NIS2, le défi du passage à l’échelle

La cybercriminalité connaît une croissance exponentielle depuis la fin des années 2000. À tel point que son impact sur l’activité économique en France représentait plus de 110 milliards d’euro en 2024, selon l’institut Statistica. C’est précisément pour faire face à cette « intensification des cyberattaques en Europe » que l’Union européenne a adopté la directive NIS2  en décembre 2022. Cet objectif de résilience commune est rendu d’autant plus important dans « le contexte géopolitique actuel, qui accroît la double nécessité d’une autonomie stratégique et d’une stratégie de souveraineté numérique au sein de l’Union européenne », estimait le 2 avril Véronica Gaffey, directrice générale des services numériques de la Commission européenne. 

En cours de transposition en France à travers le projet de loi « Résilience » adopté en mars au Sénat, la directive NIS2 constitue en tout état de cause « un changement de paradigme », selon la formule du directeur général de l’AnssiI Vincent Strubel. En effet, le texte de loi élargit le nombre d’organisations régulées par les pouvoirs publics de 500 à plus de 15 000, et sans doute bien davantage si l’on prend en compte l’ensemble des parties prenantes de la supply chain des 18 secteurs critiques désignés par le texte européen. Mais l’ensemble de ces organisations publiques et privées, aux niveaux de maturité et aux budgets si disparates seront-elles en mesure de « passer à l’échelle » et d’augmenter leur niveau de cybersécurité ? 

Comment intégrer le tissu économique des TPE et des PME ?

 « Les PME/TPE/ETI constituent la catégorie d’entités la plus affectée par les compromissions par rançongiciel », relevait l’AnssiI dans son dernier Panorama de la cybermenace. Parmi elles, les TPE et les PME ont moins de 2000 euros de budget à consacrer à leur cybersécurité, observait de son côté Cybermalveillance.gouv.fr et 68 % d’entre elles ne s’estiment pas prêtes à affronter une cyberattaque. Ce qui explique pourquoi « 60 % des PME attaquées déposent le bilan sous 18 mois », à croire le rapport du CESIN 2024 que citait Véronique Torner (Numeum). Ces difficultés s’accroissent quand on songe en outre que « 15 000 postes en cybersécurité demeurent vacants en France », ajoutait la représentante de Numeum qui encourage une féminisation du secteur pour remédier à la pénurie. 

L’enjeu est d’autant plus crucial que du côté de la menace « l’essor des entreprises privées de lutte informatique offensive (LIOP) » ont mis à disposition d’un grand nombre de cybercriminels, « des capacités qui étaient jusqu’alors l’apanage des États les plus avancés en matière cyber », mettait en garde l’ANSSI dans son Panorama. Pour y faire face, l’agence invite les organisations à mettre en place une stratégie de « défense en profondeur », allant bien souvent au-delà de l’application des 42 mesures d’hygiène numérique de base recensées par l’agence dès 2017. Cependant, l’ensemble des organisations publiques et privées ont-elles été acculturées à ces enjeux complexes, notamment dans les territoires ? Dans un contexte de durcissement des relations internationales, la question de la sécurisation des PME règlementées est un enjeu d’autant plus critique que ces derniers abritent notamment la majorité des 4500 PME de moins de 50 salariés qui forment notre base industrielle et technologique de défense (BITD).

Un référentiel adapté aux territoires

Les TPE et les PME concernées par NIS2 peuvent néanmoins déjà compter sur l’accompagnement de la plateforme Cybermalveillance.gouv.fr afin de mettre en place une politique de sécurisation, de supervision ou de réponse à incidents. En effet, « 85 % des victimes qui souhaitent une mise en relation avec un prestataire de proximité pour de la remédiation technique trouvent un prestataire en moins d’une heure, 24h sur 24 et 7 jours sur 7 », se réjouissait ainsi Jérôme Notin dans les colonnes du magazine Cyberleaders de l’édition 2025. De son côté l’Anssia mis à disposition des organisations NIS2 le dispositif « Mes services cyber », annonçait Vincent Loriot, le directeur adjoint de la Sous-Direction Stratégie de l’agence, ajoutant qu’ « un référentiel simplifié sera proposé aux PME pour franchir une première marche indispensable, avec un niveau de sécurité soutenable économiquement. » 

Mais l’ensemble de ces dispositifs pourraient être mis en échec si la réalité des risques cyber n’était pas saisie par les équipes dirigeantes, parfois tentées d’être « conformes pour être conformes au risque de transformer la conformité en bureaucratie, au détriment des actions concrètes de protection », mettait en garde de son côté le représentant du CESIN, Frank Van Caeneghem. Au contraire, c’est seulement à la faveur d’un partage des responsabilités que « les RSSI pourront co-construire une gouvernance claire, en se faisant accompagner par les financiers, les communicants et les techniciens de leurs organisations. » Le RSSI doit en effet être « un chef d’orchestre et un éclaireur capable de maîtriser les réglementations, les certifications et de rassembler les ressources financières et humaines nécessaires », estimait Frank Van Caeneghem.