"La cybersécurité, c'est le problème du RSSI"... Vraiment ?
La responsabilité cyber ne relève pas que du RSSI. Le référentiel français de la directive NIS 2 rendu public par l'Anssi en mars 2026, le ReCyF v2.5, la fait remonter au dirigeant.
Pendant des années, la question avait une réponse simple. « Qui s'occupe de la cybersécurité dans votre entreprise ? » « Le RSSI. » Ou : « Notre DSI. » La délégation était rassurante. Ce modèle est en train de prendre fin.
Ce que ReCyF v2.5 change vraiment
Publié en mars 2026, le référentiel français transposant la directive NIS2 est souvent présenté comme un texte de conformité. On lit les listes d'obligations. On cherche les cases à cocher. On mandate un consultant pour produire les livrables demandés.
Ce faisant, on passe à côté du changement structurel.
Le ReCyF v2.5 fait peser explicitement la responsabilité de la sécurité sur les organes de direction. Pas sur la fonction technique. Pas sur un prestataire. Sur le dirigeant lui-même, sa capacité à comprendre les risques, à les arbitrer, à en rendre compte.
Ce n'est pas un détail réglementaire. C'est un renversement.
Ce que la délégation coûte vraiment
J'ai rencontré des dizaines de dirigeants d'ETI au cours des dernières années. Beaucoup avaient fait ce qu'il fallait : recruté ou externalisé un profil technique, acheté des outils, lancé des audits.
Ce que très peu avaient fait : C'est décider.
Décider quels actifs protéger en priorité. Décider quel niveau de risque était acceptable. Décider ce que l'entreprise ne pouvait pas se permettre de perdre.
Ces décisions ne sont pas techniques. Elles sont stratégiques. Et elles ne peuvent pas être prises par quelqu'un qui n'a pas la vision globale de l'entreprise, de ses clients, de ses engagements contractuels, de sa chaîne de valeur.
Quand un dirigeant délègue entièrement la cyber, il ne délègue pas un problème technique. Il délègue une partie de son arbitrage stratégique. Et il ne le sait souvent pas.
C'est là que le risque réel se niche.
Ce que j'ai vu après un incident
Je ne parle pas d'hypothèses. Je parle de ce que je vois sur le terrain.
Après un incident sérieux, la question n'est jamais technique en premier. Elle est toujours la même : qui savait, et qui a décidé quoi ?
Quand la réponse est floue, quand personne ne peut dire clairement comment la décision de protéger ou de ne pas protéger tel actif a été prise, c'est que la gouvernance n'existait pas. Qu'il y avait souvent un dispositif, mais pas de pilotage réel.
Les outils étaient là. Les politiques aussi, parfois. La responsabilité, non.
Ce que le dirigeant doit faire concrètement
Il ne s'agit pas de devenir expert technique. Il s'agit de faire trois choses que personne d'autre ne peut faire à sa place.
Premièrement : nommer ce qui est vraiment critique. Pas en termes IT. En termes de conséquences pour l'entreprise. Quelle perte de données mettrait en péril un contrat majeur ? Quel arrêt de système stopperait la production ? Ce travail de cartographie des enjeux réels ne se délègue pas.
Deuxièmement : exiger une lecture des risques compréhensible. Un dirigeant n'a pas besoin d'un rapport technique de 80 pages. Il a besoin d'une synthèse claire, en langage de direction, qui lui permette de décider. Si ce document n'existe pas dans son entreprise, c'est le premier problème à régler.
Troisièmement : assumer une position sur le risque résiduel. Toute organisation accepte un niveau de risque qu'elle ne couvre pas. Ce niveau doit être explicite, délibéré, et assumé par la direction. Pas subi par défaut.
Ce que le ReCyF v2.5 rend visible
La réglementation ne crée pas cette responsabilité. Elle la révèle.
Elle dit simplement ce qui était déjà vrai, mais que beaucoup préféraient ne pas formaliser : la sécurité d'une organisation est d'abord une question de direction.
Les entreprises qui l'ont compris ont une longueur d'avance. Non pas parce qu'elles sont mieux équipées. Parce qu'elles sont mieux gouvernées.
C'est rarement là qu'on cherche. C'est pourtant là que tout se joue.