Cybersécurité : aborder la réglementation NIS 2 comme un levier de croissance !

Selon Vincent Strubel, Directeur général de l'ANSSI, se conformer à la NIS 2 serait dix fois moins onéreux que le coût d'une cyberattaque. Si cette directive représente un défi organisationnel et technique, elle offre également une réelle opportunité de croissance et de résilience pour les organisations.

NIS 2, un tournant pour la sécurité collective

Selon le baromètre Mailinblack 2025, les entreprises françaises sont visées en moyenne par 241 cyberattaques transitant par email par mois. Un chiffre qui souligne les risques cyber importants auxquels font face quotidiennement les organisations de toute taille. Les conséquences d'une attaque cyber ne se limitent pas à l'entité ciblée, mais peuvent également toucher les clients, les partenaires, et les collaborateurs.

Pour prévenir les attaques et contenir leurs effets, des mesures doivent être mises en place afin de sécuriser l'ensemble des infrastructures IT et de garantir la protection des données des entreprises et des citoyens français et européens.

La directive NIS 2 (Network and Information Security 2) concerne 18 secteurs considérés comme critiques (production chimique, fournisseurs numériques, gestion des déchets, recherche, etc.) et hautement critiques (administrations publiques, énergies, marchés financiers, santé, banques, transports, etc.). Si son approche rejoint celle de sa prédécesseur NIS 1, son champ d'application s'est considérablement élargi. La NIS 1, transposée au niveau national en 2018, ne concernait que dix secteurs d'activité stratégiques (représentant quelques centaines d'acteurs sur le territoire).

En France, il est estimé qu'entre 10 000 et 20 000 entités seront concernées par la directive NIS 2. Ce nouveau cadre juridique est l'occasion de mobiliser les organisations autour des enjeux digitaux et facilite la diffusion d'une culture de la cybersécurité dans l'entreprise. S'y conformer requiert un véritable travail d'équipe entre les différents départements et partenaires. Le sujet doit être porté au plus haut niveau de l'organisation (comités de direction et stratégique) et concerner l'ensemble des collaborateurs.

Un processus qui requiert une dynamique collective

La mise en conformité à la directive NIS 2 est un processus impliquant plusieurs départements de l'organisation. Il ne peut reposer uniquement sur les épaules du RSSI et / ou DSI car il demande des compétences diverses, un engagement des responsables et une vision portée par la direction. Responsables IT, dirigeants et juristes doivent travailler main dans la main pour piloter ce projet et mettre en place, avant même d'entrer dans les détails techniques, un cadre et une stratégie.

La directive NIS 2 étant en cours de transposition en France, les textes finaux ne sont pas encore disponibles. Il est donc nécessaire d'effectuer un travail de veille des actualités législatives. Cette analyse doit se faire en lien avec les équipes juridiques afin d'identifier les dispositifs de sécurité manquants et construire un plan d'actions et un budget associé. Pour faciliter cette collaboration, des plateformes de cybersécurité existent et permettent d'automatiser l'évaluation de la conformité et de définir chaque étape pour y parvenir. Ce type de plateforme facilite le management de la mise en conformité et implique l'ensemble des parties prenantes.

Au-delà de la conformité, un vecteur d'opportunités

Se conformer à la directive NIS 2 peut s'avérer être un avantage compétitif important et un atout stratégique sur le marché mondial. Au niveau européen, NIS 2 permet de faciliter les échanges transfrontaliers au sein de l'Union. Gage de confiance, être conforme à la NIS 2 permet de rassurer l'ensemble des parties prenantes : partenaires, clients, collaborateurs et investisseurs potentiels. Si elle pousse à mettre en oeuvre des mesures pour sécuriser les infrastructures et les données, elle offre également l'opportunité aux organisations d'adopter des outils et des processus visant à améliorer la gestion des risques et de la conformité, et donc les performances. À l'avenir, il faut s'attendre à une généralisation des vérifications cyber poussées dans le cadre de signatures de contrats et de fusions-acquisitions. La résilience d'une organisation en matière de cybersécurité est devenue un critère de poids dans le choix de partenaires et dans sa valorisation.

Comme le disait Peter Drucker, théoricien du marketing américain : "L'innovation systématique requiert la volonté de considérer le changement comme une opportunité." Les exigences NIS 2 encouragent une modernisation des systèmes d'information et une gestion proactive des risques, favorisant l'innovation technologique et organisationnelle. La directive NIS 2 doit être perçue comme un catalyseur de business. Entreprises, si vous souhaitez rester pertinentes, innovantes et résilientes, saisissez les opportunités qu'offre la conformité.

Baptiste David, Responsable de la stratégie marché chez Tenacy et Gaël Le Roux, Responsable du Pôle Europe chez Fidal Avocats.