La directive NIS 2 (Network and Information Security), visant à renforcer la cybersécurité à travers l’Union Européenne, est en cours de transposition dans le droit français. Cette nouvelle réglementation, plus exigeante que la première directive NIS, cible désormais un plus grand nombre d’acteurs, notamment de nombreuses petites structures souvent moins sensibilisées aux enjeux de cybersécurité. Si les grandes entreprises semblent bien mieux préparées, le défi est donc de taille pour ces petites et moyennes organisations. Pour mieux comprendre les implications de NIS 2, Hervé Troalic, Directeur Général de l’offre cybersécurité Imineti by Niji, a accepté de répondre à quelques questions sur les enjeux, les difficultés et les solutions liées à cette réforme.
Le défi de NIS 2 pour les petites et moyennes entreprises
Pourquoi observe-t-on une telle différence de perception de la directive NIS 2 entre grandes entreprises et petites structures ?
La prise en compte de la cybersécurité a certes beaucoup progressé ces dernières années, mais elle reste inégale. Les grandes entreprises et certains acteurs publics ont souvent les moyens et l’expertise pour anticiper ces évolutions, ce qui les place en position d’avance.
En revanche, la majorité des petites structures, qui représentent pourtant le principal périmètre d’application de NIS 2, sont encore en retrait. Cela s’explique par un manque de sensibilisation, de ressources, et parfois une méconnaissance des risques réels liés à la cybersécurité. Elles perçoivent souvent NIS 2 comme une contrainte réglementaire éloignée de leurs priorités immédiates, alors qu’il s’agit d’un véritable changement de paradigme pour toute l’économie.
L’ANSSI estime que près de 15 000 structures seront concernées par NIS 2, contre seulement quelques centaines pour NIS 1.
Comment accompagner efficacement ces petites structures dans leur montée en maturité face à NIS 2 ?
Plutôt que d’imposer une conformité lourde et parfois décourageante, il est essentiel d’adopter une approche pédagogique et progressive. L’objectif est de transformer la cybersécurité en un levier stratégique plutôt qu’en une simple obligation administrative. Cela passe par un accompagnement adapté, la montée en compétences des équipes, et des outils simples à déployer. Par ailleurs, la responsabilité ne doit pas reposer uniquement sur l’État : les grandes entreprises, mieux préparées, ont un rôle clé à jouer pour aider leurs sous-traitants et partenaires à franchir ce cap. La collaboration inter-entreprises est fondamentale pour garantir une sécurité cohérente et partagée.
En effet, la cybersécurité ne doit pas être un fardeau isolé. Elle doit être collective, et impliquer l’ensemble de la chaîne de valeur. Les grands groupes, prêts pour NIS 2, pourraient ainsi davantage s’engager pour accompagner les petites entreprises dans leur montée en maturité, plutôt que de se contenter de leur envoyer des questionnaires de sécurité.
Quels sont les risques si cette montée en maturité collective n’est pas réalisée dans les délais ?
Le principal risque est celui d’une vulnérabilité accrue face aux cyberattaques, qui peuvent avoir des conséquences désastreuses, tant sur le plan financier que réputationnel. Une simple faille dans une petite entreprise peut compromettre toute une chaîne de valeur, y compris des grands groupes. En outre, ne pas se conformer à NIS 2 entraînera des sanctions réglementaires, mais surtout une perte de confiance des clients et partenaires. Il faut aussi relativiser le coût de la mise en conformité face à celui des incidents : investir dans la cybersécurité est une assurance indispensable pour pérenniser son activité. Enfin, si la France ne parvient pas à respecter les échéances, cela risque de freiner l’harmonisation européenne et la compétitivité globale du tissu économique.
Loin d’être un simple obstacle réglementaire, NIS 2 peut et doit ainsi être perçue comme une avancée majeure pour la cybersécurité. Il serait en effet regrettable qu’elle soit vue comme une simple contrainte bureaucratique supplémentaire. Tout comme le RGPD avant elle, NIS 2 vise à instaurer des contours plus sécurisés et plus transparents. Or, pour que ce cadre ne reste pas l’apanage des grandes structures et des spécialistes, il doit être compris, accepté et intégré par toutes les entreprises, y compris les plus petites, souvent ignorées dans les discussions publiques.
La transposition de la directive NIS 2 représente un véritable tournant pour la cybersécurité en France et en Europe. Si les grandes entreprises semblent aujourd’hui bien mieux préparées, le défi reste majeur pour les petites structures, souvent moins sensibilisées et moins outillées. Ainsi, plutôt qu’une contrainte réglementaire supplémentaire, NIS 2 doit être perçue comme une opportunité pour renforcer collectivement la sécurité numérique, garantir la résilience des organisations et soutenir l’innovation à l’échelle européenne.
Téléchargez cette ressource
État des lieux de la sécurité cloud-native
L’État des lieux de la sécurité cloud-native vous offre une analyse complète des problématiques, des tendances et des priorités qui sous-tendent les pratiques de sécurité cloud-native dans le monde entier. Une lecture indispensable pour renforcer votre stratégie de sécurité dans le cloud. Une mine d’infos exclusives pour élaborer votre stratégie de sécurité cloud-native.
