NIS 2 : Faut-il vraiment tout faire ?

Depuis l’entrée en vigueur de la directive NIS 2, de nombreuses organisations s’interrogent sur la manière d’aborder leur mise en conformité. Si le texte impose des objectifs clairs — gouvernance, gestion des risques, sécurisation des services essentiels — il laisse aux entités une certaine latitude dans la façon d’y répondre, à condition que les mesures soient jugées proportionnées, démontrables et cohérentes avec les obligations.

Dans ce contexte, deux approches émergent : l’une exhaustive, visant à couvrir l’ensemble des exigences de manière systématique ; l’autre plus pragmatique, fondée sur le principe du « Good Enough », qui privilégie une couverture approfondie des mesures critiques, assortie d’un effort adapté sur les points à moindre risque. Cette approche mixte, parfois qualifiée de « Best Effort structuré », cherche à concilier rigueur et soutenabilité.

Mais jusqu’où aller ? Et surtout, comment décider de ce qui est suffisant ? Entre la tentation d’un déploiement exhaustif — souvent difficilement soutenable — et le risque d’une approche trop partielle, les organisations doivent trouver une trajectoire réaliste, en fonction de leurs ressources, de leur exposition aux risques et de la nature de leurs obligations réglementaires.

C’est à cette question d’équilibre que répond cet article : comment identifier l’approche de conformité pertinente pour votre structure, sans surdimensionner les efforts, ni sous-estimer les enjeux ?

Approche exhaustive : rigueur maximale, coûts potentiellement élevés

L’approche exhaustive consiste à adresser l’ensemble des exigences de NIS 2 de manière systématique, souvent en s’appuyant sur les référentiels les plus complets (type ISO 27001, ou politiques sectorielles avancées). Elle suppose une couverture intégrale des mesures attendues : documentation complète, procédures formalisées, supervision continue, traçabilité exhaustive, gestion des incidents en temps réel, plans de continuité testés, audits internes réguliers…

Cette approche peut être pertinente pour les entités critiques fortement exposées, déjà structurées autour d’une gouvernance mature de la sécurité. Elle présente l’avantage d’anticiper les contrôles et d’assurer un alignement fort avec les attentes des autorités compétentes.

Mais elle implique des moyens considérables — humains, techniques, financiers — et un niveau de formalisation souvent difficile à atteindre pour une PME ou une entité peu dotée. Dans certains contextes, elle risque d’absorber des ressources au détriment de la qualité opérationnelle réelle.

Approche « Good Enough » : ciblée, pragmatique, défendable

À l’inverse d’un déploiement total, l’approche dite « Good Enough » repose sur un principe de réalisme : concentrer les efforts sur les domaines les plus critiques, traiter sérieusement les obligations majeures, et appliquer un niveau de contrôle proportionné sur les points à moindre risque. C’est une stratégie de priorisation assumée, qui permet de faire converger les exigences de la directive avec la capacité réelle d’action de l’organisation.

Elle s’appuie généralement sur une analyse de risques structurée, une cartographie des actifs critiques, et une feuille de route documentée. Elle combine des mesures robustes sur les segments vitaux (gouvernance, gestion des accès, supervision, continuité) avec un engagement de progression continue sur les autres pans de la conformité.

Ce modèle repose sur une posture claire : démontrer que les décisions sont prises en conscience, avec des critères établis et une logique d’amélioration progressive. Cette stratégie est défendable face aux autorités, à condition d’être traçable, justifiée et de faire la preuve de ses progrès à chaque revue.

Choisir son approche : arbitrer avec méthode

Le choix entre ces deux approches doit tenir compte de trois paramètres principaux :

• Les obligations réglementaires formelles : êtes-vous une entité essentielle ou importante ? Votre secteur fait-il l’objet de mesures renforcées ?

• Le niveau de maturité existant : votre organisation dispose-t-elle déjà d’un cadre de sécurité ? D’une gouvernance ? D’une culture de gestion du risque ?

• Les ressources mobilisables : pouvez-vous engager une équipe dédiée ? Avez-vous des partenaires pour externaliser certaines fonctions (SOC, audit, etc.) ?

Dans tous les cas, il est recommandé de démarrer par une analyse de l’existant, une cartographie des risques, et l’élaboration d’une feuille de route réaliste. À partir de là, la trajectoire peut être construite avec précision : ciblée, défendable, évolutive.

Ce que la directive attend, ce n’est pas l’impossible. C’est une capacité à décider, à documenter et à progresser — dans un cadre qui fait sens pour votre organisation.