NIS2 : ce que la directive change vraiment pour les entreprises

NIS2 : un sujet de gouvernance avant d’être technique

La lecture la plus répandue de NIS2 reste technique : outils, contrôles, exigences. Sur le terrain, c’est rarement là que se situe le problème.

Le véritable point de bascule est ailleurs : la capacité à structurer une gouvernance cybersécurité cohérente, à clarifier les responsabilités et à piloter le risque.

Sans cela, les mesures techniques s’empilent… sans produire d’effet durable.

Maturité cybersécurité : le mythe du “point de départ zéro”

Contrairement à une idée reçue, les organisations ne partent presque jamais de zéro.

Elles disposent déjà :

• de pratiques de gestion des accès,
• de mécanismes de sauvegarde,
• d’outils de supervision,
• de premières briques de sécurité.

Le problème n’est pas l’absence mais la la fragmentation et le manque de visibilité.

L’enjeu devient alors structurant : reconstituer une vision d’ensemble, formaliser l’existant et prioriser.

Gestion des risques : le cœur réel de la conformité NIS2

Penser NIS2 comme une checklist est une impasse.

La directive impose une logique différente :

• identifier les actifs critiques,
• comprendre les risques réels,
• aligner les mesures de sécurité avec ces risques.

Autrement dit : la conformité devient une conséquence, pas un objectif.

Les organisations les plus avancées ne cherchent pas à tout sécuriser. Elles concentrent leurs efforts là où l’impact métier est maximal.

Direction, RSSI, métiers : un changement de posture collectif

NIS2 introduit un point de rupture majeur : la responsabilisation des dirigeants.

La cybersécurité sort du périmètre purement technique pour devenir :

• un sujet de pilotage stratégique.
• un élément des décisions business.
• un facteur de résilience globale.

Dans ce contexte, le rôle du RSSI évolue fortement : il ne s’agit plus seulement de sécuriser, mais de traduire le risque cyber en enjeux métier compréhensibles par la direction.

Facteur humain : angle mort ou levier stratégique ?

La majorité des incidents trouvent encore leur origine dans des erreurs humaines.

Et pourtant, la sensibilisation reste souvent :

• ponctuelle.
• générique.
• peu contextualisée.

Les organisations les plus matures changent d’approche : elles construisent une culture cybersécurité continue, ancrée dans les usages réels, avec des mises en situation concrètes.

Là encore, NIS2 agit comme un révélateur plus que comme une contrainte.

Ce que NIS2 change vraiment

Au-delà des obligations, NIS2 impose une évolution plus profonde :

• passer d’une logique d’outils à une logique de pilotage,
• passer d’une sécurité perçue à une sécurité mesurée,
• passer d’une contrainte réglementaire à un levier stratégique.

Les organisations qui l’ont compris ne “se mettent pas en conformité”. Elles transforment leur manière d’aborder le cyber.

Aller plus loin : retour d’expérience terrain

• Par où commencer concrètement ?
• Comment structurer une démarche sans repartir de zéro ?
• Quels sont les pièges les plus fréquents ?

Ces questions, et les retours d’expérience associés, sont développés dans cet échange entre experts → Accéder à la vidéo complète (28 min)

Margarida Marques

Margarida est responsable marketing client chez Hub One. Curieuse par nature et même si tous les sujets l’intéressent, Margarida a tout de même une préférence pour la littérature réaliste anglaise de l’époque victorienne. Du roman social aux voyages en passant par son engagement en qualité de bénévole au Samu social, il n’y avait qu’un pas, qu’elle a franchi. Côté technologie, Margarida ne se sépare jamais de son enceinte Bluetooth sur laquelle elle écoute ses émissions en podcast ou sa musique à tue-tête. Mais tout cela se fait bien évidemment à partir de l’objet qu’elle ne quitte jamais, son précieux, son téléphone.