NIS2 et cybersécurité : les clés de lecture de Lionel Mourer (Metsys)
21 juillet 2025
NIS2 et cybersécurité : les clés de lecture de Lionel Mourer (Metsys)
cybersécurité
La directive européenne NIS 2 bouleverse le paysage réglementaire de la cybersécurité. Gouvernance, responsabilités pénales, seuils critiques, reporting : les entreprises doivent désormais anticiper et structurer leur conformité. Lionel Mourer, Chief Technical Officer Cybersécurité chez notre partenaire Metsys, décrypte les enjeux stratégiques de NIS 2, partage des retours de terrain et livre ses conseils pour aborder cette évolution réglementaire avec méthode et sérénité.
Suivre cette thématique pour rester informé
2
7 min
Partager
Suivre cette thématique pour rester informé
2
7 min
Partager
Pouvez-vous nous rappeler ce qu’est la directive NIS 2, à quels types d’entreprises elle s’adresse et quelles sont les principales nouveautés à retenir ?
La directive NIS 2 (Network and Information Security 2) est une mise à jour de la directive européenne NIS 1 (2016). Elle vise à renforcer la cybersécurité au sein de l’Union européenne en élargissant le champ d’application, en augmentant les exigences de sécurité et en améliorant la coordination entre États membres.
Elle est entrée en vigueur le 16 janvier 2023 et chaque État membre doit la transposer dans son droit national. En France, la transposition est encore en cours et devrait être effective d’ici l’été 2025. Les mesures concrètes ne seront alors pleinement opérationnelles qu'après promulgation de la loi et publication des décrets.
La directive NIS 2 cible deux grandes catégories d'entités, réparties selon leur taille1 (plus de 50 employés ou plus de 10 M€ de CA) et leur domaine d’activité :
Les entreprises essentielles (EE), au sein des secteurs de l’énergie, du transport, de la banque, de la santé, de l’eau potable et des eaux usées, des infrastructures numériques (opérateurs de cloud, DNS, etc.) et des administrations publiques majeures.
Les entreprises importantes (EI), au sein des secteurs de l’industrie (chimie, agroalimentaire, fabrication de machines, etc.), des fournisseurs de services numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux), des services postaux et de messagerie, de la gestion des déchets et des fabricants de dispositifs médicaux ou de composants informatiques critiques.
Sujet
NIS 1
NIS 2
Champ d’application
Restreint (OSE + FSN)2
Élargi à de nombreux secteurs
Exigences de sécurité
Généralistes
Renforcées et détaillées
Notification d’incidents
Peu contraignante
24h + rapport détaillé sous 72h
Responsabilité
Collective
Dirigeants personnellement impliqués
Sanctions
Peu dissuasives
Jusqu’à 10 M€ ou 2 % du CA mondial
En quoi cette directive est-elle une opportunité pour renforcer la gouvernance cyber et la maturité globale en cybersécurité ?
Au-delà des contraintes de conformité, la directive NIS 2 peut être une véritable opportunité stratégique pour les entreprises. En effet, NIS 2 permet de :
Structurer et de renforcer la gouvernance cyber, au travers de :
La clarification des rôles et responsabilités : la directive exige que la direction s’implique directement dans la gestion des risques cyber. Cela permet de structurer la gouvernance avec des responsabilités claires (RSSI, DPO, RPCA, etc.).
L’implication de la direction générale : la responsabilité juridique des dirigeants crée une incitation forte à intégrer la cybersécurité dans la stratégie d’entreprise, pas seulement dans l’IT.
La formalisation de processus : via l’obligation de documenter des politiques, des procédures, des modes opératoire et guides, etc., permettant de passer d’une cybersécurité réactive à une approche proactive et managée.
Faire progresser globalement la maturité cyber, au travers de :
L’évaluation régulière des risques : NIS 2 impose une approche systématique d’analyse de risques (obligatoire pour les EE, conseillée pour les EI), utile pour prioriser les investissements liés aux enjeux structurants et adapter les protections à l’évolution des menaces,
L’exigence de mesures concrètes : gestion des vulnérabilités, sécurité de la chaîne d’approvisionnement, chiffrement, supervision, etc., poussant à moderniser les pratiques et les outils,
L’acculturation cyber : la directive incite à mettre en place des actions de sensibilisation et de formation, contribuant à ancrer une culture de sécurité à tous les niveaux de l’organisation.
Également, NIS 2 permet dans certains cas de créer un avantage concurrentiel. En effet, être conforme à la directive est un gage de sérieux pour les clients et partenaires en rassurant sur la capacité à gérer des données et des systèmes critiques.
Enfin, NIS 2 crée un socle de gouvernance et de gestion du risque transposable à d'autres normes (ISO 27001, ISO 2301, etc.) et directives, lois ou règlements, tels que la directive DORA (Digital Operational Resilience Act), le CRA (Cyber Resilience Act), le projet de loi SREN (sécurisation du numérique), la directive CER (Critical Entities Resilience), l’IA Act, etc).
Quelles sont les erreurs ou incompréhensions fréquentes que vous observez dans la mise en œuvre de NIS 2 ?
Certaines organisations abordent la directive NIS 2 de manière partielle ou maladroite.
Erreur
Conséquence
Ce qu’il faut faire
Réduction de NIS 2 à une simple obligation réglementaire
Peu d'appropriation en interne, faible engagement de la direction, mesures superficielles ou non durables
Traiter NIS 2 comme un projet de transformation intégrant gouvernance, culture et stratégie cyber
Limiter la mise en œuvre à la DSI
Difficulté à évaluer les vrais risques métier, manque de budget, isolement du sujet cyber
Mobiliser les fonctions clés : juridique, RH, achats, direction générale, gestion de crise, etc.
Mauvaise compréhension du périmètre d’application
Retard ou inaction, alors que les obligations sont bien réelles
Analyser rigoureusement son éligibilité selon la taille, le secteur et le rôle dans la chaîne de valeur
Sous-estimer l’effort nécessaire
Manque de planification, surcharge des équipes, qualité insuffisante des livrables
Établir un plan d’action réaliste, avec des jalons et des ressources dédiées
Négliger les volets « culture » et « formation »
Manque de vigilance, erreurs humaines, faible prise de conscience
Intégrer la sensibilisation et la formation comme leviers centraux du programme
Oublier la chaîne d’approvisionnement
Vulnérabilité non traitée, non-conformité
Cartographier ses tiers critiques et intégrer la cybersécurité dans les clauses contractuelles
Ne pas anticiper les audits ni la documentation exigée
Incapacité à démontrer l’effectivité des mesures, risques de sanction
Préparer une traçabilité complète : politiques, preuves d'exécution, rapports d’incident, revues de direction, etc.
Ainsi, il est plus pertinent de ne pas prendre NIS 2 comme une fin en soi, mais comme un cadre de maturité permettant de piloter durablement la cybersécurité au sein de l’organisation.
Quels enseignements tirez-vous des premières démarches de mise en conformité déjà engagées par certaines entreprises ?
Les démarches les plus efficaces sont traitées comme des projets de gouvernance, et (surtout) pas d’IT :
Elles ont nommé un pilote transverse (RSSI, Risk Manager ou Responsable conformité), avec une équipe projet mobilisant DSI, métiers, juridique, achats, RH, etc.
Les entreprises sous-estiment l'effort documentaire et de preuve :
Beaucoup découvrent tardivement qu’il ne suffit pas d’avoir des mesures techniques : il faut démontrer leur existence et leur effectivité au travers de “preuves” (journaux d’incidents, comptes-rendus de tests de PRA, preuves de sensibilisation, etc.).
Celles qui s’appuient sur un SMSI ISO 27001 partent avec un gros avantage (même s’il faut adapter certains volets à NIS 2, comme la chaîne d’approvisionnement ou la gouvernance des incidents majeurs).
La cartographie des dépendances critiques est souvent mal maîtrisée :
Beaucoup peinent à identifier précisément leurs systèmes critiques, leurs prestataires IT essentiels ou leurs dépendances logicielles (sans parler du Shadow IT…).
Les meilleures pratiques vues : construire une cartographie technique et métier croisée, et intégrer des clauses cybersécurité dans les contrats.
L’analyse de risques est le point faible le plus fréquent :
Même chez des organisations avancées, l’analyse de risques est souvent mal reliée aux métiers ou à la stratégie, trop IT centrée, non documentée, ou simplement copiée-collée d’un référentiel générique.
Les entreprises qui réussissent travaillent avec des méthodes connues et reconnues (ISO 27005, EBIOS RM, MEHARI, etc.), en impliquant les métiers dans les ateliers, la sensibilisation des dirigeants et métiers reste trop faible. Certaines entreprises respectent “à la lettre” les exigences, mais sans appropriation réelle : les dirigeants sont peu conscients de leur responsabilité, les métiers sont peu (voire pas) impliqués dans la gestion des risques, les plus avancées ont mis en place des formations sur-mesure, des revues régulières avec les COMEX, et des exercices de simulation de crise.
La réussite passe par une approche transversale et sponsorisée par la direction. La preuve documentaire et opérationnelle est aussi importante que la protection elle-même. La maîtrise de la chaîne de dépendances (tiers) est un prérequis clé souvent sous-estimé. Une analyse de risques métier pertinente est la pierre angulaire de la conformité NIS 2. La maturité humaine et organisationnelle est aussi critique que la technique.
Lionel Mourer, Chief Technical Officer Cybersécurité chez Metsys
Quel conseil donneriez-vous à une entreprise qui se demande encore par où commencer et comment METSYS peut l’aider ?
Effectuer un diagnostic initial : évaluez le niveau de maturité actuel de cybersécurité d’un point de vue global et sur les thématiques de NIS 2. Pour ce faire, METSYS utilise un outil interne permettant de “scorer” la maturité d’une organisation vis-à-vis de la sécurité de l’information et de NIS 2.
Nommer un responsable : désignez un référent cybersécurité qui pilotera l’application des exigences de NIS 2. Classiquement, il s’agit du RSSI ou d’une personne au sein d’une entité de gestion des risques ou de contrôle interne. METSYS peut intervenir en RSSI as a service, en temps plein ou partagé pour porter cette fonction.
Etablir une stratégie de gestion des risques : définissez un cadre clair et utiliser des méthodologies éprouvées pour prévenir et gérer les risques. Dans ce cas, METSYS peut réaliser l’analyse des risques, et identifier des remédiations permettant de diminuer les plus critiques.
Renforcer les protections : implémentez des outils de sécurité robustes, comme l’authentification multi-facteurs, les EDR / XDR, le DLP, etc. En s’appuyant sur ses partenaires éditeurs ou constructeurs spécialisés en cybersécurité, METSYS peut réaliser les études, l’intégration et le déploiement de solutions de sécurité.
Superviser les actifs et réagir aux incidents de sécurité : en assurant une surveillance continue des systèmes au sein de l’organisation et en remontant des alertes en cas de suspicion d’incidents de sécurité. METSYS peut intervenir pour gérer la sécurité des systèmes au travers de son service de MSSP (Managed Security Services Provider) et aider les organisations à gérer leurs incidents de sécurité de l’information.
Acculturer les équipes : sensibilisez et former les collaborateurs aux bonnes pratiques et aux obligations en matière de cybersécurité. METSYS peut intervenir en sensibilisation présentiel ou en utilisant des outils (phishing, scénettes, etc).
La clé est d’adopter une approche progressive et pragmatique ! En structurant bien les premières étapes, les organisations pourront s’adapter aux nouvelles exigences sans précipitation. Ainsi, même si la cible est bien d’être conforme à la directive, les délais et les coûts associés pour le devenir tendent à ne pas viser la conformité complète immédiatement, mais à structurer la progression. Ainsi, la bonne stratégie n’est pas de “faire tout” tout de suite, mais de “faire bien” les premières briques qui structurent la suite. Rappelons-le une fois de plus, il ne s’agit pas seulement de conformité, mais aussi (et surtout) de renforcer la résilience numérique. METSYS peut accompagner les organisations sur l’ensemble du cycle de vie de la sécurité de l’information et en particulier sur la mise en conformité de la directive NIS 2.
Lionel Mourer, Chief Technical Officer Cybersécurité chez Metsys
1 Toutefois, certaines micro-entreprises pourront être concernées si elles sont critiques (à la discrétion du régulateur).
2 OSE : Opérateurs de services essentiels ; FSN = Fournisseurs de services numériques
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed posuere felis nulla, placerat pulvinar orci venenatis quis. Proin maximus quis leo et bibendum. Nulla facilisis ex nisl. Phasellus mauris lacus, tincidunt et sem eu, molestie porttitor magna. In dignissim urna ante, quis pellentesque lorem scelerisque id. Aliquam erat volutpat.
Curabitur volutpat, quam nec vehicula laoreet, metus dui auctor est, quis maximus mi mi a tortor. Nulla ac sapien ac augue tempor condimentum. Nullam eu dui nunc. Mauris viverra, lorem quis congue lobortis, elit purus porttitor orci, id egestas neque ante eu lacus. Duis molestie ipsum vitae neque efficitur, ac accumsan tellus viverra. Nullam sed mauris facilisis, vulputate urna quis, pulvinar nunc. Sed egestas metus leo, vel blandit lorem interdum eget. Integer fringilla fringilla diam, et facilisis felis scelerisque vitae. Morbi finibus dui ac felis varius, a imperdiet risus viverra. Phasellus venenatis non libero at feugiat.
Fusce pharetra iaculis felis, non venenatis nisl euismod ac. Vivamus ut lorem arcu. Sed fringilla lacus enim, nec pharetra neque ultricies at. Etiam semper vitae purus vitae congue. Quisque neque dui, tempor non pulvinar vel, gravida non ex. Phasellus vestibulum velit sit amet vestibulum tincidunt. Nullam ac risus eu massa elementum commodo eu semper dui. Phasellus gravida tellus ac rhoncus efficitur.
Vivamus fringilla volutpat dolor at fringilla. Fusce placerat eu lectus sed luctus. Mauris mattis nulla lectus, id tincidunt massa scelerisque vel. Mauris viverra libero vel elit blandit, vitae elementum ligula ullamcorper. Quisque non consectetur nisl. Aliquam erat volutpat. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas. Praesent sed leo id odio sollicitudin dapibus eget nec leo.
Vivamus fringilla volutpat dolor at fringilla. Fusce placerat eu lectus sed luctus. Mauris mattis nulla lectus, id tincidunt massa scelerisque vel. Mauris viverra libero vel elit blandit, vitae elementum ligula ullamcorper. Quisque non consectetur nisl. Aliquam erat volutpat. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas. Praesent sed leo id odio sollicitudin dapibus eget nec leo.
Suspendisse ut leo quis elit luctus egestas. Aenean vel pretium eros. Class aptent taciti sociosqu ad litora torquent per conubia nostra, per inceptos himenaeos. Integer egestas nulla eu bibendum elementum. Duis porta eget orci in interdum. Vestibulum magna velit, dapibus sed congue nec, volutpat vitae lorem. Nam tempor metus id egestas elementum. Vestibulum ornare nibh sed ex tincidunt, vitae rutrum libero malesuada. Quisque cursus et ante eu dignissim. Donec velit nisi, posuere a augue non, posuere vehicula nisl. Sed fermentum justo vel ante tincidunt ultrices.
Devenez membre pour accéder à ce contenu
Accédez à l’intégralité de nos contenus exclusifs, échangez avec une communauté d’experts.
7 min