nis2-pro.fr
Annexe I — secteur hautement critique

Secteur bancaire et NIS2 : double contrainte réglementaire, enjeu systémique majeur

Le secteur bancaire français se trouve au cœur d'un renforcement réglementaire sans précédent en matière de cybersécurité. Bien que déjà soumis à la supervision prudentielle de l'ACPR et aux exigences du règlement DORA entré en application le 17 janvier 2025, les établissements de crédit restent pleinement concernés par la directive NIS2, transposée en France par le projet de loi Résilience dont la promulgation est attendue au premier semestre 2026. Cette superposition de textes crée une architecture réglementaire complexe où DORA prime sur NIS2 pour la gestion des risques TIC, mais où les obligations de notification d'incident à l'ANSSI demeurent. Dans un contexte où 488 incidents ont été enregistrés pour le secteur financier en Europe sur 18 mois selon l'ENISA, cette double contrainte reflète la nature systémique du risque cyber bancaire.

Périmètre NIS2 pour les établissements bancaires : entités essentielles par défaut

Les banques françaises entrent dans le champ d'application de NIS2 via l'Annexe I « secteur hautement critique », catégorie « secteur bancaire ». Sont concernés les établissements de crédit au sens du règlement européen (UE) n° 575/2013 (CRR) : banques de détail et réseaux d'agences, banques d'investissement, néobanques agréées, caisses d'épargne et coopératives, banques privées et de gestion de patrimoine.

Contrairement à d'autres secteurs où les seuils de taille (250 salariés, 50 M€ de CA) déterminent l'inclusion, la quasi-totalité des établissements bancaires français dépasse largement ces critères et sera qualifiée d'entité essentielle. Cette qualification emporte les obligations les plus lourdes : notification des incidents significatifs à l'ANSSI dans un délai de 24 heures, application stricte des dix mesures de l'article 21, contrôles sur site potentiels et sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.

La directive distingue formellement « secteur bancaire » (établissements de crédit) et « infrastructures des marchés financiers » (plateformes de négociation, chambres de compensation, dépositaires centraux), tous deux en Annexe I. Les établissements de paiement et de monnaie électronique, eux, relèvent d'une catégorie distincte en Annexe II, avec un statut d'entité importante sauf dépassement des seuils.

Articulation NIS2, DORA et réglementation prudentielle : qui prime sur quoi ?

Le règlement européen 2022/2554 sur la résilience opérationnelle numérique du secteur financier (DORA) entrera en application le 17 janvier 2025. DORA s'applique selon le principe de lex specialis : pour les exigences de gestion des risques TIC (gouvernance, tests de résilience, registre des prestataires tiers), DORA prévaut sur NIS2 pour les entités financières.

Toutefois, cette primauté n'est pas totale. Selon la directive NIS2 elle-même (considérant 16), les États membres peuvent exempter les entités financières soumises à DORA des seules obligations en matière de gestion des risques, mais doivent conserver les obligations de notification d'incident et de supervision de NIS2. En France, l'ANSSI a publié le ReCyF (Référentiel Cyber France) le 17 mars 2026, qui détaille les mesures attendues pour NIS2, et reste l'autorité de supervision pour la notification des incidents cyber au titre de NIS2, même pour les banques déjà soumises à DORA et supervisées par l'ACPR.

Concrètement, une banque française doit :

  • Mettre en œuvre le cadre de gestion des risques TIC de DORA (articles 5 à 16 du règlement DORA), y compris le registre des prestataires TIC critiques à remettre à l'ACPR.
  • Notifier les incidents majeurs liés aux TIC selon DORA (article 19) à l'ACPR, via le portail dédié ouvert depuis janvier 2025.
  • Notifier les incidents significatifs au titre de NIS2 à l'ANSSI (MonEspaceNIS2), dès que le projet de loi Résilience sera promulgué, selon les critères définis par décret.
  • Respecter la réglementation prudentielle pré-existante (contrôle interne, gestion des risques opérationnels) édictée par l'ACPR et la BCE dans le cadre du Mécanisme de supervision unique.

Cette triple couche impose une coordination étroite entre ACPR et ANSSI, déjà formalisée par des protocoles d'échange. En pratique, un même incident peut donner lieu à deux notifications distinctes.

Spécificités cyber du secteur bancaire : menaces industrialisées, surface d'attaque étendue

Les banques font face à une menace permanente et hautement professionnalisée. Le secteur des services financiers a enregistré 432 incidents de ransomware totalisé environ 365,6 millions de dollars de paiements entre 2022 et 2024 selon le FinCEN américain, faisant de la finance l'un des trois secteurs les plus ciblés au monde, avec la santé et l'industrie.

Les vecteurs d'attaque privilégiés incluent :

La surface d'attaque s'est élargie avec la digitalisation accélérée : multiplication des interfaces client (web, mobile, API), interconnexions accrues avec les infrastructures européennes (TARGET2, SEPA), recours massif au cloud et aux prestataires SaaS. Cette évolution a conduit le législateur européen à imposer DORA pour encadrer spécifiquement le risque de concentration chez les prestataires TIC critiques.

Incidents marquants récents : de la fuite FICOBA aux attaques DDoS de fin 2025

Janvier 2026 : compromission du fichier FICOBA (1,2 million de comptes)

En janvier 2026, le piratage d'un prestataire a déclenché la fuite de plus de 1,2 million de données liées aux comptes bancaires listés au fichier national FICOBA. Ici, personne n'a eu accès aux soldes ou mouvements de fonds, mais des informations sensibles (identité, IBAN, coordonnées) ont été exposées. Cet incident, confirmé par le ministère de l'Économie le 19 février 2026, illustre le risque spécifique lié aux registres centralisés et aux prestataires publics. Il a donné lieu à des recommandations de la Banque de France pour activer les listes blanches SEPA.

Décembre 2025–janvier 2026 : attaque DDoS massive contre La Banque Postale

La Poste et La Banque Postale ont fait face à des attaques DDoS massives ayant rendu indisponibles les sites et applications pendant plusieurs heures en pleine période de Noël. Le groupe pro-russe NoName057 a revendiqué l'opération. Bien qu'aucune fuite de données n'ait été confirmée, l'indisponibilité a affecté des millions de clients. Cet épisode a démontré la vulnérabilité des services bancaires en ligne face à des attaques de déni de service distribuées, malgré des dispositifs de filtrage avancés.

Décembre 2024 : malware DroidBot visant 8 banques françaises

Le malware DroidBot s'est propagé via de faux APK Android, se faisant passer pour des navigateurs ou le Google Play Store. Il visait BNP Paribas, Boursorama, Crédit Agricole, et d'autres grandes enseignes. L'attaque exploitait les services d'accessibilité Android pour intercepter codes SMS, mots de passe et superposer des interfaces frauduleuses. Seuls les terminaux clients étaient ciblés, non les infrastructures bancaires elles-mêmes, mais l'incident a relancé le débat sur la responsabilité des banques en cas de compromission côté client.

2024 : incident CrowdStrike et campagne MOVEit

Bien qu'accidentel, l'incident affectant les utilisateurs de CrowdStrike en juillet 2024 a généré près de 1,15 milliard de dollars de pertes pour les acteurs bancaires selon Parametrix. Cet épisode souligne le risque systémique lié à la concentration sur quelques fournisseurs de sécurité. La campagne MOVEit, exploitant une vulnérabilité dans un logiciel de transfert de fichiers, a compromis plus de 2 700 organisations dont au moins 15 banques.

Ces quatre incidents, tous survenus entre 2024 et début 2026, témoignent de la diversité des menaces : fuite via prestataire tiers (FICOBA), saturation DDoS (La Banque Postale), malware client (DroidBot), compromission supply chain (MOVEit, CrowdStrike). Ils valident la nécessité d'une approche globale de la résilience, au-delà de la seule sécurisation périmétrique.

Mesures techniques prioritaires de l'article 21 NIS2 pour les banques

L'article 21 de la directive NIS2 impose dix catégories de mesures techniques et organisationnelles. Pour le secteur bancaire, cinq axes sont particulièrement critiques, compte tenu du niveau de menace et de l'existant DORA :

1. Analyse des risques de sécurité et sécurité des systèmes d'information

Les banques doivent conduire une évaluation continue et documentée de leurs risques cyber, couvrant l'ensemble de leurs SI (et non seulement les systèmes d'importance vitale, comme sous le régime OIV antérieur). DORA impose déjà un cadre de gestion des risques TIC (article 6 DORA), mais NIS2 élargit le périmètre au-delà des seuls systèmes critiques pour inclure tous les actifs numériques susceptibles d'affecter la continuité de service ou les données clients. En pratique, la méthode EBIOS Risk Manager (promue par l'ANSSI) ou ISO 27005 constituent des bases reconnues. Le ReCyF publié en mars 2026 propose une grille de mesures adaptées aux différents niveaux de risque.

Lien interne : Analyse des risques de sécurité des SI

2. Gestion des incidents de sécurité

NIS2 impose une capacité de détection, de classification et de notification rapide des incidents. Les banques doivent établir un processus formel avec des délais contraints : notification initiale dans les 24 heures suivant la prise de connaissance d'un incident significatif, rapport intermédiaire sous 72 heures, rapport final sous un mois. DORA impose parallèlement un processus similaire pour les incidents majeurs TIC (article 19 DORA). L'enjeu est de coordonner ces deux flux sans duplication inutile. L'ANSSI et l'ACPR ont annoncé un partage d'informations pour éviter les doubles déclarations, mais les établissements doivent mettre en place des playbooks de réponse à incident couvrant les deux régimes.

Lien interne : Gestion des incidents de sécurité

3. Continuité des activités et gestion de crise

Les banques sont déjà tenues de disposer de plans de continuité d'activité (PCA) et de dispositifs de reprise après sinistre (PRA) dans le cadre prudentiel et DORA. NIS2 renforce ces exigences en imposant des tests réguliers (au moins annuels) et une coordination avec les autorités en cas de crise cyber majeure. En septembre 2022, la Banque de France et le Groupe de Place Robustesse ont organisé un exercice de gestion de crise majeure sur la thématique d'une cyberattaque par supply chain. Ces exercices sectoriels sont désormais essentiels pour tester l'efficacité des dispositifs en conditions réalistes.

Lien interne : Continuité d'activité et gestion de crise

4. Sécurité de la chaîne d'approvisionnement

DORA impose un registre exhaustif des prestataires TIC (article 28 DORA), avec une première remise attendue au 30 avril 2025 pour les entités sous supervision ACPR. NIS2 exige parallèlement l'évaluation et la maîtrise des risques liés aux fournisseurs critiques. Les banques doivent donc :

  • Cartographier l'ensemble de leurs prestataires TIC (cloud, SaaS, infogérance, éditeurs logiciels, sous-traitants SOC).
  • Qualifier ceux qui sont « critiques » au sens DORA (article 30) et « essentiels » au sens NIS2.
  • Insérer dans les contrats des clauses de cybersécurité, de notification d'incident, de droit d'audit et de réversibilité.
  • Tester régulièrement les capacités de leurs prestataires à réagir en cas d'incident.

Le risque de concentration est majeur : l'incident CrowdStrike a montré qu'une panne chez un unique fournisseur peut affecter simultanément des centaines d'institutions.

Lien interne : Sécurité de la chaîne d'approvisionnement

5. Authentification multifacteur et communications sécurisées

L'authentification forte (MFA) est déjà obligatoire pour les paiements en ligne depuis la directive DSP2 (forte authentification client). NIS2 l'étend à l'ensemble des accès administratifs et privilégiés aux SI bancaires. La première protection qui aurait dû être mise en place, c'est l'authentification multifacteur sur des comptes de fonctionnaires ayant des accès à des données sensibles, relevait un expert après la cyberattaque du ministère de l'Intérieur en décembre 2025. Les banques doivent généraliser la MFA pour tous les comptes à privilèges (administrateurs système, DBA, comptes de service), privilégier des solutions hardware (clés FIDO2, cartes à puce) ou logicielles (OTP via application, passkeys) plutôt que SMS, et segmenter strictement les réseaux pour limiter les mouvements latéraux en cas de compromission.

Lien interne : Authentification multifacteur et communications sécurisées

D'autres mesures de l'article 21 restent essentielles : chiffrement (crypto-hygiene), formation du personnel (cyber-hygiene), évaluation de l'efficacité des mesures, contrôle des accès et gestion des actifs, sécurité dans le développement logiciel. Le caractère systémique du secteur bancaire impose une application stricte de l'ensemble des dix mesures.

Prestataires qualifiés ANSSI à mobiliser : PASSI, PRIS, PDIS et SecNumCloud

Face à la complexité de NIS2 et DORA, les banques peuvent s'appuyer sur l'écosystème des prestataires qualifiés par l'ANSSI. Cinq qualifications sont particulièrement pertinentes :

  • PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) : pour réaliser les audits de conformité, tests d'intrusion, revues d'architecture SI. DORA impose des tests de pénétration avancés (TLPT – Threat-Led Penetration Testing) pour les entités significatives ; un PASSI qualifié peut conduire ces tests selon le référentiel TIBER-FR de la Banque de France.
  • PASSI-LPM (PASSI Loi de Programmation Militaire) : pour les banques qualifiées Opérateurs d'Importance Vitale (OIV), qui doivent faire auditer leurs Systèmes d'Information d'Importance Vitale par un PASSI-LPM.
  • PRIS (Prestataire de Réponse aux Incidents de Sécurité) : pour intervenir en urgence lors d'un incident cyber (investigation forensique, éradication de malware, restauration de données). La rapidité de réaction est critique : le délai entre intrusion initiale et chiffrement complet est passé de 60 jours en 2019 à 4 jours en 2024.
  • PDIS (Prestataire de Détection des Incidents de Sécurité) : pour externaliser ou compléter le SOC interne. Un PDIS qualifié surveille 24/7, corrèle les événements de sécurité, détecte les comportements anormaux et alerte en temps réel. Essentiel pour répondre à l'exigence de détection rapide de NIS2 et DORA.
  • SecNumCloud : référentiel de qualification pour les offres cloud de confiance. Les banques soumises à DORA doivent documenter et encadrer leurs relations avec les prestataires cloud critiques. Choisir un hébergeur SecNumCloud apporte une garantie de conformité aux exigences de sécurité, de localisation des données (UE) et de réversibilité.

L'annuaire officiel des prestataires qualifiés est maintenu par l'ANSSI sur cyber.gouv.fr/produits-services-qualifies.

Lien interne : Annuaire des prestataires qualifiés NIS2

Calendrier et prochaines étapes : promulgation attendue T2 2026, référentiel ReCyF disponible

Le calendrier réglementaire français se précise :

  • 17 janvier 2025 : entrée en application de DORA. Les banques doivent notifier les incidents majeurs TIC à l'ACPR, remettre leur registre des prestataires TIC (échéance 30 avril 2025 pour les entités sous supervision ACPR).
  • 17 mars 2026 : l'ANSSI met à disposition le Référentiel Cyber France (ReCyF), qui liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS 2. Ce document de travail correspond au référentiel mentionné à l'article 14 du projet de loi Résilience et permet aux futurs assujettis de s'en prévaloir en cas de contrôle.
  • Premier semestre 2026 (attendu juillet) : promulgation de la loi Résilience, la date évoquée étant celle de juillet 2026 selon les rapporteurs parlementaires. Le texte a été adopté au Sénat en mars 2025, examiné en commission spéciale à l'Assemblée nationale en septembre 2025.
  • Deuxième semestre 2026 : publication des décrets d'application et arrêtés techniques précisant les modalités de notification, les critères d'incident significatif, les procédures de contrôle.
  • 24 novembre 2025 : ouverture du portail MonEspaceNIS2 pour le pré-enregistrement des entités concernées. Les banques sont invitées à s'auto-évaluer et à déclarer leur périmètre en amont de l'entrée en vigueur.

Les établissements bancaires ont donc un délai court pour finaliser leur mise en conformité. Compte tenu de la complexité d'articulation entre DORA et NIS2, il est recommandé de :

  1. Cartographier les écarts entre le cadre DORA déjà déployé et les exigences NIS2 (notamment sur les délais de notification, le périmètre de l'analyse de risques, la formation du personnel).
  2. Établir un plan de mise en conformité intégré, coordonné entre la direction des risques (pilote DORA/ACPR), la DSI, le RSSI et la direction juridique.
  3. Formaliser la gouvernance : désigner un responsable NIS2, définir les rôles et responsabilités, mettre en place un comité de pilotage.
  4. Tester les processus de notification d'incident auprès de l'ANSSI et de l'ACPR (simulations d'incident, drill de crise).
  5. Former l'ensemble du personnel aux nouveaux réflexes cyber : reconnaissance du phishing, signalement d'anomalie, geste en cas d'incident.

L'ANSSI propose via MesServicesCyber un catalogue de guides, outils et contacts personnalisés pour accompagner les entités dans leur montée en maturité.

Ressources officielles :

Liens internes complémentaires :

← Tous les secteurs régulésSource ANSSI ↗