NIS2 : le vrai risque n’est pas le retard de la loi, mais celui des entreprises

Alors que la France accumule du retard sur la transposition de la directive NIS2, le véritable enjeu n’est pas le calendrier législatif mais la maturité des organisations. La directive impose un passage de la conformité à la résilience opérationnelle, associée à la directive REC sur la convergence cyber-physique.

Dominique Gueguen
By Dominique Gueguen Published on 3 juillet 2026 5h00
Cyberattaque : une plateforme dédiée au bénévolat victime d'un pirate informatique
NIS2 : le vrai risque n’est pas le retard de la loi, mais celui des entreprises - © Economie Matin
42%En 2026, 42 % des entreprises considèrent les cybermenaces comme leur principal risque.

Le débat autour de NIS2 en France se cristallise sur une question : le retard. Retard de transposition, retard parlementaire, retard administratif. À écouter certains, la cybersécurité des entreprises françaises serait suspendue au calendrier législatif. Cette lecture est trompeuse. Le véritable risque n'est pas celui de l'État, mais celui des organisations qui attendent. Car pendant que la loi se fait attendre, les attaques, elles, ne ralentissent pas.

En 2026, 42 % des entreprises considèrent les cybermenaces comme leur principal risque. Pourtant, une grande partie d'entre elles continue d'aborder la cybersécurité comme un exercice de conformité. C'est précisément cette illusion que la directive NIS2 vient bousculer.

Attendue depuis octobre 2024, sa transposition en droit français accuse un retard notable, largement lié à des arbitrages politiques. Pourtant, le cadre est déjà là. Avec la publication du Référentiel Cyber France (ReCyF) par l'ANSSI, les organisations disposent désormais d'un socle concret pour agir.

La fin d'une cybersécurité de conformité

La directive impose un changement de regard : la cybersécurité ne relève plus uniquement des équipes IT, mais devient un sujet de gouvernance. Les dirigeants sont désormais directement impliqués, y compris sur le plan juridique et financier.

Mais surtout, NIS2 met fin à une idée profondément ancrée, selon laquelle être conforme suffit à être protégé. Cette approche est non seulement insuffisante mais elle est surtout dangereuse. Aucune organisation n'est à l'abri d'une attaque. Le véritable enjeu est ailleurs : capacité à détecter rapidement, à contenir et à continuer à opérer. Autrement dit, passer d'une logique de protection à une logique de résilience.

La surveillance continue des systèmes devient alors essentielle pour détecter rapidement les anomalies et limiter leur impact. Cette approche s'accompagne de mesures opérationnelles, comme la segmentation des réseaux, le renforcement du contrôle des accès et l'utilisation de mécanismes d'authentification robustes.

REC, la directive oubliée qui change la donne

Si NIS2 est dans tous les débats, une autre directive avance dans son sillage, souvent reléguée au second plan : la directive REC, dédiée à la résilience des entités critiques. C'est pourtant elle qui révèle l'évolution la plus profonde.

Là où NIS2 traite la cybersécurité, REC aborde la continuité des opérations dans leur dimension la plus concrète, notamment physique. En France, ces deux directives sont intégrées dans un même projet de loi, traduisant une réalité de terrain : la convergence entre cyber et sûreté.

Cette convergence n'est plus théorique. Un système de vidéosurveillance compromis, un accès physique mal sécurisé ou un équipement connecté vulnérable peuvent devenir des points d'entrée pour une attaque informatique. À l'inverse, une cyberattaque peut produire des effets immédiats sur des infrastructures physiques critiques. Continuer à traiter ces sujets séparément revient à sous-estimer la nature systémique des menaces actuelles.

L'erreur stratégique : confondre conformité et sécurité

L'un des risques majeurs aujourd'hui est de considérer NIS2 et REC comme des objectifs finaux. Car, se conformer à une directive ne protège pas d'une attaque. Cela permet, au mieux, d'en limiter l'impact.

Les premiers retours des pays ayant déjà transposé la directive, comme la Belgique, vont dans ce sens. Il est encore trop tôt pour observer une baisse des cyberattaques. En revanche, une évolution notable apparaît : l'augmentation du nombre d'incidents déclarés. Loin d'être un signal négatif, cette transparence accrue constitue un progrès. Elle traduit une meilleure détection, une plus grande maturité et une capacité renforcée à partager l'information pour anticiper les menaces.

Certaines organisations commencent à intégrer cette réalité en adoptant des approches inspirées de la gestion de crise : simulations d'attaques, tests de restauration des sauvegardes, exercices de continuité d'activité. Mais ces pratiques restent encore trop marginales : une grande entreprise sur deux a subi au moins une cyberattaque significative au cours de l'année dernière, selon le baromètre CESIN 2026.

Ancrer la cybersécurité au cœur des opérations

NIS2, associée à REC, impose une transformation plus profonde qu'il n'y paraît. Elle oblige les organisations à décloisonner leurs approches, à aligner les enjeux techniques, organisationnels et humains, et surtout à intégrer la sécurité dans leur fonctionnement quotidien.

Ce mouvement est déjà engagé, avec une implication accrue des directions générales et une attention renforcée portée à la chaîne d'approvisionnement. Mais une étape reste décisive : sortir définitivement d'une logique de conformité pour entrer dans une logique de résilience opérationnelle. C'est à ce niveau que se joue désormais la maturité des organisations. Le véritable retard n'est pas celui de la loi, mais celui des entreprises qui procrastinent.

Dominique Gueguen

Solution Engineer Cybersecurity EMEA chez Axis Communications

No comment on «NIS2 : le vrai risque n’est pas le retard de la loi, mais celui des entreprises»

Leave a comment

* Required fields