances, prestataires) · Applicable depuis janvier 2025
CRA
Produits avec composants numériques · Application progressive 2026-2027
ISO 27001
Norme volontaire internationale · Référence pour démontrer maturité
Régulateurs FR
CNIL (RGPD) · ANSSI (NIS2, sectoriels) · ACPR (DORA financier)

01 — CartographieQuelles obligations pour mon entreprise ?

Démarche d'identification

Toute entreprise française est soumise à au moins le RGPD dès qu'elle traite des données personnelles (clients, salariés, prospects, fournisseurs). À cela s'ajoutent des obligations selon :

  • Le secteur d'activité : santé (HDS), finance (DORA), paiement (PCI DSS), opérateur d'importance vitale (LPM, NIS2).
  • La taille : NIS2 dépend de seuils (50/250 salariés, 10/50 M€ CA).
  • Le type de produits/services : CRA pour fabricants de produits numériques, certifications spécifiques pour produits sensibles.
  • Les marchés visés : certifications volontaires comme ISO 27001 souvent exigées par grands comptes ou pour appels d'offres.
  • La sensibilité des données : SecNumCloud pour données publiques sensibles.

Matrice rapide

  • TPE généraliste : RGPD uniquement.
  • PME e-commerce : RGPD + PCI DSS si traite cartes bancaires + éventuellement NIS2 si dépasse seuils.
  • Cabinet médical / hôpital : RGPD + HDS + NIS2 (santé = secteur essentiel).
  • Banque / assurance : RGPD + DORA + NIS2 + obligations sectorielles ACPR.
  • Éditeur logiciel : RGPD + CRA si produit avec composants numériques + NIS2 si prestataire critique.
  • Industriel / manufacturier : RGPD + NIS2 si secteur listé et seuils atteints + CRA pour produits connectés.
  • Administration / collectivité : RGPD + référentiels ANSSI + souvent NIS2.

Logique d'empilement

Les réglementations se cumulent et ne se substituent pas. Une banque doit respecter à la fois RGPD, DORA, NIS2 et obligations ACPR. La bonne nouvelle : les exigences techniques se recoupent largement (gestion des risques, sécurité technique, gouvernance, notification d'incidents). Une démarche cohérente permet de couvrir plusieurs réglementations à la fois.

02 — RGPDPour toutes les entreprises

Voir notre fiche détaillée : RGPD — fiche complète.

Périmètre

  • Applicable dès qu'on traite des données personnelles (clients, salariés, prospects, fournisseurs).
  • Régulateur en France : CNIL.
  • Concrètement : registre, information, droits des personnes, sécurité, notification de violation.

Obligations principales

  • Registre des traitements (article 30) — obligatoire à partir de 250 salariés ou pour traitements à risque, recommandé pour toutes.
  • Information transparente des personnes (mentions légales, politique de confidentialité).
  • Droits des personnes : accès, rectification, effacement, portabilité, opposition. Procédures pour les traiter sous 1 mois.
  • Sécurité des données (article 32) : mesures techniques et organisationnelles adaptées aux risques.
  • Notification de violation : à la CNIL sous 72h, aux personnes si risque élevé.
  • Désignation DPO : obligatoire pour autorités publiques, traitements à grande échelle, données sensibles à grande échelle.
  • AIPD (analyse d'impact) pour traitements à risque élevé.
  • Privacy by design / by default : prise en compte de la protection des données dès la conception.

Sanctions

  • Violations majeures : jusqu'à 20 M€ ou 4% du CA mondial (le plus élevé).
  • Violations moins graves : jusqu'à 10 M€ ou 2% du CA mondial.
  • La CNIL publie ses décisions (effet réputationnel important).
  • En 2024-2026, sanctions ciblent aussi les PME pour manquements basiques.

Démarche pratique RGPD

  1. Cartographier les traitements de données personnelles.
  2. Évaluer la nécessité d'un DPO (interne, mutualisé, externalisé).
  3. Tenir le registre des traitements à jour.
  4. Mettre à jour les mentions légales et politique de confidentialité.
  5. Documenter les bases légales (consentement, contrat, intérêt légitime, etc.).
  6. Mettre en place les mesures techniques (chiffrement, contrôle d'accès, sauvegardes).
  7. Procédure de gestion des droits des personnes.
  8. Procédure de notification de violation.
  9. Formation des équipes traitant des données.
  10. Audit régulier.

Outils gratuits CNIL

  • PIA : logiciel d'analyse d'impact gratuit.
  • Guides RGPD adaptés aux PME, professions médicales, associations, etc.
  • Templates de registre, mentions légales, politique de confidentialité.
  • Service de consultation pour DPO.
  • MOOC RGPD gratuit.

03 — NIS2Entités essentielles et importantes

Voir notre fiche détaillée : NIS2 — fiche complète.

Périmètre

Directive européenne (UE) 2022/2555 transposée en France par la loi du 9 octobre 2024. Remplace NIS1 (2016) avec un périmètre considérablement élargi.

Qui est concerné

Entités essentielles : secteurs hautement critiques + seuils (>250 salariés ou CA > 50 M€).

  • Énergie (électricité, pétrole, gaz, hydrogène).
  • Transport (aérien, ferroviaire, maritime, routier).
  • Banques et infrastructure de marché financier.
  • Santé.
  • Eau potable et eaux usées.
  • Infrastructure numérique (DNS, IXP, cloud, datacenters, télécoms, services de confiance).
  • Gestion services TIC B2B (MSP, MSSP).
  • Espace.
  • Administrations publiques.

Entités importantes : autres secteurs critiques + seuils (>50 salariés ou CA > 10 M€).

  • Services postaux et de courrier.
  • Gestion des déchets.
  • Fabrication chimique.
  • Production alimentaire.
  • Fabrication de dispositifs médicaux, machines, véhicules, électronique.
  • Prestataires numériques (places de marché, moteurs de recherche, réseaux sociaux).
  • Recherche.

~10-15 000 entités françaises concernées au total (estimation ANSSI).

Obligations principales

  • Gouvernance cyber : implication du dirigeant, formation des dirigeants à la cyber.
  • Gestion des risques : analyse, mesures techniques et organisationnelles.
  • Sécurité de la chaîne d'approvisionnement : évaluation et exigences fournisseurs.
  • Notification d'incidents : alerte précoce sous 24h, notification sous 72h, rapport final sous 1 mois.
  • Mesures techniques minimales : politiques sécurité, gestion incidents, continuité, sécurité réseaux et SI, MFA, chiffrement, formation, hygiène cyber.
  • Documentation et capacité à démontrer la conformité.

Sanctions

  • Entités essentielles : jusqu'à 10 M€ ou 2% du CA mondial.
  • Entités importantes : jusqu'à 7 M€ ou 1,4% du CA mondial.
  • Sanctions personnelles possibles pour dirigeants (interdiction d'exercice).
  • Régulateur en France : ANSSI pour la majorité, secteurs spécifiques par leurs autorités sectorielles.

Calendrier

  • Octobre 2024 : transposition en droit français.
  • 2025-2026 : période d'identification et de mise en conformité.
  • Décrets d'application en cours de publication.
  • Plateforme ANSSI : monespacenis2.cyber.gouv.fr pour les entités.

Démarche pratique NIS2

  1. Vérifier l'applicabilité (secteur + seuils).
  2. S'enregistrer sur la plateforme ANSSI dédiée.
  3. Désigner un correspondant cyber.
  4. Réaliser une analyse de risques (méthode EBIOS RM recommandée).
  5. Mettre en place les mesures techniques minimales.
  6. Sécuriser la supply chain (clauses fournisseurs).
  7. Procédure de notification d'incidents.
  8. Formation des dirigeants et équipes.
  9. Documentation complète.
  10. Audits périodiques.

04 — DORASecteur financier

Voir notre fiche détaillée : DORA — fiche complète.

Périmètre

Règlement européen (UE) 2022/2554 — Digital Operational Resilience Act. Applicable depuis le 17 janvier 2025. Concerne le secteur financier européen et ses prestataires critiques.

Qui est concerné

  • Banques et établissements de crédit.
  • Compagnies d'assurance et de réassurance.
  • Sociétés de gestion d'actifs.
  • Prestataires de services de paiement.
  • Établissements de monnaie électronique.
  • Plateformes de trading.
  • Dépositaires centraux de titres.
  • Contreparties centrales.
  • Crypto-actifs (depuis MiCA).
  • Crowdfunding.
  • Prestataires TIC critiques pour le secteur financier (cloud notamment).

5 piliers de DORA

  1. Gestion des risques TIC : cadre robuste, gouvernance, identification des fonctions critiques.
  2. Gestion des incidents TIC : classification, notification aux autorités, communication aux clients.
  3. Tests de résilience opérationnelle numérique : tests réguliers, TLPT (Threat-Led Penetration Testing) pour entités significatives.
  4. Gestion des risques liés aux tiers TIC : due diligence, clauses contractuelles, registre, gestion sortie, supervision européenne des prestataires critiques.
  5. Partage d'informations : échanges sur menaces et vulnérabilités entre acteurs.

Sanctions

  • Sanctions définies au niveau national.
  • Peuvent atteindre 1% du CA quotidien moyen mondial (puissant pour grandes institutions).
  • Régulateur en France : ACPR et AMF selon les acteurs.
  • Pour prestataires critiques : supervision européenne directe.

Démarche pratique DORA

  1. Cartographier les fonctions critiques et les actifs TIC supportant.
  2. Inventaire des prestataires TIC (registre).
  3. Mettre à jour les contrats prestataires (clauses DORA obligatoires).
  4. Cadre de gestion des risques TIC documenté.
  5. Procédure de gestion d'incidents TIC.
  6. Plan de tests de résilience.
  7. Formation de la direction et des équipes.
  8. Capacité de notification rapide aux autorités.

Articulation avec NIS2

Pour les entités financières, DORA prime sur NIS2 sur les sujets équivalents (lex specialis). Mais NIS2 reste applicable sur les aspects non couverts par DORA. Approche pratique : traiter d'abord DORA, vérifier ensuite les résiduels NIS2.

05 — CRACyber Resilience Act

Voir notre fiche détaillée : CRA — fiche complète.

Périmètre

Règlement européen sur la cybersécurité des produits comportant des éléments numériques. Adopté en 2024, application progressive 2026-2027.

Qui est concerné

  • Fabricants de produits hardware avec composants numériques (IoT, équipements industriels, électroménager connecté).
  • Éditeurs de logiciels grand public et professionnels.
  • Importateurs et distributeurs (responsabilité partagée).
  • Logiciels libres : dispositions spécifiques pour ne pas pénaliser l'open source.
  • Exclusions : produits déjà couverts par règlements sectoriels (médical, automobile, aviation).

Obligations principales

  • Sécurité by design dès la conception.
  • Évaluation de conformité selon catégorie de produit (auto-évaluation pour standards, organisme tiers pour critiques).
  • Marquage CE attestant la conformité.
  • Documentation technique (dont SBOM — Software Bill of Materials).
  • Gestion des vulnérabilités : politique de divulgation, correctifs.
  • Notification des vulnérabilités exploitées et incidents de sécurité graves à l'ENISA.
  • Maintenance sécurité : durée minimum 5 ans (par défaut) ou durée de vie raisonnable du produit.
  • Information des utilisateurs : durée du support, communication des correctifs.

Calendrier

  • 2024 : adoption du règlement.
  • Septembre 2026 : obligation de notification des vulnérabilités exploitées et incidents.
  • Décembre 2027 : obligations principales applicables (marquage CE, conformité).
  • Période transitoire pour les produits déjà sur le marché.

Sanctions

  • Jusqu'à 15 M€ ou 2,5% du CA mondial pour non-respect des exigences essentielles.
  • Jusqu'à 10 M€ ou 2% du CA pour autres manquements.
  • Retrait du marché possible.

Impact pratique

Le CRA bouleverse l'approche traditionnelle : les fabricants ne peuvent plus se contenter de vendre un produit puis l'oublier. La maintenance sécurité devient une obligation réglementaire, avec implications sur les modèles économiques (logiciels payants avec support, abonnements, fin de vie programmée).

06 — ISO 27001Référence volontaire internationale

Voir notre fiche détaillée : ISO 27001 — fiche complète.

Spécificité

Norme volontaire (pas une obligation légale), mais souvent requise par les grands comptes et dans les appels d'offres. Constitue une preuve de maturité cyber reconnue internationalement. Version actuelle : ISO/IEC 27001:2022.

Principe : Système de Management de la Sécurité de l'Information

  • Approche processus de gestion de la sécurité.
  • Cycle d'amélioration continue (Plan-Do-Check-Act).
  • Adaptable à toute organisation, quelle que soit la taille ou le secteur.
  • Couvre les aspects techniques, organisationnels, humains, juridiques.

Structure de la norme

  • Clauses 4-10 : exigences obligatoires (contexte, leadership, planification, support, opération, évaluation, amélioration).
  • Annexe A : 93 mesures de sécurité organisées en 4 thèmes (organisationnelles, humaines, physiques, technologiques).
  • Sélection des mesures via la Déclaration d'Applicabilité (DdA / SoA).

Démarche de certification

  1. Décision de la direction et engagement.
  2. Définition du périmètre (entité, sites, processus).
  3. Analyse de risques.
  4. Sélection des mesures (annexe A).
  5. Mise en œuvre du SMSI.
  6. Audit interne.
  7. Revue de direction.
  8. Audit de certification (organisme accrédité COFRAC en France).
  9. Certification valable 3 ans, audits de surveillance annuels.

Investissement

  • Durée : 6-12 mois pour une PME, 12-24 mois pour une grande organisation.
  • Coût : 50-150 k€ pour une PME (conseil + audit + outillage), 200-500 k€ pour grands comptes.
  • Bénéfices : positionnement commercial, confiance clients, structuration interne, amélioration continue.

Articulation avec autres réglementations

ISO 27001 facilite la conformité :

  • RGPD : les mesures techniques de l'annexe A couvrent largement l'article 32.
  • NIS2 : le SMSI ISO 27001 satisfait l'essentiel des exigences NIS2.
  • SOC 2, HDS, autres : nombreux recouvrements.

Stratégie pragmatique : viser ISO 27001 comme socle, ajouter les spécificités sectorielles ou réglementaires ensuite.

07 — SectorielsHDS, PCI DSS, SecNumCloud

HDS — Hébergement Données de Santé

Voir : HDS.

  • Obligation française pour tout hébergeur de données de santé (article L1111-8 Code de la santé publique).
  • Certification délivrée par organismes accrédités, basée sur ISO 27001 + exigences spécifiques santé.
  • Concerne : hôpitaux, cliniques, éditeurs de logiciels médicaux, hébergeurs cloud avec clients santé.
  • Régulateur : Agence du numérique en santé (ANS).
  • Niveaux : HDS « classique » et HDS+ pour traitements à risque élevé.
  • Acteurs HDS certifiés : OVHcloud, Outscale, Microsoft, AWS, Google Cloud (région UE), Equinix.

PCI DSS — Paiements par carte

Voir : PCI DSS.

  • Norme imposée par les réseaux de cartes (Visa, Mastercard, AmEx, Discover, JCB).
  • Concerne tous les acteurs traitant, transmettant ou stockant des données de cartes bancaires.
  • Version actuelle : PCI DSS 4.0.1 (2024).
  • 4 niveaux selon volume de transactions.
  • 12 exigences principales structurées en 6 objectifs.
  • Audit annuel pour niveaux 1 et 2, auto-évaluation possible pour niveaux inférieurs.
  • Sanctions : pénalités contractuelles des réseaux de cartes (peuvent atteindre 100 k€/mois) + perte d'autorisation de traiter les paiements.

SecNumCloud — Cloud souverain

Voir : SecNumCloud.

  • Qualification ANSSI pour services cloud.
  • Critères techniques + critères de souveraineté (immunité aux lois extra-UE).
  • Obligatoire pour certaines données publiques sensibles (doctrine « cloud au centre »).
  • Référence pour le secteur public, OIV, données stratégiques.
  • Acteurs qualifiés en France : OVHcloud, Outscale, Cloud Temple, Numspot, Bleu (en cours), S3NS (en cours).
  • Articulation avec EUCS (EU Cloud Certification Scheme) en cours de discussion.

Autres référentiels sectoriels

  • SOC 2 (voir SOC 2) : standard américain, demandé par grands comptes US et SaaS B2B.
  • TISAX : secteur automobile.
  • FedRAMP : secteur public US (équivalent de SecNumCloud).
  • IRAP : secteur public australien.
  • LPM (Loi de Programmation Militaire) : OIV en France.
  • PSSI-E : politique de sécurité des SI de l'État.
  • RGS (Référentiel Général de Sécurité) : services en ligne du secteur public.
  • NIST CSF : cadre américain volontaire, très utilisé internationalement.

08 — Démarche7 étapes pratiques

1. Cartographier les obligations applicables
  • RGPD : applicable à toutes les entreprises traitant des données personnelles.
  • Évaluer NIS2 (secteur + seuils).
  • Évaluer DORA si secteur financier.
  • Évaluer CRA si fabricant de produits numériques.
  • Évaluer sectoriels (HDS, PCI DSS, SecNumCloud).
  • Identifier exigences contractuelles (clauses clients, ISO 27001 demandée).
2. Désigner les responsables
  • DPO pour RGPD si nécessaire (interne, mutualisé, externalisé).
  • RSSI ou correspondant cyber pour NIS2.
  • Sponsor au comité de direction.
  • Articulation avec direction juridique, IT, métiers.
3. État des lieux et analyse de risques
  • Inventaire des actifs (données, systèmes, processus critiques).
  • Inventaire des traitements de données personnelles (RGPD).
  • Inventaire des prestataires (RGPD article 28, DORA, NIS2 supply chain).
  • Analyse de risques (méthode EBIOS RM ou ISO 27005).
  • Audit technique (pentest, scan vulnérabilités).
  • État des lieux de la documentation existante.
4. Combler les écarts prioritaires

Les exigences techniques de base sont communes à toutes les réglementations :

  • MFA sur tous les comptes critiques.
  • Sauvegardes régulières et testées.
  • Mises à jour systématiques.
  • Antivirus / EDR moderne.
  • Chiffrement des données sensibles (au repos et en transit).
  • Contrôle des accès (principe du moindre privilège, IAM, PAM).
  • Sensibilisation des équipes au phishing.
  • Plan de réponse à incident.
  • Plan de continuité (PRA).
  • Logs et supervision (SIEM pour grandes structures).
5. Documenter
  • Politique de sécurité de l'information (PSSI).
  • Registre des traitements RGPD.
  • Analyses d'impact (AIPD) pour traitements à risque.
  • Procédures opérationnelles (réponse incident, gestion accès, sauvegardes).
  • Plans (PRA, PCA, communication crise).
  • Registre des incidents.
  • Preuves de sensibilisation et formation.
  • Contrats prestataires conformes.
  • La documentation est la preuve de la conformité — sans elle, on ne peut rien démontrer.
6. Notifier aux régulateurs
  • CNIL : désignation DPO, notification de violation de données personnelles (sous 72h).
  • ANSSI : enregistrement entité NIS2, notification d'incidents (24h alerte précoce, 72h notification, 1 mois rapport).
  • ACPR / AMF : incidents TIC majeurs DORA.
  • ENISA : vulnérabilités exploitées (CRA).
  • Procédures de notification documentées et testées.
7. Maintenir dans le temps
  • Audits internes périodiques.
  • Revue de direction annuelle.
  • Tests réguliers (PRA, simulations crise, pentests, simulations phishing).
  • Veille réglementaire (les textes évoluent).
  • Mise à jour des analyses de risques (annuelle minimum, à chaque changement majeur).
  • Formation continue des équipes.
  • Gestion des changements (nouveaux produits, prestataires, traitements).
  • La conformité n'est jamais terminée : c'est un processus continu.

09 — SanctionsConséquences de la non-conformité

Sanctions financières

  • RGPD : jusqu'à 20 M€ ou 4% du CA mondial (le plus élevé).
  • NIS2 : 10 M€ ou 2% du CA pour entités essentielles, 7 M€ ou 1,4% pour entités importantes.
  • DORA : jusqu'à 1% du CA quotidien moyen mondial (puissant pour grandes institutions).
  • CRA : 15 M€ ou 2,5% du CA mondial pour exigences essentielles.
  • PCI DSS : pénalités contractuelles (100 k€/mois possibles) + perte autorisation cartes.
  • HDS : pas de sanctions financières directes, mais perte de la certification = arrêt d'activité hébergement santé.

Sanctions administratives

  • Mise en demeure publique.
  • Injonction de se mettre en conformité.
  • Limitation ou interdiction temporaire d'activité.
  • Retrait d'agrément ou d'autorisation.
  • Publication des sanctions (effet réputationnel).

Sanctions personnelles (NIS2 notamment)

  • Responsabilité directe des dirigeants.
  • Interdiction temporaire d'exercice de fonctions de direction.
  • Engagement de responsabilité civile et pénale en cas de manquement grave.

Conséquences indirectes (souvent plus graves)

  • Atteinte à la réputation : publication des sanctions par CNIL, ANSSI, presse.
  • Perte de confiance clients et fournisseurs.
  • Exclusion d'appels d'offres publics ou de grands comptes.
  • Recours civils des personnes lésées (action de groupe possible RGPD).
  • Augmentation des primes d'assurance cyber ou refus de couverture.
  • Difficultés bancaires et financement.
  • Démissions internes : difficile de recruter et garder les talents après une crise majeure.

La conformité coûte toujours moins que la non-conformité

Les coûts de mise en conformité (50 k€-500 k€ pour une PME selon ampleur) sont sans commune mesure avec le coût d'une sanction majeure cumulée à un incident : amendes de plusieurs millions, frais juridiques, gestion de crise, perte d'activité, pertes commerciales durables. La conformité est un investissement de protection au sens propre.

10 — RessourcesOutils et accompagnement

Régulateurs et institutions

  • CNIL (cnil.fr) : RGPD, AIPD, sanctions, guides.
  • ANSSI (cyber.gouv.fr et ssi.gouv.fr) : NIS2, référentiels, qualifications.
  • ACPR et AMF : secteur financier, DORA.
  • ENISA : agence européenne, vulnérabilités CRA.
  • Agence du Numérique en Santé : HDS.

Outils gratuits officiels

  • PIA (CNIL) : logiciel d'analyse d'impact RGPD gratuit.
  • EBIOS RM (méthode) : référentiel d'analyse de risques ANSSI.
  • monespacenis2.cyber.gouv.fr : plateforme NIS2.
  • MesserviceVie.fr : démarches DPO et délégué.
  • cybermalveillance.gouv.fr : aide aux victimes.
  • Guides ANSSI : hygiène informatique, durcissement, plan de reprise.

Associations

  • AFCDP : association des DPO et délégués à la protection des données.
  • CLUSIF : groupes de travail conformité.
  • CESIN : club RSSI, partage entre pairs.
  • Hexatrust : éditeurs français cyber.
  • CIGREF : DSI grandes entreprises.
  • CEFCYS : cercle femmes cyber.

Externalisation

  • DPO mutualisé : ~10-30 k€/an pour PME.
  • RSSI à temps partagé : 30-100 k€/an.
  • Cabinets spécialisés : audit, accompagnement certification, mise en conformité.
  • Prestataires PASSI : audits qualifiés ANSSI.
  • Avocats spécialisés : aspects juridiques complexes.

Formations

  • MOOC RGPD CNIL : gratuit en ligne.
  • Certifications professionnelles : CIPP/E, CDPO, ISO 27001 Lead Implementer/Auditor.
  • SecNumAcadémie (ANSSI) : formation gratuite cybersécurité.
  • Universités et grandes écoles : masters spécialisés.

Le mot de la fin

La conformité cyber peut sembler accablante en 2026 avec l'empilement RGPD + NIS2 + DORA + CRA + sectoriels. Mais les exigences se recoupent largement : une démarche ISO 27001 ou EBIOS RM solide couvre déjà l'essentiel. La vraie difficulté n'est pas technique mais organisationnelle : implication de la direction, documentation rigoureuse, maintien dans le temps. Commencer petit, démontrer les progrès, ancrer dans la culture d'entreprise.