Cartes parallèles

Écrit par Lotfi BENYELLES

La directive européenne NIS 2 est souvent présentée comme une avancée réglementaire majeure en matière de cybersécurité. Elle l’est. Mais elle est aussi — et peut-être surtout — un instrument discret de recomposition de la gouvernance numérique en Europe.

Sous couvert d’exigences techniques et de plans de sécurité, NIS 2 impose en réalité une transformation en profondeur des équilibres entre acteurs publics et privés, techniques et stratégiques, visibles et agissants.

Une carte qui engage

La directive impose une cartographie des dépendances, des prestataires critiques, des flux, des vulnérabilités. Pas une carte d’intention ou d’inventaire passif : une carte engageante, dont l’exactitude conditionne la conformité, et dont la négligence peut désormais produire une responsabilité.

Cette exigence structure un espace nouveau de visibilité obligatoire : les CERTs réclament des vues, les régulateurs exigent des preuves, les autorités attendent des plans. De là naît une carte de plus en plus précise du système d’information, de ses interconnexions et de ses faiblesses : une topographie du risque numérique, continentale et normalisée.

Une autre carte, plus discrète

Mais pendant que cette carte officielle se constitue, une autre se dessine en parallèle. Non pas celle des failles, mais celle des forces. Une carte sans légende, non opposable, mais agissante : celle des leviers stratégiques, des contrats structurants, des dépendances qui ne figurent pas dans les audits mais orientent les décisions.

Cette carte-là, ce sont les grands prestataires qui la dessinent.

  • Les ESN majeures (Atos, Orange Cyberdefense, Capgemini) ne sont plus de simples exécutants. Elles deviennent copilotes des politiques de résilience, co-auteures des réponses adressées aux régulateurs.

  • Les hébergeurs dits souverains, longtemps en retrait, reprennent la main : ils transforment les obligations réglementaires en avantages compétitifs, par leur capacité à proposer des solutions immédiatement conformes.

  • Les consultants en cybersécurité, hier mobilisés en urgence, s’installent désormais en permanence dans les chaînes de gouvernance. Ce sont eux qui rédigent les matrices de criticité, définissent les réponses, orientent les budgets.

  • Les éditeurs de logiciels, enfin, intègrent directement les exigences de conformité dans leurs lignes de code. Le produit devient preuve. L’usage devient standard. Et la logique d’un outil devient la norme d’un secteur.

Gouverner par la technique

Derrière le texte juridique, NIS 2 redéfinit une réalité politique : la gouvernance numérique européenne s’opère de plus en plus à travers les outils, les configurations, les obligations techniques. Ceux qui conçoivent, maintiennent ou imposent ces standards prennent de fait le pouvoir.

Ce pouvoir n’est pas toujours visible. Il ne se décrète pas. Il s’exerce par réseaux, par inertie, par contractualisation. Les grands groupes industriels et financiers, même sans mandat public, imposent leurs exigences à tout leur écosystème — prestataires, sous-traitants, partenaires — et fixent ainsi, sans l’annoncer, les seuils de sécurité attendus.

Deux cartes, deux logiques

NIS 2 ne crée donc pas une seule carte du numérique : elle en révèle deux.

  • L’une, officielle, composée de matrices de criticité, de preuves d’audit, de dépendances documentées.

  • L’autre, officieuse, structurée par des dynamiques d’influence, des effets de seuil, des dominations techniques.

En exigeant transparence et documentation, NIS 2 ne fait pas qu’améliorer la sécurité. Elle accélère une redistribution des rôles, une redéfinition des acteurs dominants, une co-gouvernance émergente entre public et privé, technique et stratégique.

Ce n’est pas seulement une directive de cybersécurité, c’est aussi un texte de pouvoir.

Lotfi BENYELLES
Précédent

Facilitez la vie aux hackers avec linkedin