NIS 2 : il ne suffit plus de bien faire
Vous n’aviez jamais eu à vous soucier de NIS. Et pour cause : cette directive de 2016, semblait réservée aux grandes entreprises, citadelles bureaucratiques où des armées d’experts veillent sur leurs process et documentent tout. Dans votre entreprise, petite ferme devenue village, chaque journée était une succession de décisions pragmatiques. Pourtant, aujourd’hui, on vous indique que NIS 2 est bientôt là et que vous allez devoir vous conformer à ses exigences.
Non seulement vous allez revoir vos process, mais vous allez faire partie d’un écosystème de cybersécurité : une pièce dont la vulnérabilité pourrait affecter un ensemble. Tout votre contexte professionnel, jusqu’ici relativement préservé de la régulation et des normes, se trouve donc trouve happé dans cette vaste mécanique de la conformité. Il faut donc vous mettre en règle et cette injonction vient avec menaces de sanctions financières.
Vous pressentez que les positions des acteurs de votre marché vont être rejouées. Certains jetteront l'éponge car la marche est trop haute. Mais vous et plusieurs de vos concurrent relèverez le défi.
Déjà, une première alerte avait été donnée avec le RGPD. À l’époque, la mise en conformité avait pu sembler exigeante, mais vous aviez su faire face. Finalement, l’exercice était relativement clair : il suffisait d’identifier les traitements de données à caractère personnel, de les cartographier, de désigner un responsable et d'adopter des règles et bonnes pratiques de protection. L’effort avait été important, mais il restait isolé.
Cette fois, ce n’est plus seulement un pan de votre activité qui est concerné, c’est l’ensemble de votre infrastructure, vos fournisseurs, vos clients, vos RH et votre manière même d’appréhender votre métier. Chaque maillon de votre organisation devient un point d’attention, chaque négligence potentielle, une faille à combler. Vous ne pouvez plus seulement traiter ce sujet de façon isolée, vous devez disposer d'une vision d'ensemble pour renforcer, surveiller, anticiper, alerter, corriger.
Vous avez toujours fait de la cybersécurité à votre manière, sans en avoir l’air. Parce qu’il le fallait. Parce que l’enjeu n’était pas seulement technique, mais vital pour la continuité de votre activité. Parce qu’une perte de données, un poste compromis, un fournisseur négligent n’étaient pas des abstractions, mais des risques concrets, immédiats.
Alors vous avez mis en place des sauvegardes régulières, non par simple précaution, mais parce que vous saviez que la moindre panne pouvait coûter des heures de travail perdues. Vous avez exigé des mots de passe robustes parce que vous aviez déjà vu les dégâts qu’un compte compromis pouvait causer. Vous avez sensibilisé vos équipes aux dangers du phishing parce qu’un email frauduleux a failli piéger un collaborateur, et que vous avez compris que la première faille était humaine. Vous avez imposé des mises à jour dès que possible parce que vous aviez appris, souvent dans l’urgence, que négliger un correctif, c’était ouvrir une porte que d’autres sauraient exploiter.
Mais aujourd’hui, ces pratiques que vous avez mises en place par nécessité ne suffisent plus à elles seules. Il ne s’agit plus seulement de savoir pourquoi vous le faites, ni même d’agir avec discernement. Il faut pouvoir le démontrer, l’inscrire dans des procédures formelles, le prouver à tout instant.
Ce qui relevait du pragmatisme devient un cadre opposable. Le bon sens doit être documenté, justifié, mesurable. Une sauvegarde régulière ne suffit plus, elle doit s’intégrer à un plan de continuité. Une restriction d’accès ne se résume plus à une précaution, elle devient une mesure de mitigation. Une réaction rapide face à un incident ne suffit pas, il faut pouvoir démontrer qu’elle s’inscrit dans une gestion des risques formalisée.
Votre expertise, vos décisions, vos ajustements quotidiens doivent s’exprimer dans un nouveau langage, celui de la norme. Vous devez parler en termes d’analyses d’impact, de mesures de gestion des risques, de plans de réponse aux incidents.
Ce n’est pas seulement une contrainte, c’est un passage à une cybersécurité maîtrisée et démontrable. Elle vous met face à une évidence qui à mon sens est la première exigence de NIS 2 à l'égard des entreprises : il ne suffit plus de bien faire, il faut surtout savoir aussi le penser, le dire.
Jusqu’ici, la cybersécurité a souvent été perçue comme un domaine à part, un territoire réservé aux experts. On l’a cantonnée à la technique, parfois à la contrainte, rarement à une dynamique ancrée dans le quotidien du métier.
Mais avec NIS 2, ce cloisonnement n’est plus possible. La cybersécurité ne peut plus être un univers parallèle : elle doit s’entrelacer avec les réalités du terrain, s’inscrire dans les décisions stratégiques, parler le langage de ceux qui font tourner l’entreprise.
Cela implique un changement profond : ne plus la subir, mais l’intégrer, l’adapter, la traduire en actions qui font sens pour chaque métier. Il ne s’agit pas seulement de se conformer à une directive, mais de bâtir une cybersécurité qui serve réellement l’organisation, qui protège sans paralyser, qui structure sans alourdir.
Ce blog est là pour accompagner cette transition en reliant les enjeux de sécurité aux impératifs métier, et faire en sorte que chaque acteur, du dirigeant au terrain, puisse s’approprier ces exigences sans les subir.
