Blog RSE & QHSE – Qualité, Hygiène, Sécurité, Environnement – by BlueKanGo

Conformité NIS2 : pourquoi Excel ne suffit plus – Blog QHSE

Rédigé par Manuel Muller | 07/07/2026

La directive NIS2 impose aux organisations concernées de renforcer leur gouvernance cybersécurité, leur gestion des risques, leur capacité de notification des incidents et leur maîtrise des fournisseurs. Pour comprendre ce qui change concrètement, comment se préparer sans attendre et pourquoi les tableurs ne suffisent plus à piloter la conformité dans la durée, nous avons interrogé Frédéric REMI, Directeur Associé IRM chez BlueKanGo.

 

Alors que la menace cyber continue de s’intensifier, quels sont les freins en entreprise ?

Le paradoxe est réel. La prise de conscience n’a jamais été aussi forte, mais beaucoup d’organisations restent insuffisamment structurées. Elles ont empilé des outils, antivirus, pare-feu, sauvegarde, audits ponctuels, sans toujours disposer d’une vision consolidée de leurs risques, de leurs priorités et des responsabilités. Face à des menaces industrialisées comme les rançongiciels, les attaques sur la disponibilité ou les compromissions de données, cette approche atteint ses limites.

« Tant que l’entreprise ne sait pas clairement quels risques sont maîtrisés, quelles actions restent ouvertes et qui en porte la responsabilité, elle ne pilote pas vraiment sa cybersécurité. »

Il y a aussi un sujet très concret de compétences et de moyens. Les profils cyber manquent, notamment dans les PME, les ETI et les collectivités. La fonction est souvent sous-dimensionnée, portée par des équipes déjà très sollicitées. Le risque tiers reste également un angle mort. On sécurise son propre périmètre, mais les fournisseurs, prestataires et partenaires peuvent devenir des portes d’entrée pour les attaquants. Ce risque doit être cartographié et piloté de manière beaucoup plus opérationnelle.

 

Enfin, beaucoup d’organisations ont accumulé des outils sans disposer d’un véritable dispositif de pilotage. Elles documentent, mais peinent à savoir ce qui est maîtrisé, ce qui reste à traiter et quels progrès ont été réalisés. C’est précisément là que les tableurs dispersés montrent leurs limites. Ils donnent une impression de suivi, mais ne garantissent ni consolidation, ni traçabilité, ni pilotage partagé.

 


15 000 organisations françaises pourraient bientôt être concernées par NIS2, comment s'y préparer ?


Pour beaucoup, ce sera une première. Elles devront structurer leur gouvernance cyber, documenter leurs pratiques et démontrer leur niveau de maîtrise. À mon sens, il ne faut pas attendre la promulgation définitive de la loi française pour agir. Le calendrier de transposition a pris du retard, mais les attendus sont déjà suffisamment clairs. Avec le Référentiel Cyber France, le ReCyF, l’ANSSI donne déjà un cadre utile pour se qualifier, mesurer sa maturité et identifier les écarts à combler, sans repartir d’une feuille blanche.

 

Le premier réflexe est de savoir si l’on est concerné, et à quel niveau. NIS2 distingue les entités essentielles et les entités importantes, avec des obligations proportionnées. Ensuite, il faut cartographier avant d’outiller. La priorité est de comprendre ce qui doit être protégé : actifs numériques, processus critiques, dépendances fournisseurs, données sensibles et points de fragilité. C’est souvent à ce stade que les organisations découvrent leurs angles morts.

« La bonne question n’est plus seulement “sommes-nous conformes ?” mais : “sommes-nous capables de démontrer que nous maîtrisons nos risques ? »

En fait, on passe d’une conformité documentaire à une conformité démontrable, fondée sur des preuves, des responsabilités claires et des audits réguliers. C’est pourquoi une approche artisanale, avec des fichiers dispersés, atteindra vite ses limites. Les organisations les plus solides seront celles qui auront industrialisé leur pilotage des risques.

 


Quels sont les principaux enjeux de NIS2 ?

Il faut d’abord sortir d’une lecture purement technique de NIS2. Cette directive ne se limite pas à ajouter des exigences cyber. Elle change la place du sujet dans l’entreprise. La cybersécurité devient une responsabilité collective, portée par les dirigeants, les métiers, les achats, les directions juridiques et les équipes IT. Elle n’est plus cantonnée au RSSI.

 

NIS2 oblige aussi les entreprises à regarder au-delà de leur propre périmètre. Les fournisseurs, sous-traitants et partenaires deviennent une partie intégrante du risque cyber. Demain, la capacité à démontrer sa maturité pourra devenir un critère de sélection commerciale. La directive introduit également une logique plus opposable : les organisations devront formaliser leur gestion des risques, déclarer les incidents et produire des preuves.

« NIS2 fait passer la cybersécurité du statut de sujet technique à celui d’obligation de gouvernance, opposable et étendue à tout l’écosystème de l’entreprise. C’est sans doute le texte cyber le plus structurant de la décennie pour les organisations françaises. »

Les sanctions renforcent ce signal, jusqu’à 2 % du chiffre d’affaires mondial ou 10 millions d’euros pour les entités essentielles, et 1,4 % ou 7 millions d’euros pour les entités importantes. Mais l’enjeu dépasse le montant ; avec NIS2, les dirigeants devront assumer pleinement la gouvernance de la cybersécurité.

 

Il faut aussi replacer NIS2 dans un environnement plus large, aux côtés de DORA, du Cyber Resilience Act ou des obligations liées à la résilience des entités critiques. La bonne approche n’est pas de traiter chaque texte séparément, mais de bâtir une approche globale et unifiée des risques, développée dans notre dernier livre blanc.

 


Après une cyberattaque, quelles sont les premières actions à mener pour limiter les impacts et redémarrer ?

Même la meilleure préparation ne supprime pas le risque d’incident. Dans une cyberattaque, les premières heures sont décisives. Il ne s’agit pas de réagir vite à tout prix, mais de réagir dans le bon ordre : endiguer l’attaque, respecter les obligations réglementaires, puis reconstruire sainement. La qualité de cette réponse dépend surtout de ce qui a été préparé avant l’incident : cellule de crise, rôles de décision, communication, PCA et PRA.

« On ne peut plus piloter une crise cyber, suivre les actions, tracer les preuves, coordonner les responsables et sécuriser les décisions avec des tableurs Excel éparpillés, des échanges par téléphone ou des informations dispersées dans les boîtes mail. »

Ensuite, il faut endiguer, isoler les systèmes compromis pour stopper la propagation, notamment en cas de rançongiciel, sans tout éteindre brutalement. Les traces techniques peuvent être essentielles pour comprendre l’attaque, documenter l’incident et, le cas échéant, déposer plainte. Il faut aussi qualifier rapidement l’incident : quel périmètre est touché, quelles données sont concernées, quel est le vecteur d’entrée ? Une cartographie des actifs, des processus et des priorités métier préparée en amont permet alors de gagner un temps considérable.

 

Vient ensuite le temps des obligations. Pour les organisations concernées par NIS2, les incidents significatifs devront faire l’objet d’une alerte précoce sous 24 heures, puis d’une notification plus détaillée sous 72 heures. Si l’incident implique une violation de données personnelles susceptible d’engendrer un risque pour les personnes, la CNIL doit également être notifiée dans un délai maximal de 72 heures. La communication est un autre point critique : il faut communiquer vite, mais surtout juste, en interne comme en externe si nécessaire.

 

Le redémarrage ne consiste pas simplement à remettre les systèmes en route. Il faut reconstruire sainement, à partir de sauvegardes vérifiées, déconnectées ou immuables, et s’assurer que l’environnement restauré n’est pas encore compromis. La reprise doit se faire par priorité métier. Les fonctions vitales identifiées dans l’analyse d’impact d’activité redémarrent en premier. Le PCA organise la continuité, le PRA structure la reconstruction technique. Enfin, une crise cyber ne s’arrête pas au retour à la normale. Il faut conduire un vrai retour d’expérience.

 

Dans ce contexte, une plateforme de gestion intégrée des risques prend tout son sens. Elle permet de centraliser les informations, suivre les actions, documenter les décisions et piloter la conformité NIS2 dans la durée, sans dépendre de tableurs éparpillés ou d’échanges informels difficiles à tracer.

 

 

i A propos de Frédéric REMI
Fort de trente ans d’expérience en cybersécurité, Frédéric Rémi a exercé des responsabilités de direction dans l’industrie et les ESN, avant de cofonder et diriger AMOSSYS pendant seize ans. Aujourd’hui Directeur Associé chez BlueKanGo, il pilote le développement sur les marchés régulés (NIS2, DORA, CRA, REC, LPM). Son expertise couvre l’évaluation de produits de sécurité, les qualifications ANSSI et la gouvernance des risques.