Face à l’intensification des cybermenaces et à la fragilité croissante des infrastructures critiques, l’Union européenne impose une mue stratégique. Les directives NIS 2 et REC redistribuent les cartes de la sécurité numérique et physique. Gouvernance, chaîne logistique, cycle de vie des dispositifs, formation : plus rien n’échappe au cyber. Les entreprises françaises sont-elles prêtes ?
Cybersécurité : la gouvernance au défi de la résilience
Avec NIS 2 et REC, l’Europe fait de la sécurité des données un pan crucial de son architecture stratégique. Derrière ces textes, un basculement se profile : la sécurité n’est plus envisagée comme une protection, mais devient plutôt une condition nécessaire d’existence.
Une approche systémique de la sécurité
Un virus informatique est capable de paralyser un hôpital. Un mot de passe dérobé peut mettre à l’arrêt une centrale ou compromettre la logistique d’une structure. Les failles de notre économie numérisée ne sont donc plus souterraines : elles courent tout au long de la chaîne de valeur, menacent les services publics et exposent jusqu’aux fonctions régaliennes. Dans ce contexte, l’Union européenne a haussé le niveau de vigilance. Deux directives structurantes, NIS 2 (Network and Information Security) et REC (Résilience des entités critiques), imposent désormais aux États et aux entreprises une mue profonde, à la fois technique, réglementaire et culturelle.
Ces textes, publiés fin 2022, dont la transposition dans les droits nationaux des 27 États membres était prévue pour octobre 2024, obligent à repenser la cybersécurité non plus comme un rempart périphérique, mais comme une matrice organisationnelle, façonnant les modèles de gouvernance, les pratiques métiers, la chaîne logistique, les équipements, les comportements humains et les choix pédagogiques. Ils consacrent ainsi la sécurité comme une responsabilité distribuée, permanente, fondée sur la transparence, l’anticipation et la connaissance partagée.
NIS 2 : une révolution (trop) silencieuse
Plus ambitieuse, plus contraignante et plus incisive que sa devancière de 2016, la directive NIS 2 étend ses obligations à une trentaine de secteurs essentiels et importants : énergie, finance, eau, santé, cloud, e-commerce, recherche, télécoms ou encore industrie pharmaceutique. Désormais, une entité est responsable de la sécurité de son système, mais aussi de celle de ses sous-traitants et fournisseurs critiques. L’enjeu est clair : réduire les angles morts dans les chaînes d’interdépendance numérique.
Cette directive impose la mise en œuvre de politiques de cybersécurité documentées, la réalisation régulière d’évaluations de risques, la détection proactive des vulnérabilités, des obligations de remontée d’incidents dans les 24 heures, ainsi que des audits rigoureux. Elle établit une responsabilité explicite des dirigeants, accompagnée de sanctions financières significatives (jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial). Autrement dit, la cybersécurité cesse d’être un sujet technique pour devenir une question de gouvernance.
Ces deux textes esquissent une éthique de la sécurité distribuée, fondée sur la coopération, la transparence et la mise à niveau collective
REC : au-delà du cyber, la résilience physique
Moins connue, mais tout aussi déterminante, la directive REC complète ce dispositif en s’intéressant à la vulnérabilité des infrastructures critiques aux menaces physiques : attentats, catastrophes naturelles, sabotages, actes internes de malveillance. Elle s’adresse aux opérateurs qui assurent la continuité des fonctions vitales de la société : alimentation, transport, sécurité, santé, énergie.
Chaque État membre devra désigner les entités critiques qu’il abrite sur son territoire. Ces dernières devront démontrer leur capacité à évaluer les risques, à sécuriser leurs installations, à garantir la continuité de service et à communiquer de façon fluide en cas de crise. La directive prévoit aussi le statut d’entité critique d’importance européenne pour les organisations opérant sur plusieurs États membres, et qui seront particulièrement scrutées par la Commission européenne.
Des directives jumelles pour un écosystème cohérent
L’interconnexion entre NIS 2 et REC est totale : une entité critique au sens de REC devient automatiquement une entité essentielle selon NIS 2. Cette synergie crée un cadre intégré, dans lequel la résilience ne peut être uniquement technologique ou uniquement physique, mais holistique. Elle oblige les entreprises à articuler sécurité informatique et industrielle, gestion de crise, protection des données et dialogue stratégique avec l’ensemble des parties prenantes.
C’est aussi l’idée de l’un des principes structurants du nouveau paradigme de sécurité : celui de la responsabilité partagée. Fabricants, intégrateurs, distributeurs, clients finaux, chercheurs, autorités de certification… chacun porte une partie de la charge. Les deux textes esquissent une éthique de la sécurité distribuée, fondée sur la coopération, la transparence et la mise à niveau collective.
Il est indispensable de faire émerger un rapport actif et critique au risque, en croisant expertise métier, réflexes numériques, conscience des vulnérabilités et compréhension des enjeux géopolitiques
Le facteur humain : maillon faible ou levier stratégique ?
Dans un univers technique saturé de protocoles, de normes et d’acronymes, une évidence s’impose : les failles les plus souvent exploitées sont humaines. Mauvaise gestion des mots de passe, ouverture d’un mail piégé, configuration négligente d’un système, comportements de contournement ou ignorance des consignes de sécurité… L’erreur humaine reste à l’origine de près de 80 % des incidents déclarés.
La cybersécurité ne se joue donc pas uniquement dans les centres opérationnels mais également dans les bureaux, les entrepôts, les messageries, les habitudes quotidiennes. C’est pourquoi les directives européennes insistent sur les enjeux de formation : obligation de formation continue pour les dirigeants, sensibilisation de tous les collaborateurs, développement d’une culture de la sécurité dès la conception des produits.
Une exigence qui dépasse le simple souci de conformité et engage un véritable changement de culture. Il est indispensable de faire émerger un rapport actif et critique au risque, en croisant expertise métier, réflexes numériques, conscience des vulnérabilités et compréhension des enjeux géopolitiques.
Le cycle de vie des dispositifs
Un autre apport majeur de cette nouvelle doctrine est la prise en compte du cycle de vie complet des dispositifs : conception, production, déploiement, maintenance, retrait. Des procédures de contrôle, de mise à jour, de gestion des accès et de communication des vulnérabilités doivent être rigoureusement appliquées à chaque étape.
Cela implique des choix structurants : architecture de réseaux, chiffrement des échanges, authentification forte, inventaire permanent des dispositifs connectés, segmentation des accès, veille sur les menaces émergentes, évaluation de la sécurité des composants tiers. C’est aussi une invitation à repenser la gestion des équipements obsolètes, qui restent souvent connectés sans qu’aucun suivi ne soit effectué, comme autant de portes laissées grandes ouvertes et vulnérables aux intrusions.
“Le contexte géopolitique et les annonces des États-Unis sur l’investissement dans la cybersécurité nous convainquent qu’il faut être toujours mieux préparés à parer ces attaques, dont le nombre ne cesse de croître.” Clara Chappaz, ministre déléguée chargée de l’intelligence artificielle et du numérique
Un enjeu de souveraineté
Les directives NIS 2 et REC illustrent la volonté de l’Union européenne de lutter contre la dépendance technologique et la fragmentation des systèmes pour regagner une forme de souveraineté numérique. En imposant des standards élevés à l’ensemble de son tissu économique, en encadrant les pratiques des fabricants, des importateurs et des opérateurs essentiels, elle entend réduire sa vulnérabilité. “Le contexte géopolitique et les annonces des États-Unis sur l’investissement dans la cybersécurité nous convainquent qu’il faut être toujours mieux préparés à parer ces attaques, dont le nombre ne cesse de croître”, comme le soulignait Clara Chappaz, ministre déléguée chargée de l’Intelligence artificielle et du Numérique dans une déclaration du 18 mars 2025 à l’Assemblée nationale.
Mais cette ambition suppose un alignement des pratiques, des investissements durables, des formations adaptées et une capacité d’anticipation. Pour les entreprises, le défi est autant organisationnel que stratégique : il s’agit d’intégrer la sécurité comme levier de performance, d’innovation et de confiance plutôt que de la percevoir comme un coût ou une contrainte.
Transposition française
En France, la transposition des directives NIS 2 et REC ne relève pas d’un simple ajustement réglementaire mais constitue un marqueur de souveraineté numérique et de réarmement stratégique face aux risques systémiques. Portée par l’Agence nationale de la sécurité des systèmes d’information (Anssi) en coordination avec les ministères de l’Intérieur, des Armées, de l’Économie et de la Transition écologique, cette réforme engage une recomposition profonde du rôle régulateur de l’État dans la sphère technologique. Vincent Strubel, directeur général de l’Anssi, se réjouit de ces progrès : “2024 a été aussi l’année de belles avancées européennes, avec notamment le vote du règlement sur la résilience cyber que nous avons soutenu et qui constitue un pas important dans l’élévation générale de la cybersécurité de l’Union européenne.”
Une élévation générale bienvenue au regard des 4 386 événements de sécurité portés à la connaissance de l’Anssi et qui ont été traités par les équipes opérationnelles. Une augmentation de 15 % par rapport à 2023, selon le rapport annuel 2024 de cette institution déjà incontournable.
Le débat dépasse la seule question de la mise en conformité et interroge la capacité de la puissance publique à garantir la résilience de secteurs clés – énergie, santé, numérique, eau, transport – dans un contexte d’instabilité géopolitique et de dépendances industrielles. Les discussions en cours portent autant sur le calibrage des obligations que sur le rythme d’appropriation par les acteurs économiques, en particulier les collectivités, les opérateurs territoriaux et les PME et ETI, souvent en première ligne mais peu dotés en outils.
Un décret d’application portant sur la formation des dirigeants est attendu dans les prochains mois, et devrait déterminer si les managers doivent désormais être considérés comme les garants de la cybersécurité au plus haut niveau de décision.
Cem Algul
