Dans ce contexte, les entreprises, pour maintenir leur performance économique et le lien de confiance avec leurs clients, doivent assurer la continuité des activités. Face à cet enjeu, des communications fiables ne constituent plus un simple atout : c’est une condition de survie.
Au-delà de la nécessité, pour chaque entreprise, d’assurer sa propre résilience face aux crises, l’Union européenne renforce la sécurité collective à travers les directives REC, NIS2 et DORA. Ces textes imposent aux organisations – près de 23 000 entreprises et 1 500 collectivités sont concernées en France – de renforcer leur cybersécurité et leur résilience numérique. Concrètement, chacune d’elle doit adapter et mettre en œuvre des plans de continuité, une meilleure gestion des risques ICT (Information and Communication Technologies) et l’anticipation des dépendances critiques.
- REC : Résilience des entités critiques
- NIS2 : Network and Information Security 2
- DORA : Digital Operational Resilience Act
- CRA : Cyber Resilience Act
- MPCU : Mécanisme de protection civile de l’Union
- BIA : Business Impact Analysis (analyse d’impact sur les activités)
- PCA : Plan de Continuité d’Activité
- PRA : Plan de Reprise d’Activité
- PCRA : Plan de Continuité et de Reprise d’Activité
Continuité d’activité et conformité numérique : voilà les deux maîtres-mots des nouvelles règles européennes. Depuis octobre 2023, trois textes structurants – REC, NIS2 et DORA – redessinent le paysage de la résilience numérique. Leur ambition : protéger les infrastructures vitales pour nos sociétés, qu’il s’agisse de l’énergie, du transport, de l’eau, des réseaux financiers ou encore des systèmes informatiques.
En France, ce cadre est en cours de transposition avec le projet de loi sur la résilience des infrastructures critiques et la cybersécurité.
En pratique, la directive REC renforce les exigences de protection des infrastructures essentielles et élargit son champ à de nouveaux secteurs comme les réseaux de chaleur, l’hydrogène ou l’assainissement. Elle s’inscrit dans une dynamique européenne plus large aux côtés du Cyber Resilience Act (CRA), qui complète ce dispositif en imposant des exigences de sécurité pour les produits et logiciels numériques. Ensemble, ces textes traduisent une volonté commune : bâtir une résilience globale, à la fois physique et numérique, des organisations critiques, en responsabilisant chaque acteur, des chaînes de valeur de l’éditeur de solution aux fournisseurs de service en passant par l’intégrateur.
La directive NIS2 impose des obligations accrues en matière de cybersécurité : administration systèmes renforcée, audits, gestion des risques, signalement rapide des incidents. Résultat : près de 23 000 entreprises « essentielles » ou « importantes » et environ 1 500 collectivités françaises sont désormais concernées, contre seulement 500 auparavant.
L'administration systèmes regroupe toutes les tâches d'entretien qui maintiennent les serveurs informatiques en bon état de fonctionnement, comme l'installation des mises à jour de sécurité, la gestion des comptes utilisateurs, l'actualisation des antivirus et le nettoyage des programmes inutiles. Ces activités sont essentielles pour protéger les données de l'entreprise et assurer la conformité avec les réglementations européennes de cybersécurité (NIS2).
Enfin, le règlement DORA cible spécifiquement le secteur financier, avec des exigences renforcées en matière de gestion des risques ICT et de tests réguliers. Mais au-delà de la mise en place des meilleures pratiques techniques, ces textes engagent une responsabilité accrue des dirigeants.
L'analyse d'impact sur les activités (BIA - Business Impact Analysis) devient une démarche essentielle pour identifier et évaluer les effets potentiels d'une interruption ou d'une perturbation des activités essentielles d'une organisation. Elle permet de déterminer les priorités en matière de reprise d’activité et de définir les ressources nécessaires pour assurer la continuité des opérations critiques.
C’est toujours cette analyse BIA qui permet aux organisations de mettre en place des plans de continuité et de reprise d’activité (PCA et PRA) testés et fiables, tout en anticipant leurs dépendances critiques vis-à-vis de prestataires tiers.
Comme le rappelle Christian Sommade, délégué général du Haut Comité Français pour la Résilience Nationale (HCFRN) : « La prévention seule ne suffit pas, il faut absolument y associer la préparation. »
Nous comprenons que le développement de la cyber-résilience nécessite une collaboration à tous les niveaux, qu’il s’agisse d’alliances et de partenariats industriels ou d’un travail en étroite collaboration avec nos clients. Il est également nécessaire de coopérer entre les secteurs public et privé. En 2025, la réglementation permet à l’écosystème européen de la cybersécurité de franchir une étape supplémentaire. Nous sommes prêts à soutenir ce mouvement.
La continuité d’activité, ce n’est pas un luxe ! C’est la capacité, pour une entreprise, de maintenir ou de rétablir rapidement ses fonctions essentielles quand survient une perturbation majeure. C'est l’engagement du fournisseur de garantir un service permanent à son client. Et avec les nouvelles obligations européennes, un simple plan posé sur une étagère ne suffit plus. Les organisations doivent démontrer qu’elles disposent de dispositifs testés et conformes, capables de protéger leur chaîne de valeur.
Investir dans la prévention, c’est aussi rentable qu’indispensable. Et le ratio souvent cité par Christian Sommade, délégué général du HCFRN, est sans appel : l’ONU estime qu’un euro consacré en amont permet d’économiser six à sept euros en cas de catastrophe naturelle. Et la Chambre de commerce américaine va encore plus loin : chaque euro investi rapporte jusqu’à treize euros de bénéfice. De quoi transformer une dépense en véritable levier stratégique.
Autre point clé : les communications critiques. Car en situation de crise, être capable de maintenir des échanges fiables et sécurisés est désormais incontournable. Dans un monde où les crises s’enchaînent, la résilience devient un processus permanent d’anticipation et d’adaptation.
Un incident informatique majeur peut coûter très cher et avoir un impact majeur sur les personnes (perte de données patients dans le secteur de la santé, par exemple).
C’est aussi la clé pour assurer la disponibilité des services les plus importants de l’organisation, pour les clients ou les usagers. Ces derniers continuent d’accéder à leurs comptes, les équipes internes restent connectées pour continuer leurs activités, la chaîne de valeur n’est pas cassée.
Le PCRA inclut des mesures précises pour sécuriser les informations stratégiques, implémente des procédures « boutons rouges » activables selon le type d’incident ou de cyber attaque (par exemple : isolement des sauvegardes, ou d’une application critique, du reste du SI). Il peut réduire les risques de fuite ou de perte de données, qui peuvent avoir des conséquences désastreuses.
En France, le PCRA n’est pas encore obligatoire pour toutes les organisations. Il l’est en revanche pour certains secteurs, comme la Santé, et est fortement recommandé par des autorités comme la CNIL ou service-public.fr.
L'analyse d'impact sur les activités (BIA - Business Impact Analysis) devient une démarche essentielle pour identifier et évaluer les effets potentiels d'une interruption ou d'une perturbation des activités essentielles d'une organisation. Elle permet de déterminer les priorités en matière de reprise d’activité et de définir les ressources nécessaires pour assurer la continuité des opérations critiques.
Dans un environnement marqué par la multiplication des crises et l’entrée en vigueur de nouvelles obligations européennes, Orange Business s’affirme comme un partenaire stratégique incontournable.
Comme le souligne Patrick Guyonneau, directeur de la sécurité du groupe Orange : « Lors des Jeux olympiques et paralympiques de Paris 2024, nous avons franchi un cap en passant du rôle de l’opérateur résilient au statut d’un véritable opérateur de résilience ».
Le risque zéro n’existe pas, il convient donc de se préparer au scénario du pire pour ne vivre que le meilleur !
Il combine conseil, solutions techniques et formation. D’un côté, des outils éprouvés permettent de maintenir des communications critiques même dans les situations les plus extrêmes. De l’autre, des programmes de sensibilisation et des exercices de simulation aident les équipes à tester et renforcer leurs plans de continuité.
Nous concevons nos infrastructures pour intégrer une diversité de technologies et de points d’entrée, assurant la continuité même en cas de défaillance. La résilience est encore renforcée par la couverture satellitaire, capable de prendre instantanément le relais.
Les tensions géopolitiques, les cyberattaques et la multiplication des catastrophes naturelles conduisent les entreprises à repenser leur résilience et leur dépendances technologiques. Dans ce contexte, nous avons une double mission : à la fois assurer la protection de nos réseaux à travers le monde exposés à ces multiples crises et fournir à nos clients des solutions de connectivité opérationnelles même dans les situations les plus extrêmes.
Chez Orange, on est convaincus que la continuité d’activité ne se limite pas à répondre aux nouvelles obligations européennes. C’est d’abord une façon d’avancer plus sereinement, même dans un monde incertain. En anticipant les risques, en testant régulièrement les plans de continuité, en formant les équipes et en simulant des crises, on aide les organisations à être prêtes le jour J. Et grâce à la flexibilité de nos infrastructures et de nos outils, on est en capacité de transformer chaque défi en opportunité.
S’adapter à la moindre situation, faire preuve d’innovation et se montrer résilient en toute occasion : Orange est là pour aider les entreprises à grandir dans un monde en constante évolution.
