Cybersécurité : ce que les dirigeants ne peuvent plus ignorer

Julie Jacob
Jacob Avocats

Un dirigeant peut-il, aujourd'hui, être sanctionné pour ne pas avoir suffisamment anticipé un risque cyber ? En 2026, la réponse est oui. Et ce risque ne concerne pas uniquement le dirigeant exécutif.

Le rapport annuel 2025 de la Cnil, publié le 19 mai dernier, est éloquent : 6 167 violations de données personnelles recensées en France l'an dernier, soit une hausse de 9,5 % par rapport à 2024, un record. La tendance s'accélère encore en 2026. Selon la présidente de la Cnil, "le développement de l'intelligence artificielle automatise, industrialise et démocratise les attaques". Les dirigeants ne sont plus de simples victimes potentielles : ils sont devenus des cibles directes. Fraudes au président, attaques par deepfake, compromissions ciblées du Comex, le risque cyber est désormais incarné.

Qu'est-ce que la directive NIS 2 ?

C’est un texte européen dont l'objectif est de renforcer la cybersécurité des entreprises et organisations à travers l'Union européenne. Son principe central est simple : la cybersécurité n'est plus un sujet technique délégable au RSSI. C'est une obligation de gouvernance, qui engage une responsabilité collective au plus haut niveau de l'entreprise, direction générale, comité exécutif et conseil d'administration.

En France, le projet de loi Résilience a été adopté et sa promulgation est attendue pour cet été. La Commission européenne a officiellement sanctionné le retard français. Mais attendre la loi serait une erreur d'analyse : l'ANSSI a publié en mars 2026 son référentiel opérationnel, les exigences sont connues, et les audits pour les grandes entreprises s'enclenchent dès cette année.

Qui est concerné ?

La directive NIS 2 couvre 18 secteurs d'activité (énergie, transport, santé, banque, infrastructures numériques, agroalimentaire, chimie, services postaux, entre autres) et distingue deux catégories d'organisations.

Les grandes entreprises des secteurs critiques dépassant 250 salariés ou 50 millions d'euros de chiffre d'affaires font l'objet d'audits réguliers de l'Anssi. Les entreprises moyennes des secteurs couverts, à partir de 50 salariés ou 10 millions d'euros de CA, sont soumises à un contrôle déclenché en cas d'incident. En France, entre 15 000 et 18 000 organisations sont concernées.

Quelles obligations ?

Les obligations sont les mêmes pour toutes les entités concernées : évaluation annuelle des risques cyber, notification obligatoire des incidents significatifs à l'Anssi sous 24 heures, sécurisation des prestataires et fournisseurs, plans de continuité et de reprise d'activité. La directive impose également une formation obligatoire en cybersécurité pour tous les dirigeants, pas une recommandation, une obligation.

Quelles sanctions ?

C'est là que les choses deviennent concrètes. Les sanctions administratives peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les grandes entités, 7 millions d'euros ou 1,4 % pour les entreprises moyennes. Mais la vraie rupture est ailleurs : la directive NIS 2 permet désormais d'engager la responsabilité personnelle des dirigeants en cas de manquement, là où seule l'entreprise était jusqu'ici exposée. Pour les entités en manquement répété, une interdiction temporaire d'exercer des fonctions de direction est explicitement prévue.

Cette évolution rapproche la cybersécurité des logiques déjà connues en matière de lutte contre la corruption ou de devoir de vigilance : ce qui compte, c'est ce que la direction a mis en place, et ce qu'elle peut en prouver.

Concrètement, que doit faire un Comex ?

NIS 2 n'attend pas des dirigeants qu'ils deviennent des experts techniques. Elle attend qu'ils gouvernent. En pratique, cela se traduit par quatre chantiers non délégables.

Inscrire la cybersécurité à l'ordre du jour. Pas une fois par an. Régulièrement, avec un reporting dédié : état des risques identifiés, incidents survenus, avancement des mesures. Le Comex approuve, arbitre, décide et cela doit être tracé.

Se former. Il ne s'agit pas d'une formation technique, mais d'une acculturation aux enjeux : savoir lire une cartographie des risques, comprendre ce qu'est un incident significatif, connaître les obligations de notification. Des formats courts adaptés aux dirigeants existent.

Documenter les décisions. C'est le cœur de l'obligation de preuve. Chaque décision prise en matière de cybersécurité (budget alloué, prestataire retenu, mesure validée ou reportée) doit être formalisée et conservée. En cas de contrôle ou d'incident, c'est cette documentation qui distingue le dirigeant diligent de celui qui a failli.

Vérifier ses prestataires. La responsabilité est étendue à toute la chaîne d'approvisionnement. Un incident chez un prestataire négligent peut engager la responsabilité de l'entreprise donneuse d'ordre. Les contrats doivent intégrer des clauses cyber et leur respect doit être suivi.

Et l'AI Act ?

La directive NIS 2 n'est pas la seule contrainte à intégrer. La réglementation européenne sur l'intelligence artificielle s'applique elle aussi progressivement. Certaines pratiques sont déjà interdites depuis février 2025. Pour les usages les plus sensibles (RH, crédit, santé, justice), les obligations complètes sont reportées à fin 2027, suite à un accord européen de mai 2026. Ce délai ne justifie pas l'inaction : les entreprises qui utilisent ou déploient de l'IA ont intérêt à cartographier leurs systèmes dès maintenant — et à encadrer le shadow AI, cet usage non contrôlé des outils d'IA par les équipes, qui génère des risques souvent sous-estimés.

2026 est déjà une année de vérité

Les pressions sur les dirigeants sont multiples et convergentes : assureurs qui conditionnent leurs garanties à des niveaux de sécurité démontrables, partenaires commerciaux qui exigent des garanties contractuelles, investisseurs attentifs aux risques cyber, exposition réputationnelle immédiate en cas d'incident.

La question n'est plus de savoir si la directive NIS 2 s'appliquera. Elle s'applique déjà dans ses exigences concrètes. La vraie question est celle-ci : le moment venu, que pourra prouver la direction, individuellement et collectivement ?

Dans ce domaine, l'inaction n'est plus neutre. Elle devient, en elle-même, une prise de risque, susceptible d'engager la responsabilité des dirigeants sur les plans administratif, civil et, le cas échéant, pénal.