La transposition de la Directive NIS 2 (Network and Information Security) approche. Les discussions ont quitté le Sénat pour rejoindre l’Assemblée, et avec elles, le débat prend de l’ampleur. Si ce sujet semble agiter (de manière injustifiée ?) les grandes entreprises, une certaine impression d’indifférence persiste du côté des plus petites structures, pourtant cœur de cible de cette directive. La question mérite donc d’être posée : pourquoi une telle différence de perception ? NIS 2, visant à renforcer la cybersécurité des entreprises et des collectivités, n’est pas une simple évolution réglementaire, mais bien un tournant majeur dans la manière dont les risques numériques doivent être gérés, à tous les niveaux.
Une contribution de Hervé Troalic, Directeur de l’offre cybersécurité Imineti by Niji, Jean-François Louâpre, Responsable Sécurité des Systèmes d’information chez Groupe AGRIAL et Vivian Pelissou, Responsable Sécurité des Systèmes d’information chez MGDIS.
Une transition inévitable mais inégalement perçue
Il est incontestable que la prise en compte de la cybersécurité a très largement évolué ces dix dernières années. Cependant, force est de constater que toutes les entreprises et collectivités, en particulier celles n’appartenant pas aux secteurs dits « stratégiques », n’ont pas encore franchi le cap de la sécurisation de leurs systèmes d’information. Bien que les grandes entreprises et certains acteurs publics aient pris les devants, la majorité des petites structures, qui sont pourtant ici le cœur de cible, restent largement en retrait. Or, NIS 2 ne sera pas une option : la directive impose une montée en maturité généralisée qui actera les efforts déjà entrepris par certains tout en obligeant les autres à rattraper leur retard.
L’ANSSI estime que près de 15 000 structures seront concernées par NIS 2, contre seulement quelques centaines pour NIS 1. Des clubs comme le CESIN, qui réunit des RSSI de près de 1 500 entreprises matures sur le sujet, ont largement intégré ces problématiques. Ainsi, si ce ne sont pas ces grandes structures qui sont les plus concernées, ce sont bien elles qui en parlent le plus… Le véritable défi consiste donc à sensibiliser et accompagner les milliers d’autres structures qui, pour l’instant, restent en marge de cette transformation.
Plutôt que de leur imposer une conformité lourde sans accompagnement, il serait pertinent d’adopter une approche plus pédagogique, en favorisant la montée en compétence progressive plutôt qu’une simple mise en conformité réglementaire. L’objectif ne doit pas être uniquement d’éviter les sanctions, mais de faire de la cybersécurité un levier stratégique pour l’ensemble des entreprises.
De l’urgence d’une collaboration inter-entreprises
La France a pris du retard dans la transposition de NIS 2, ce qui explique en partie le manque d’engagement des entreprises. Par ailleurs, la perception des coûts liés à cette mise en conformité est un frein majeur : beaucoup d’entre elles redoutent des investissements lourds sans pour autant avoir mesuré les bénéfices d’une meilleure protection. Il est donc essentiel de mettre en balance les coûts de la mise en conformité avec ceux des risques encourus en cas de cyberattaque, qui peuvent s’avérer bien plus dévastateurs.
Loin d’être un simple obstacle réglementaire, NIS 2 peut et doit ainsi être perçue comme une avancée majeure pour la cybersécurité, garantissant un cadre européen harmonisé et renforcé. Il serait en effet regrettable qu’elle soit vue comme une simple contrainte bureaucratique supplémentaire. Tout comme le RGPD avant elle, NIS 2 vise à instaurer de contours plus sécurisés et plus transparents, non seulement pour les grandes entreprises, mais pour l’ensemble du tissu économique. Or, pour que ce cadre ne reste pas l’apanage des grandes structures et des spécialistes, il doit être compris, accepté et intégré par toutes les entreprises, y compris les plus petites, souvent ignorées dans les discussions publiques.
Il est donc impératif d’offrir un accompagnement adéquat aux entreprises qui n’ont pas encore pris conscience de l’importance de cette réforme. Une tâche qui ne peut être laissée aux seules mains de l’État mais pour laquelle l’implication des acteurs privés, notamment des grandes entreprises, est essentielle. Aujourd’hui, trop souvent, les grandes entreprises semblent focalisées sur leur propre mise en conformité, oubliant qu’elles ont aussi un rôle à jouer auprès de leurs sous-traitants et partenaires. En effet, la cybersécurité ne doit pas être un fardeau isolé. Elle doit être collective, et impliquer l’ensemble de la chaîne de valeur. Les grands groupes, prêts pour NIS 2, pourraient ainsi davantage s’engager pour accompagner les petites entreprises dans leur montée en maturité, plutôt que de se contenter de leur envoyer des questionnaires de sécurité.
En somme, la transposition de la Directive NIS 2 ne doit pas être vue comme une contrainte supplémentaire, mais bien comme un levier pour améliorer la sécurité numérique à l’échelle européenne. Les grandes entreprises et les acteurs publics, déjà bien avancés, doivent faire un effort supplémentaire pour entraîner avec elles les autres acteurs économiques, afin que la cybersécurité devienne un objectif partagé et non un frein à l’innovation.
À lire également : Cybersécurité : la directive NIS 2, réel pas en avant ou énième référentiel ?
Vous avez aimé cet article ? Likez Forbes sur Facebook
Abonnez-vous au magazine papier
et découvrez chaque trimestre :
- Des dossiers et analyses exclusifs sur des stratégies d'entreprises
- Des témoignages et interviews de stars de l'entrepreneuriat
- Nos classements de femmes et hommes d'affaires
- Notre sélection lifestyle
- Et de nombreux autres contenus inédits
