Skip to main content

NIS2 et DORA : conformité MDM flotte mobile

Espace de travail cybersécurité et conformité. Photo par Zion sur Pexels

Deux réglementations européennes sont entrées en vigueur à quelques mois d'intervalle. NIS2 depuis octobre 2024, DORA depuis janvier 2025. Toutes deux exigent un renforcement de la cybersécurité, un signalement rapide des incidents, et une gestion rigoureuse des risques IT. Le point commun ? Les équipes conformité oublient souvent un maillon critique : les terminaux mobiles.

Vos collaborateurs consultent leurs emails professionnels sur iPhone. Les techniciens terrain utilisent des tablettes Android. Les dirigeants valident des contrats depuis les salons d'aéroport. Chacune de ces interactions entre dans le périmètre NIS2 ou DORA si votre organisation est concernée. Cet article fait le point sur ce que ces deux textes imposent, où le MDM intervient, et ce que vous pouvez mettre en place dès maintenant.

NIS2 : l'essentiel

La directive NIS2 (Network and Information Security 2) remplace la directive NIS de 2016. Elle distingue deux catégories d'organisations : les entités essentielles (énergie, transports, banque, santé, eau, infrastructures numériques) et les entités importantes (services postaux, gestion des déchets, agroalimentaire, industrie, fournisseurs numériques). Votre organisation est concernée si elle opère dans l'un de ces secteurs au sein de l'UE avec 50 salariés ou plus, ou un CA supérieur à 10 millions d'euros.

Les obligations se répartissent en quatre volets :

  • Gestion des risques. Identifier, évaluer et atténuer les risques cyber sur l'ensemble des systèmes IT. Les terminaux mobiles sont inclus.
  • Signalement des incidents. Notifier le CSIRT national dans les 24 heures suivant un incident significatif. Un rapport complet est exigé sous 72 heures.
  • Sécurité de la chaîne d'approvisionnement. Évaluer la posture cybersécurité de vos fournisseurs. Votre éditeur MDM en fait partie.
  • Gouvernance. Les dirigeants sont personnellement responsables de la conformité. Des sanctions individuelles sont prévues.

Les amendes vont jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles. Un niveau d'application comparable au RGPD, mais appliqué à la cybersécurité.

DORA : l'essentiel

Le règlement DORA (Digital Operational Resilience Act) cible spécifiquement le secteur financier : banques, assureurs, sociétés de gestion, prestataires de paiement, et les tiers ICT qui les servent. Si NIS2 ratisse large, DORA est le texte chirurgical pour la finance.

DORA repose sur cinq piliers :

  1. Gestion des risques ICT. Mettre en place un cadre couvrant l'identification, la protection, la détection, la réponse et la reprise. Chaque actif ICT, terminaux mobiles compris, doit être inventorié et évalué.
  2. Signalement des incidents ICT. Classifier les incidents par gravité et signaler les plus critiques à l'autorité compétente.
  3. Tests de résilience opérationnelle. Tests réguliers, y compris des tests de pénétration fondés sur les menaces (TLPT) pour les grandes institutions.
  4. Gestion des risques tiers ICT. Recenser tous les prestataires ICT. Les tiers critiques font l'objet d'une surveillance directe par l'UE.
  5. Partage d'informations. Échange volontaire de renseignements sur les cybermenaces entre entités financières.

DORA ne fixe pas directement le montant des sanctions, mais les autorités nationales détermineront les pénalités. Les premiers retours laissent présager des montants à six ou sept chiffres pour les établissements bancaires.

Pourquoi les mobiles sont le maillon faible

La plupart des programmes de conformité NIS2 et DORA se concentrent sur les serveurs, les réseaux et les postes de travail. Les terminaux mobiles passent au second plan. C'est une erreur.

Un seul iPhone non géré avec accès à la messagerie professionnelle peut enfreindre plusieurs exigences NIS2 simultanément. Pas de verrouillage d'écran imposé ? Manquement à la gestion des risques. L'employé perd son téléphone et personne ne le sait pendant deux semaines ? Obligation de signalement non respectée. L'appareil tourne sous iOS 15 avec des vulnérabilités connues ? Gestion des correctifs défaillante.

DORA va encore plus loin. L'article 9 exige des entités financières qu'elles "identifient toutes les sources de risque ICT" et maintiennent un inventaire à jour des actifs ICT. Si les chargés de clientèle de votre banque utilisent leur téléphone personnel pour accéder au CRM (et c'est le cas), ces appareils doivent être inventoriés et contrôlés.

Ce que le MDM apporte face à NIS2

Voici comment les fonctionnalités d'un MDM répondent aux mesures de gestion des risques de NIS2 (Article 21) :

Chiffrement (Art. 21.2.d). Le MDM vérifie que chaque appareil inscrit dispose d'un chiffrement actif. Les appareils non conformes sont automatiquement bloqués. Plus besoin d'audit manuel.

Contrôle d'accès (Art. 21.2.i). Imposer un mot de passe complexe, l'authentification biométrique, et l'accès multifacteur aux applications professionnelles. Sur les appareils BYOD, le MDM peut exiger un code distinct pour le conteneur professionnel.

Gestion des vulnérabilités (Art. 21.2.e). Imposer des versions minimales d'OS. Bloquer les appareils sous firmware obsolète.

Gestion des incidents (Art. 21.2.b). Verrouillage et effacement à distance en quelques minutes. Les journaux MDM fournissent la chronologie dont les régulateurs ont besoin.

Chaîne d'approvisionnement (Art. 21.2.d). Contrôler les applications installables. Bloquer le sideloading. Distribuer les apps approuvées via un catalogue applicatif géré.

Ce que le MDM apporte face à DORA

Le cadre de gestion des risques ICT de DORA (Chapitre II) se traduit en MDM de la façon suivante :

Inventaire des actifs ICT (Art. 8). Le MDM maintient automatiquement un inventaire en temps réel : modèle, version d'OS, dernière connexion, applications installées, statut de conformité. C'est la source de vérité que les auditeurs recherchent.

Protection et prévention (Art. 9). Appliquer les politiques de chiffrement, VPN et sécurité réseau. Bloquer les appareils jailbreakés ou rootés. Restreindre le débogage USB et le transfert de fichiers sur Android.

Détection (Art. 10). Le monitoring de conformité identifie les appareils hors politique. Un téléphone qui ne s'est pas connecté depuis 30 jours, un certificat révoqué, un verrouillage d'écran désactivé : le MDM détecte tout cela.

Réponse et reprise (Art. 11). Effacement à distance, verrouillage et Return to Service (iOS 17+) offrent des options de réponse sans accès physique à l'appareil.

Checklist de mise en conformité

Si vous partez de zéro, voici un plan en quatre semaines couvrant les exigences mobiles NIS2 et DORA :

Semaine 1 : inventaire et inscription. Déployez le MDM sur tous les appareils corporate. Utilisez l'inscription zero-touch pour les nouveaux appareils. Inscrivez les appareils BYOD via User Enrollment (iOS) ou Work Profile (Android).

Semaine 2 : politiques de sécurité de base. Imposez le chiffrement, une version d'OS minimale, le verrouillage d'écran. Bloquez les appareils non conformes.

Semaine 3 : gestion applicative. Distribuez les applications via Managed Google Play et Apple Business Manager. Bloquez le sideloading. Configurez les paramètres applicatifs (VPN par app, tokens SSO).

Semaine 4 : test de réponse aux incidents. Simulez la perte d'un téléphone par un dirigeant. Vérifiez que l'effacement à distance fonctionne, que le journal d'audit capture la chronologie, que vous pouvez produire un rapport sous 24 heures.

Ce qu'Appaloosa apporte

Appaloosa est un MDM multiplateforme qui gère iOS, Android et macOS depuis une console unique. Pour la conformité NIS2 et DORA, plusieurs points comptent :

Hébergement en UE. Appaloosa tourne sur une infrastructure européenne. Vos données de gestion d'appareils restent dans l'UE, ce qui simplifie les questions de résidence des données.

Politiques granulaires. Définissez des politiques différentes par groupe d'appareils : contrôles renforcés pour les dirigeants manipulant des données sensibles, politiques allégées pour les tablettes partagées en magasin. Les exceptions sont tracées pour l'audit.

Reporting prêt pour l'audit. Exportez l'inventaire, l'historique de conformité et les journaux de réponse aux incidents dans les formats attendus par les auditeurs.

Découvrir le MDM Appaloosa ou explorer les fonctionnalités de support à distance pour vos scénarios de réponse aux incidents.
Julien Ott
janvier 1, 1970

Prêt à déployer votre MDM?

Commencez dès aujourd’hui avec un accès illimité à notre plateforme et l’aide de nos experts produits.

Démarrer

Ou contactez notre équipe.

Essai gratuit de 14 jours
Annulez à tout moment sans contrainte.
Assistance d'experts
Bénéficiez d'une intégration personnalisée et experte pour commencer rapidement.