Transposition de NIS2 : l'urgence d'agir face à la montée des cybermenaces

Luana Vigneron
SysDream

Avec NIS2, les entreprises entrent dans une nouvelle ère de la cybersécurité. Mais si certaines organisations ont déjà amorcé leur transformation, beaucoup restent encore insuffisamment préparées.

La publication récente du référentiel ReCyF par l’ANSSI, qui détaille les exigences de cybersécurité attendues dans le cadre de NIS2, marque un tournant important pour les entreprises. En France, près de 15 000 organisations sont concernées, et 160 000 à l’échelle européenne. Pourtant, beaucoup attendent encore la publication des textes définitifs pour agir. Une approche risquée dans un contexte où les cybermenaces se multiplient. Cette posture attentiste n’est plus tenable dans un contexte où les cybermenaces s’industrialisent et s’accélèrent. 

Une directive qui change d’échelle 

Adoptée pour renforcer le niveau de cybersécurité au sein de l’Union européenne, NIS2 marque une rupture avec la première directive NIS de 2016. Elle élargit considérablement le nombre d’organisations concernées, en intégrant désormais de nombreuses ETI et PME, tout en imposant des exigences beaucoup plus structurées. 

Avec cette directive, la cybersécurité ne se limite plus à un périmètre technique, elle devient un véritable sujet de gouvernance. Elle engage directement la responsabilité des dirigeants, qui ne peuvent plus déléguer ces enjeux sans pilotage stratégique. Elle est placée au cœur des décisions stratégiques des organisations, en intégrant des dimensions clés telles que la gestion des risques, la sécurité de la chaîne d’approvisionnement, la gestion des incidents. 

Même si la transposition est encore en cours dans plusieurs pays, dont la France, les grandes lignes sont déjà connues. Le ReCyF précise les attentes en cybersécurité, offrant aux entreprises une base concrète pour initier les démarches de mise en conformité, sans devoir attendre la publication des textes définitifs. Autrement dit, toutes les conditions sont réunies pour agir dès maintenant.  

Des bases en cybersécurité existantes, mais encore insuffisantes 

Dans les entreprises, la maturité en cybersécurité reste très hétérogène. Les grandes organisations, déjà soumises à des obligations réglementaires, disposent généralement de bases solides. À l’inverse, de nombreuses ETI et PME sont encore en retard, avec une gouvernance peu formalisée, une cartographie des risques incomplète ou une stratégie cybersécurité encore floue. 

Ce constat est d’autant plus préoccupant que Cybermalveillance.gouv.fr a indiqué avoir accompagné plus de 500 000 victimes en 2025, soit une hausse de 20 % par rapport à 2024, illustrant l’intensification des cybermenaces. Nous faisons désormais face à une cybercriminalité de masse, structurée et professionnalisée. 

Pour autant, les ETI et PME partent rarement de zéro. Dans la majorité des cas, des pratiques de cybersécurité existent déjà, comme la gestion des accès, les sauvegardes ou les outils de supervision. Certains dispositifs sont parfois mis en place, mais ils ne sont ni systématiquement formalisées ni suffisamment structurés ou accompagnés. 

L’enjeu n’est donc pas de tout reconstruire, mais de structurer les démarches, de prioriser les actions et de donner une cohérence globale aux pratiques existantes. C’est précisément ce passage à l’échelle qui fait aujourd’hui défaut. 

Se préparer à NIS2 : par où commencer ? 

La première étape consiste à évaluer son niveau de maturité, à travers un audit ou un diagnostic, afin d’identifier les écarts entre les pratiques existantes et les exigences de la directive. Sur cette base, les entreprises peuvent définir une feuille de route claire, en priorisant des actions selon les risques. Pour poser des bases solides, il est essentiel de structurer la gouvernance, de clarifier les rôles, de formaliser les procédures de gestion des incidents et de renforcer la sécurité des systèmes.  

Néanmoins, la réussite de cette transformation repose avant tout sur l’implication de la direction. Avec la directive NIS2, les dirigeants sont directement responsables des enjeux de cybersécurité, ce qui en fait un véritable sujet stratégique pour l’entreprise, et non plus seulement un sujet technique. Ne pas s’y préparer aujourd’hui, c’est prendre un risque juridique, opérationnel et réputationnel majeur. 

Mais au-delà des aspects organisationnels, la réussite de cette transformation repose avant tout sur l’humain. Dans de nombreuses attaques, il reste le principal point d’entrée. Développer une véritable culture de la cybersécurité est donc indispensable pour limiter les risques liés au phishing, aux erreurs de manipulation ou à l’ingénierie sociale. 

Cela implique de repenser les approches de sensibilisation, en privilégiant des dispositifs continus, concrets et adaptés aux métiers. La formation devient un levier stratégique pour renforcer durablement les capacités internes et améliorer la résilience globale. Former n’est plus une option, c’est un levier d’action face aux attaques actuelles. 

D’une obligation réglementaire à une opportunité stratégique 

Réduire NIS2 à une simple obligation réglementaire serait une erreur. Cette directive représente au contraire une opportunité concrète de structurer durablement la cybersécurité et de renforcer la résilience des organisations. 

Les entreprises qui s’engagent dès aujourd’hui dans cette démarche disposent d’un avantage clair. Elles peuvent anticiper les exigences, planifier leurs investissements en évitant des dépenses urgentes, et intégrer la cybersécurité dans leur stratégie globale. Elles renforcent également la confiance de leurs clients, partenaires et investisseurs. 

À l’inverse, attendre la transposition complète revient à subir le calendrier réglementaire, au risque de devoir agir dans l’urgence. À mesure que le cadre réglementaire se précise, les exigences vont continuer à se renforcer et à se structurer. Il ne s’agit plus de savoir s’il faut s’y conformer, mais à quelle vitesse les organisations sont capables de le faire. 

Dans un environnement numérique toujours plus exposé, la cybersécurité ne peut plus être considérée comme un sujet secondaire. NIS2 doit être vue comme un levier pour intégrer durablement la cybersécurité au cœur de la performance et de la confiance.