16 juin 2026

NIS 2 : se conformer oui, mais surtout se protéger

La transposition de la directive NIS 2 en droit français s'apprête à franchir une étape décisive avec l'adoption de la loi Résilience prévue en juillet 2026. Pour beaucoup d'organisations, c'est le signal attendu pour agir. Mais attendre le cadre pour se protéger est laisser un terrain propice aux attaques.

En 2025, 76 % des incidents de sécurité traités par l'ANSSI étaient concentrés sur quatre secteurs : l'éducation et la recherche, les ministères et collectivités territoriales, la santé et les télécommunications. Ces chiffres décrivent une réalité que des équipes IT, des DSI et des RSSI ont vécue en temps réel : systèmes paralysés, données exfiltrées, services publics interrompus. Si nous faisons le bilan de cette mi-année 2026, plusieurs organisations publiques ont été touchées par des cyberattaques d’ampleur, tandis que des opérateurs télécoms ont subi des vols de données significatifs. 

Des incidents ont également concerné de grandes administrations, avec des impacts notables sur des volumes importants de données, ce qui illustre la persistance de la menace contre les institutions comme contre les acteurs essentiels du numérique. À l’échelle nationale, les premiers mois de l’année ont aussi été marqués par une hausse sensible du nombre d’incidents et des volumes de données exposées. 

Les exemples ne manquent malheureusement pas, et chaque incident a laissé derrière lui des semaines de remédiation, des millions de données compromises et une confiance abîmée. Face à cette conjoncture, beaucoup d'organisations ont réagi vite : renforcement des accès, déploiement de solutions de détection, mise à plat des politiques de mots de passe, parfois révision complète de l'architecture réseau. 

Des réponses nécessaires, mais souvent construites dans l'urgence, sans cadre structurant parce que la loi, elle, n'était pas encore là. 

Agir sans cadre : une situation inconfortable, mais révélatrice 

La directive NIS 2 est entrée en vigueur au niveau européen depuis octobre 2024. Sa transposition en droit français est attendue pour juillet 2026. Entre ces deux dates, les organisations concernées ont navigué dans un entre-deux délicat : des exigences connues dans leurs grandes lignes, un périmètre d'entités concernées identifiées mais des modalités de mise en conformité pas encore complètement figées. 

Ces évolutions concernent notamment les collectivités territoriales, désormais confrontées à de nouvelles obligations en matière de gouvernance, de gestion des risques et de résilience cyber.

Ce contexte a alimenté une posture compréhensible : attendre que le cadre soit clair avant d'engager des investissements structurants. Pourquoi figer une trajectoire si les règles peuvent encore évoluer ? 

Cette logique se tient, à une condition près : que le risque, lui, attende aussi. Or, ce n'est pas le cas. Pendant que les organisations temporisaient, les attaquants, eux, ont continué d'affiner leurs méthodes. Le phishing, dopé à l’IA, est devenu une technique d'intrusion initiale redoutablement efficace. Les fermes de cybercriminels, organisées comme de véritables entreprises avec des équipes RH, des sprints d'attaque et des objectifs trimestriels, industrialisent des campagnes qui auraient nécessité des mois de préparation il y a trois ans. 

L'intelligence artificielle n'est plus un sujet prospectif dans la boîte à outils des attaquants : c'est leur levier central, celui qui accélère la reconnaissance, automatise le phishing, contourne les défenses comportementales et adapte les malwares en temps réel.  

Ces dernières années, les organisations ont multiplié les initiatives cyber : MFA, sauvegardes, supervision, sensibilisation, gestion des accès, durcissement des infrastructures. Mais ces actions ont souvent été menées par étapes, parfois dans l'urgence, au gré des incidents, des contraintes opérationnelles ou des nouvelles exigences réglementaires.

Or NIS 2 invite à changer d'échelle. Elle pousse les organisations à structurer leur cybersécurité autour de trois priorités : une gouvernance plus claire, une meilleure maîtrise des risques et une démarche d'amélioration continue. 

La conformité n'est pas la raison principale de se protéger. La menace, en revanche, l'est. 

Nous voyons régulièrement des organisations qui pilotent leur mise en conformité NIS 2 comme un plan d’actions à dérouler. Une exigence cochée, c'est une case validée. Mais derrière cette case, il y a un risque réel et c'est ce risque qui doit structurer la démarche, pas l'inverse. La conformité sans la maîtrise du risque reste de la documentation.

Elodie Grisé, Responsable du développement sécurité et conformité chez Claranet. 

NIS 2 : des obligations structurantes et des limites que seule la sécurité peut combler 

Avec l'adoption de la loi Résilience en juillet 2026, les obligations NIS 2 vont s'ancrer dans le droit français avec une précision nouvelle. Les entités essentielles et importantes devront démontrer la mise en place de mesures de gestion des risques cyber : gouvernance, détection des incidents, gestion des vulnérabilités, sécurité de la chaîne d'approvisionnement, continuité d'activité. Les sanctions, elles, sont concrètes : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, avec une responsabilité personnelle des dirigeants explicitement inscrite dans le texte. Ce n'est plus une menace théorique mais un levier de gouvernance que les conseils d'administration commencent à prendre au sérieux.  

Chaque exigence NIS 2 se traduit par des actions concrètes, et c'est précisément leur mise en œuvre effective qui fait la différence entre une conformité documentée et une sécurité qui fonctionne. 

  • Détecter un incident nécessite une supervision active, des outils configurés et des équipes qui opèrent réellement 

  • Réduire le délai entre compromission et identification, qui dépasse encore souvent plusieurs semaines selon l'ANSSI, exige des processus rodés et une visibilité maintenue dans le temps 

  • Maîtriser sa chaîne d'approvisionnement repose sur une cartographie précise de ses dépendances et des contrôles effectivement appliqués.  

C'est en ce sens que NIS 2 est bien plus qu'un cadre réglementaire : c'est une invitation à ancrer la cybersécurité dans les réalités des environnements. 

Engager sa trajectoire NIS 2 : une approche pragmatique, fondée sur les priorités 

Pour les organisations qui n'ont pas encore engagé leur trajectoire NIS 2, la priorité n'est pas de tout résoudre avant la date butoir. Elle est de commencer par les bons sujets, dans le bon ordre, avec une logique de priorisation fondée sur le risque réel et non sur une checklist exhaustive. 

Deux cas concrets qui illustrent une démarche fondée sur le risque 

Use case : D'une architecture héritée à la maîtrise des vecteurs d'exposition 

Prenons l'exemple d'un industriel de taille intermédiaire, avec un système d'information hybride : infrastructures historiques, services cloud, et plusieurs interconnexions fournisseurs jamais réellement auditées depuis leur mise en place. 

L’organisation a hérité d'une architecture mal documentée, dont les flux prestataires restaient opaques. La surface d'exposition réelle était difficile à qualifier, et la vision du risque, fragmentée. 

La première étape a consisté à cartographier les flux et à analyser les accès à privilèges. En six semaines, trois vecteurs d'exposition majeurs ont été identifiés et priorisés selon leur impact réel sur la réduction du risque, puis traités dans l'ordre, sans interrompre la production. 

Résultat : NIS 2 n'a pas été abordée comme un exercice documentaire, mais comme le cadre structurant d'une trajectoire cyber réaliste, alignée avec les contraintes IT et la continuité d'activité. 

Use case : D’un diagnostic NIS 2 à une feuille de route opérationnelle 

Prenons l’exemple d’une organisation opérant des services numériques critiques, avec un système d’information hybride : infrastructures legacy, services cloud, applications exposées et plusieurs prestataires IT. 

Elle disposait déjà de mesures cyber : MFA, sauvegardes, supervision partielle, sensibilisation. Mais la vision du risque restait fragmentée. 

La première étape a consisté à évaluer l’existant : actifs critiques, accès, dépendances fournisseurs, processus d’incident, sauvegardes et vulnérabilités. Puis les actions ont été priorisées selon leur impact réel sur la réduction du risque : sécurisation des comptes à privilèges, amélioration de la visibilité, formalisation de la réponse à incident, renforcement des sauvegardes et suivi des prestataires sensibles. 

Résultat : NIS 2 n’a pas été traitée comme un simple exercice documentaire, mais comme un cadre pour structurer une trajectoire cyber réaliste, alignée avec les contraintes IT et la continuité d’activité. 

Ces types de démarche illustrent une réalité que l'on observe régulièrement : la conformité, lorsqu'elle sert la sécurité, devient un levier de structuration et un cadre. Les organisations qui comprendront cette distinction avant juillet auront un avantage décisif sur celles qui attendront une législation figée.  

C'est précisément là que la convergence entre expertise IT et cybersécurité change la nature de la réponse.  

NIS 2 arrive. Le contexte de menaces, lui, est déjà là. Ces deux réalités méritent une seule réponse : une démarche structurée, fondée sur le risque, et ancrée dans les environnements réels. 

Découvrez notre accompagnement NIS 2