- Au-delà de la simple conformité réglementaire, la directive NIS 2 (Network and Information Security) incite les entreprises à repenser leurs priorités, leurs relations avec les partenaires et leur capacité de réaction face aux crises.
- I-Tracing, spécialiste européen de la cybersécurité, a identifié plusieurs actions permettant de transformer la conformité en résilience.
En janvier 2023, la directive NIS 2 (Network and Information Security) est entrée en vigueur au niveau européen. Les États membres avaient jusqu’au 17 octobre 2024 pour l’intégrer dans leur droit national.
À ce jour, la France n’a toujours pas officiellement transposé la directive NIS 2. Le sujet va s’accélérer en 2026 car les débats parlementaires sont planifiés en ce début d’année avec une cible de promulgation au 1er trimestre. Les délais de mise en conformité qui s’ensuivent sont de 3 ans.
Face à la recrudescence des cybermenaces, l’objectif de la directive est de renforcer la résilience des entités publiques et privées en imposant des normes minimales de cybersécurité dans des secteurs jugés critiques. Parmi les domaines concernés figurent l’énergie, les transports, la finance et les services bancaires, la santé, les infrastructures numériques, la gestion de l’eau, l’administration publique ainsi que les services de gestion des déchets. La directive s’applique également à toute entité employant plus de 50 salariés ou réalisant un chiffre d’affaires supérieur à 10 millions d’euros dès lors qu’elle opère dans un secteur concerné.
Directive NIS 2, une chance pour innover en cybersécurité
Afin d’encourager les entreprises à considérer la directive comme une occasion de gagner en maturité, Frédéric Renau, Responsable du Département GRC (Gouvernance, Risque et Conformité) chez I-Tracing identifie trois leviers possibles :
« Le premier enseignement concerne la cartographie du système d’information. Les démarches traditionnelles s’épuisent dans une recherche d’exhaustivité technique, alors que la clé réside dans la compréhension des activités essentielles et de leurs dépendances. En replaçant le métier au centre, l’entreprise identifie rapidement ce qui constitue son périmètre critique, ce qui peut en être exclu et où concentrer ses efforts de conformité. Cette approche simplifiée, fondée sur la chaîne de valeur plutôt que sur l’inventaire technologique, éclaire directement les arbitrages de la direction et la priorisation des investissements.
Le deuxième enseignement porte sur la gestion des tiers. NIS 2 renforce la responsabilité des organisations vis-à-vis de leurs fournisseurs, mais la réponse ne peut être uniforme. Les entreprises qui progressent sont celles qui adoptent une logique proportionnée, en adaptant l’effort d’évaluation au niveau d’exposition réel. L’enjeu consiste à distinguer les partenaires susceptibles d’interrompre une activité essentielle ou de compromettre la sécurité des données, afin de concentrer les contrôles là où ils génèrent le plus d’impact. Ce changement de posture réduit la charge opérationnelle tout en renforçant la maîtrise globale du risque.
Se préparer à gérer une crise cyber
Enfin, la gestion de crise demeure le révélateur de la maturité réelle. Pour répondre à l’exigence de notification en vingt-quatre heures imposée par NIS 2, l’entreprise et son service cyber doivent être prêtes à gérer une crise cyber : équipes identifiées, rôles définis en amont, communication maîtrisée, documentation immédiatement mobilisable et exercices de cybersécurité réguliers pour ancrer les bons réflexes. La capacité à réagir rapidement, à décider avec cohérence et à communiquer sans ambiguïté devient alors un véritable avantage concurrentiel, bien au-delà des seuls enjeux cyber.
En combinant ces trois leviers, cartographie orientée valeur, gestion des tiers proportionnée et gestion de crise opérationnelle, l’entreprise se dote d’une trajectoire pragmatique pour transformer NIS 2 en opportunité. Ce n’est pas la conformité qui fait la différence, mais la clarté des priorités et la capacité collective à s’entraîner et à agir.
- A propos d’I-Tracing :
I-Tracing est un spécialiste européen des services de cybersécurité qui accompagne plus de 600 entreprises à travers le monde, dont 50 acteurs du SBF 120, et réalise un CA consolidé de 220 millions d’euros en 2025. De l’anticipation proactive des menaces à la mobilisation ultra-réactive de ses équipes en cas d’attaque, I-Tracing propose une gamme de services de cybersécurité allant du conseil à l’intégration, aux services managés, SOC et CERT Follow The Sun 24/7. L’entreprise s’appuit sur 1000 experts basés en France, en Suisse, en Grande-Bretagne, à Hong Kong, au Canada, en Chine et en Malaisie.
