NIS2 : comment passer à l’action ?
À retenir : la directive NIS2 impose aux entreprises de structurer leur cybersécurité autour de la gouvernance, de la gestion des risques et de la formation. Pour passer à l’action, il est essentiel de commencer par un diagnostic de maturité, de prioriser les actions et d’impliquer la direction. Au-delà de la conformité, NIS2 est une opportunité pour renforcer durablement la résilience face aux cybermenaces.
Alors que le risque cyber prend une ampleur systémique, NIS2 s’impose comme un sujet structurant pour les organisations : gouvernance, gestion des risques, incidents, chaîne d’approvisionnement, implication de la direction… bien au-delà d’une simple obligation réglementaire, cette directive pousse les entreprises à renforcer durablement leur maturité en cybersécurité.
Dans cet article, nous abordons les questions clés que se posent aujourd’hui les entreprises :
- Qu’est-ce que la directive NIS2 ?
- Quelles organisations sont concernées ?
- Par où commencer sa mise en conformité ?
- Un sujet avant tout stratégique
- La formation, un levier fondamental de NIS2
Par Luana Vigneron
NIS2 : un cadre qui change la donne
La directive NIS2 élargit fortement le nombre d’organisations concernées et renforce les exigences en matière de cybersécurité. Elle impose notamment de structurer la gestion des risques, la gouvernance, la gestion des incidents, ainsi que la sécurisation de la chaîne d’approvisionnement.
La grande différence avec la première version, c’est précisément cet élargissement du périmètre : de nombreuses entreprises, jusque-là peu concernées, doivent désormais se structurer sur ces sujets.
NIS2 : par où commencer ?
La première étape consiste à évaluer son niveau de maturité. Concrètement, cela passe par un diagnostic permettant de comparer les pratiques existantes aux exigences de NIS2.
Ce travail permet ensuite d’identifier les écarts et de construire une feuille de route avec des actions concrètes et priorisées. L’objectif n’est pas de tout transformer immédiatement, mais d’avancer progressivement.
Sur le terrain, les niveaux de maturité sont très hétérogènes. Les grands groupes sont souvent plus avancés, tandis que les ETI et PME présentent encore des lacunes. Mais pour autant, très peu d’entreprises partent réellement de zéro. Dans beaucoup de cas, des pratiques de sécurité existent déjà, de manière fragmentée, sans que les équipes en aient pleinement conscience. L’enjeu est précisément de les structurer et de les rendre cohérentes.
Une approche progressive basée sur des « quick wins »
Une fois cette vision globale obtenue, il est possible d’identifier des actions rapides à forte valeur ajoutée. Ces “quick wins” peuvent être, par exemple, la formalisation de pratiques existantes ou la mise en place d’actions de sensibilisation, deux leviers relativement simples à activer et qui permettent d’augmenter rapidement le niveau de maturité. Cette logique progressive est essentielle pour rendre la démarche accessible et efficace.
NIS2 : Un sujet avant tout stratégique
La première erreur, serait de considérer NIS2 comme un sujet uniquement technique. Il s’agit avant tout d’un enjeu de gouvernance et de gestion des risques : identifier les actifs critiques, prioriser les actions, clarifier les responsabilités. L’implication de la direction est déterminante, d’autant plus que NIS2 renforce explicitement la responsabilité des dirigeants face aux enjeux cyber.
Des freins existent néanmoins, et sont malheureusement, encore nombreux dans les organisations. Trois grandes difficultés reviennent régulièrement :
- Organisationnelles : manque de clarté sur les rôles, pilotage insuffisant, budgets flous ;
- Culturelles : cybersécurité peu intégrée dans la stratégie globale ;
- Techniques : complexité des systèmes et manque de visibilité sur les actifs critiques.
Pour lever ces freins, le rôle du RSSI est essentiel. Qu’il soit interne ou externalisé, c’est lui qui structure la stratégie cybersécurité, pilote la gestion des risques et accompagne la direction. Il permet d’intégrer la cybersécurité dans les enjeux business de l’entreprise, en évaluant les impacts concrets des risques.
La formation, levier stratégique de NIS2
Les organisations les plus matures en matière de cybersécurité adoptent une approche plus concrète, continue et contextualisée, avec des mises en situation et des formats adaptés aux différents métiers de l’organisation.
Au-delà de l’obligation réglementaire, la formation devient un véritable levier de transformation. Elle permet de développer une culture interne de la cybersécurité et de renforcer les compétences des collaborateurs.
Plusieurs types de formations sont à combiner :
- Sensibilisation globale à la cybersécurité pour tous les collaborateurs ;
- Formation à la gestion des incidents ;
- Formation à la gestion des risques et à la gouvernance ;
- Formations techniques spécialisées pour les équipes IT.
NIS2 : une opportunité plus qu’une contrainte
NIS2 ne doit pas être vue uniquement comme une obligation réglementaire, mais bien comme une opportunité de structurer durablement sa cybersécurité. En adoptant une approche progressive, en impliquant la direction et en investissant dans la formation, les entreprises peuvent transformer cette contrainte en véritable avantage stratégique et concurrentiel.
Passez de la théorie à l’action avec Sysdream. Vous souhaitez évaluer votre niveau de maturité, structurer votre gouvernance cyber ou engager votre mise en conformité NIS2 ? Découvrez notre accompagnement dédié et bénéficiez de l’expertise de nos consultants.
Source : « Paroles d’expert cyber – NIS2 : comment passer à l’action ? » : entretien filmé avec Luana Vigneron, Responsable Conseil GRC, et El Yamani Hamedi, consultant expert en cybersécurité – https://www.youtube.com/watch?v=QmtJMmoZLnY&t=23s