Infrastructures de marché financier et NIS2 : exigence absolue de résilience opérationnelle en secteur hautement critique
Périmètre : bourses, CCP, dépositaires centraux à la croisée de DORA et NIS2
Les infrastructures de marché financier constituent l'une des 11 catégories de l'Annexe I de la directive NIS2, c'est-à-dire les secteurs jugés hautement critiques par l'Union européenne. En France, ce périmètre regroupe les plateformes de négociation (bourses, MTF, OTF), les contreparties centrales (CCP), les dépositaires centraux de titres (CSD), les référentiels centraux de transactions ainsi que les systèmes de règlement-livraison. Concrètement, il s'agit d'entités comme Euronext Paris, LCH SA, Euroclear France et leurs équivalents européens.
Selon le périmètre défini par NIS2, une entité de ce secteur relève de la catégorie entité essentielle (EE) si elle compte au moins 250 employés ou génère un chiffre d'affaires annuel d'au moins 50 millions d'euros ou possède un bilan annuel d'au moins 43 millions d'euros. Le secteur des infrastructures de marché financier est l'un de ceux où la quasi-totalité des acteurs franchissent ces seuils, ce qui porte le niveau d'exigence réglementaire au maximum. En France, environ 10 000 à 15 000 entités sont concernées par NIS2 toutes catégories confondues ; parmi elles, les infrastructures de marché financier représentent un nombre bien plus restreint mais à l'impact systémique majeur.
Ces entités relèvent déjà de régulations sectorielles fortes : MiFID II pour les plateformes de négociation, EMIR pour les contreparties centrales, CSDR pour les dépositaires centraux. Depuis le 17 janvier 2025, le règlement européen DORA (Digital Operational Resilience Act) s'applique pleinement à ces mêmes entités, imposant un cadre harmonisé de gestion du risque TIC couvrant gouvernance, notification d'incidents, tests de résilience opérationnelle (TLPT), gestion des prestataires tiers et partage d'information sur les menaces cyber. L'articulation entre DORA et NIS2 est claire : DORA reste la référence pour les aspects de gestion du risque TIC, tandis que NIS2 conserve ses obligations propres en matière de notification à l'ANSSI et de mesures de cybersécurité. Les deux textes ne s'excluent pas mutuellement, ils se superposent.
Cadre réglementaire : quand DORA, MiFID II, EMIR et NIS2 convergent
La directive NIS2 a été adoptée le 14 décembre 2022 et devait être transposée par les États membres au plus tard le 17 octobre 2024. En France, cette transposition s'opère via la loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, communément appelée « loi Résilience ». Adoptée en première lecture au Sénat le 12 mars 2025, puis examinée en commission spéciale à l'Assemblée nationale le 10 septembre 2025, sa promulgation est attendue pour le premier semestre 2026, selon les travaux parlementaires les plus récents. Les décrets d'application techniques, rédigés par l'ANSSI, suivront au second trimestre 2026.
Le 17 mars 2026, l'ANSSI a publié le Référentiel Cyber France (ReCyF), qui liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2. Ce référentiel, diffusé en version de travail, correspond à l'article 14 du projet de loi Résilience. Bien que non-obligatoire par défaut, il permet aux entités qui l'appliquent de s'en prévaloir en cas de contrôle de l'ANSSI. Pour les infrastructures de marché financier, le ReCyF vient s'ajouter à une pile réglementaire déjà dense. En effet, DORA impose depuis janvier 2025 des exigences très structurées sur la gestion du risque TIC : article 5 (gouvernance et cadre de contrôle interne), article 6 (cadre de gestion du risque lié aux TIC), article 17 (notification des incidents TIC majeurs sous 24 heures pour une alerte initiale, 72 heures pour un rapport intermédiaire et un mois pour un rapport final), et article 26 (tests de résilience opérationnelle fondés sur la menace, dits TLPT, au moins tous les trois ans pour les entités significatives).
Les tests TLPT, inspirés du framework TIBER-EU développé par la Banque centrale européenne, sont désormais obligatoires sous DORA pour les acteurs financiers les plus critiques. La TCT-FR (TIBER Cyber Team France), composée de la Banque de France, de l'ACPR et de l'AMF, désigne les entités soumises aux TLPT et encadre leur exécution sur un cycle triennal. Ces tests simulent les tactiques, techniques et procédures d'acteurs malveillants réels sur les systèmes de production critiques, afin d'éprouver la capacité réelle de l'organisation à détecter, contenir et récupérer face à une attaque sophistiquée. Pour une bourse ou une contrepartie centrale, ces exercices ne sont pas de simples tests d'intrusion mais de véritables simulations d'attaques ciblées sur les fonctions critiques (plateformes de négociation, systèmes de compensation, infrastructures de règlement-livraison).
DORA s'applique directement en France comme dans toute l'UE sans nécessiter de transposition. NIS2, en revanche, sera transposée par la loi Résilience. Toutes deux établissent des obligations de notification, mais DORA impose des délais stricts et un reporting via des canaux dédiés aux autorités financières (ACPR, AMF), tandis que NIS2 confie à l'ANSSI le rôle d'autorité nationale de cybersécurité. Dans les faits, une infrastructure de marché financier devra notifier simultanément les incidents majeurs à ses autorités de supervision sectorielles sous DORA et à l'ANSSI sous NIS2. Une coordination interservices est donc indispensable.
Spécificités cybersécurité : l'enjeu de continuité absolue face aux attaques ciblées
Le secteur financier occupe une place particulière dans la menace cyber. Selon le FMI (avril 2024), les pertes extrêmes liées aux cyberincidents dans le secteur financier ont plus que quadruplé entre 2017 et 2024, atteignant 2,5 milliards de dollars pour un seul incident majeur. Les infrastructures de marché financier sont particulièrement exposées parce qu'elles traitent des volumes massifs de transactions en temps réel et concentrent des flux financiers critiques pour l'économie. Une interruption de quelques minutes sur une plateforme de négociation ou sur une contrepartie centrale peut déclencher des effets en cascade : blocage de transactions, impossibilité de compenser les positions, déstabilisation de la liquidité, pertes colossales pour les participants et potentiellement une ruée sur les dépôts ou une cession massive d'actifs.
Les vecteurs d'attaque les plus redoutés sont les attaques par déni de service distribué (DDoS), qui visent à saturer les plateformes et à rendre les services indisponibles ; les intrusions ciblées via des campagnes de phishing ou l'exploitation de vulnérabilités zero-day dans les VPN et pare-feu ; et les défaillances en cascade via les fournisseurs critiques. Une infrastructure de marché moderne est un écosystème complexe de systèmes propriétaires, de middleware, de connexions API, de services cloud et de réseaux de télécommunications fournis par des tiers. Chaque maillon est une surface d'attaque potentielle. Les compromissions de la chaîne d'approvisionnement, citées dans 15 % des violations de données en 2025 selon les derniers rapports sectoriels, illustrent l'ampleur du risque lié aux prestataires tiers.
Les tests de résilience opérationnelle fondés sur la menace (TLPT) sont conçus pour simuler ces scénarios réels. Contrairement aux audits de conformité classiques, un TLPT engage une Red Team externe ou hybride qui tente de compromettre les systèmes de production en mimant les tactiques d'un attaquant avancé. Les résultats permettent de tester non seulement la sécurité technique, mais aussi les capacités de détection, la coordination entre équipes techniques et métiers, et la rapidité de réponse face à un incident majeur.
Selon l'analyse du FBI (2025), le ransomware demeure la menace la plus répandue contre les infrastructures critiques, avec plus de 3 600 incidents ransomware signalés et 32 millions de dollars de pertes directes en 2025. Pour les infrastructures de marché financier, le véritable risque n'est pas la rançon elle-même mais l'arrêt brutal des services : un rançongiciel qui chiffrerait les systèmes de compensation ou de règlement-livraison rendrait impossible la clôture de positions pendant plusieurs jours, avec un impact systémique potentiellement catastrophique.
Incidents marquants : aucune attaque publique majeure récente mais une menace documentée
Les infrastructures de marché financier bénéficient d'une protection renforcée depuis plusieurs années, ce qui limite les incidents publics documentés. Contrairement aux secteurs de la santé ou de la distribution, qui ont subi des compromissions massives en 2024-2025, les bourses et les contreparties centrales n'ont pas fait l'objet de fuites de données ou de pannes cyber médiatisées dans les deux dernières années. Cela ne signifie pas qu'elles sont à l'abri.
En janvier 2024, une cyberattaque contre les prestataires de santé Viamedis et Almerys a compromis les données de plus de 33 millions de Français, rappelant l'ampleur que peuvent prendre les incidents lorsque des acteurs critiques sont visés. En février 2024, France Travail a subi une compromission exposant les informations de 43 millions d'utilisateurs. En 2025, selon le Panorama de la cybermenace ANSSI publié le 11 mars 2026, 460 événements ont été caractérisés comme possibles fuites de données, dont 42 % confirmés. La santé (32 % des attaques), l'administration publique (24 %) et les télécommunications (9 %) sont les secteurs les plus touchés.
Les infrastructures de marché financier ne figurent pas parmi les victimes publiques recensées, mais elles demeurent des cibles prioritaires. Selon le rapport du FMI d'avril 2024, un cyberincident majeur dans une infrastructure de marché pourrait ébranler la confiance, provoquer des cessions massives d'actifs ou des ruées sur les dépôts. Bien qu'aucun mouvement de panique majeur n'ait été recensé à ce jour, une cyberattaque a entraîné des retraits de dépôts modérés dans des banques américaines de petite taille.
Les Jeux olympiques de Paris en 2024 ont constitué un test majeur pour la résilience cyber française : 141 événements de cybersécurité ont été signalés, avec un pic en juillet. Les entités gouvernementales, les transports et les télécommunications ont été principalement ciblés par des groupes hacktivistes pro-russes et pro-palestiniens, qui ont mené des opérations DDoS. Aucune attaque n'a perturbé le déroulement des Jeux grâce à la mobilisation exceptionnelle de l'ANSSI et de l'écosystème cyber français.
Mesures techniques prioritaires : les 10 obligations de l'article 21 et leur traduction opérationnelle
L'article 21 de la directive NIS2 fixe dix catégories de mesures techniques, organisationnelles et de gestion que les entités essentielles et importantes doivent mettre en œuvre. Pour les infrastructures de marché financier, ces mesures viennent s'articuler avec le cadre DORA déjà en vigueur. Voici les priorités opérationnelles :
1. Analyse de risques et sécurité des systèmes d'information : obligation d'évaluer les risques de cybersécurité de manière continue et proportionnée aux menaces. Les infrastructures de marché doivent intégrer une cartographie complète de leurs actifs TIC, de leurs dépendances critiques et de leur chaîne d'approvisionnement numérique. DORA impose déjà un cadre de gestion du risque TIC (article 6) ; NIS2 renforce cette obligation à l'échelle de l'entité.
2. Gestion des incidents de sécurité : notification sous 24 heures (alerte initiale), 72 heures (rapport intermédiaire), puis un mois (rapport final) à l'ANSSI sous NIS2, et sous des délais similaires aux autorités financières sous DORA. Les infrastructures de marché doivent disposer d'un SOC ou CSIRT interne ou externalisé, capable de détecter, qualifier et notifier tout incident majeur dans les délais réglementaires.
3. Continuité d'activité et gestion de crise : plans de continuité d'activité (PCA) et de reprise d'activité (PRA) testés régulièrement. Pour une bourse ou une contrepartie centrale, l'interruption de service n'est pas envisageable : les PCA doivent garantir un basculement rapide vers des systèmes de secours géographiquement séparés et testés en conditions réelles. DORA impose des tests de résilience au moins annuels et des TLPT tous les trois ans pour les entités les plus critiques.
4. Sécurité de la chaîne d'approvisionnement : évaluation et gestion des risques liés aux fournisseurs TIC critiques. DORA consacre un chapitre entier (articles 28 à 30) à la gestion du risque tiers, et impose aux entités financières de maintenir un registre de tous les accords contractuels avec les prestataires TIC. Ce registre doit être transmis aux autorités (pour la France, l'AMF et l'ACPR en ont reçu les premiers au 15 avril 2025). Les infrastructures de marché financier dépendent de multiples prestataires cloud, de connectivité réseau et de services de cybersécurité : chaque contrat doit être évalué, et les clauses de réversibilité, d'audit et de notification d'incident doivent être négociées.
5. Sécurité dans le développement et la maintenance : intégration de la sécurité dès la conception (security by design) et tout au long du cycle de vie des applications. Les plateformes de négociation développent souvent des systèmes propriétaires critiques : chaque mise à jour doit faire l'objet de tests de sécurité, de validation en environnement de préproduction et de procédures de rollback en cas d'incident.
6. Évaluation de l'efficacité des mesures de sécurité : tests de sécurité réguliers, audits internes et externes, TLPT au moins tous les trois ans pour les acteurs significatifs. Pour les infrastructures de marché, l'obligation de TLPT sous DORA est désormais un standard opérationnel : ces tests sont pilotés par la TCT-FR et impliquent des testeurs externes certifiés. Les résultats doivent être notifiés à l'autorité compétente et conduire à un plan d'action correctif.
7. Cyber-hygiène et formation du personnel : sensibilisation régulière de tous les collaborateurs, formation spécifique des dirigeants et des équipes techniques. DORA impose une formation obligatoire en matière de résilience opérationnelle numérique pour les organes de direction et les employés. NIS2 engage directement la responsabilité personnelle des dirigeants en cas de manquement grave.
8. Cryptographie et chiffrement : protection des données en transit et au repos, gestion sécurisée des clés cryptographiques. Pour les infrastructures de marché, les flux de transactions et les données de marché sont particulièrement sensibles : toute fuite peut entraîner des délits d'initiés ou des manipulations de marché.
9. Gestion des ressources humaines, contrôle d'accès et gestion des actifs : principe du moindre privilège, révision régulière des droits d'accès, gestion du cycle de vie des comptes, séparation des fonctions sensibles. Les accès à privilèges (administrateurs systèmes, opérateurs de plateforme) doivent être tracés, surveillés et révoqués immédiatement en cas de départ d'un collaborateur.
10. Authentification multifactorielle et communications sécurisées : déploiement de MFA pour tous les accès à distance et pour les comptes à privilèges, chiffrement des communications critiques. Selon les bonnes pratiques récentes, l'authentification résistante au phishing (FIDO2/WebAuthn) est recommandée pour limiter les risques de compromission via des campagnes de phishing ciblées, vecteur n°1 avec 16 % des violations de données en 2025.
Prestataires qualifiés ANSSI à mobiliser : PASSI, PRIS, PDIS et SecNumCloud
Les infrastructures de marché financier doivent s'appuyer sur des prestataires qualifiés par l'ANSSI pour répondre aux exigences de NIS2 et DORA. La liste des prestataires qualifiés est accessible sur le site de l'ANSSI.
PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) et PASSI-LPM (PASSI Loi de Programmation Militaire) : audits de sécurité, tests d'intrusion, revues d'architecture. Les infrastructures OIV (Opérateurs d'Importance Vitale) doivent recourir à des PASSI-LPM ; les autres entités peuvent s'appuyer sur des PASSI classiques. Ces prestations permettent d'évaluer la conformité technique aux mesures de l'article 21, de réaliser des tests de vulnérabilité et de documenter l'état de sécurité pour les contrôles ANSSI.
PRIS (Prestataire de Réponse aux Incidents de Sécurité) : intervention rapide en cas d'incident majeur (compromission, ransomware, intrusion). Pour une infrastructure de marché, le PRIS vient renforcer le CSIRT interne ou remplacer une capacité inexistante. La réactivité est critique : un PRIS qualifié peut investiguer, contenir et documenter l'incident dans les délais de notification réglementaires.
PDIS (Prestataire de Détection des Incidents de Sécurité) : surveillance continue (SOC externalisé ou partagé), détection des signaux faibles, corrélation d'événements de sécurité. Pour une bourse ou une contrepartie centrale, la capacité de détection 24/7 est indispensable. Un PDIS qualifié apporte une veille sur les menaces spécifiques au secteur financier et peut intégrer les flux de threat intelligence partagés entre acteurs.
SecNumCloud : référentiel d'exigences ANSSI pour les offres cloud de confiance. Les infrastructures de marché qui recourent à des services cloud pour héberger des fonctions critiques (plateforme de négociation, systèmes de back-office) doivent privilégier des prestataires qualifiés SecNumCloud, garantissant un niveau élevé de sécurité, de réversibilité et de localisation des données sur le territoire européen.
Enfin, pour les TLPT, la TCT-FR impose le recours à des testeurs certifiés ou adhérant à des codes de conduite reconnus. La Banque de France et l'ACPR ont publié en novembre 2023 des exigences spécifiques pour les prestataires de Threat Intelligence (TI) et de Red Team : au moins cinq ans d'expérience en renseignement sur les menaces dont trois dans le secteur financier, au moins trois références en Red Teaming guidé par la menace, couverture d'assurance adaptée. Seuls les prestataires répondant à ces critères sont autorisés à intervenir dans les TLPT DORA.
Calendrier et prochaines étapes : loi Résilience, MonEspaceNIS2, ReCyF
La promulgation de la loi Résilience est attendue pour le premier semestre 2026, avec une publication probable en juillet 2026 selon les derniers échanges parlementaires. Les décrets techniques de l'ANSSI, qui précisent les mesures de sécurité, les modalités de contrôle et les sanctions, devraient être publiés au second trimestre 2026.
Depuis le 24 novembre 2025, l'ANSSI a ouvert la plateforme MonEspaceNIS2 pour permettre aux entités de s'auto-évaluer, de pré-enregistrer leur déclaration et de consulter les ressources dédiées. Les infrastructures de marché financier, déjà soumises à DORA, doivent compléter leur inscription sur MonEspaceNIS2 pour formaliser leur statut d'entité essentielle et anticiper les contrôles ANSSI.
Le Référentiel Cyber France (ReCyF), publié le 17 mars 2026, structure 20 objectifs de sécurité et liste les moyens acceptables de conformité pour les entités essentielles (EE) et les entités importantes (EI). Bien qu'il soit diffusé à ce stade en version de travail, le ReCyF permet dès maintenant de structurer un plan de mise en conformité. Un outil de comparaison est disponible sur MesServicesCyber pour mettre ReCyF en regard d'ISO 27001, de DORA et des référentiels sectoriels. L'ANSSI prévoit également de publier prochainement un référentiel de mesures basiques à fort impact (Cyber Départ), ciblant les actions prioritaires pour les entités les moins matures.
Les sanctions prévues par NIS2 sont lourdes : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel pour les entités essentielles, 7 millions d'euros ou 1,4 % du CA pour les entités importantes. DORA ajoute des sanctions administratives pouvant atteindre 1 % du CA quotidien moyen mondial pour les prestataires tiers critiques en cas de non-respect des mesures imposées par les autorités de supervision. Les dirigeants peuvent être tenus personnellement responsables en cas de manquement grave.
Les infrastructures de marché financier doivent donc piloter simultanément leur conformité DORA (déjà applicable depuis le 17 janvier 2025) et leur préparation à NIS2 (applicable dès la promulgation de la loi Résilience). La coordination entre les exigences sectorielles (MiFID II, EMIR, CSDR) et les nouvelles obligations cyber (DORA, NIS2) nécessite une gouvernance transverse, un dialogue permanent avec les autorités (AMF, ACPR, Banque de France, ANSSI) et un investissement significatif dans les capacités de résilience opérationnelle : tests de résilience, TLPT, gestion du risque tiers, SOC, CSIRT, PCA/PRA, formation continue.
Pour aller plus loin, consultez les ressources ANSSI sur la directive NIS2, le texte officiel de la directive (UE) 2022/2555, et les pages dédiées de l'ACPR et de l'AMF sur DORA. Explorez également notre dossier complet sur les mesures de cybersécurité et notre annuaire des prestataires qualifiés ANSSI.