4 pièges à éviter dans votre parcours de conformité NIS2

Date
19.08.2025

La directive NIS2 est en tête des préoccupations dans de nombreuses salles de conseil. Elle s’applique à des milliers d’organisations de manière équitable – bien que certains efforts de mise en œuvre soient plus égaux que d’autres. C’est pourquoi nous avons trouvé utile d’examiner de plus près certains pièges classiques, basés sur notre expérience aux côtés de nombreux CISO dans des organisations variées.

1. Mauvaise communication et désalignement des parties prenantes (interne et externe)

Spoiler : la cybersécurité ne se fait pas en vase clos. C’est un domaine (comme la protection des données) qui concerne bien plus qu’un seul département. IT, juridique, achats, direction… si tout le monde ne va pas dans la même direction, votre projet risque de devenir un jeu de téléphone arabe (non, ce n’est pas une référence à un APT chinois, même si ça sonne plus mystérieux que Salt Typhoon ou Deep Panda). En résumé : la communication est essentielle. Les rapports, les suivis, l’alignement… tout cela est crucial pour la réussite d’un projet NIS2.

Et n’oubliez pas : NIS2 ne concerne pas uniquement l’interne. Tout le monde est invité – surtout les prestataires tiers. Et ils aiment participer, surtout lorsqu’ils deviennent des vecteurs d’attaque. Beaucoup d’organisations externalisent des services IT ou cloud critiques sans réaliser à quel point ces fournisseurs sont intégrés dans leur paysage de risques. Un angle mort majeur.

Les fournisseurs assument souvent une part importante de votre risque cyber, mais ils ne s’aligneront pas automatiquement sur vos objectifs, à moins que vous ne les impliquiez tôt et ne définissiez des attentes claires.

Conclusion : ouvrez les lignes de communication, impliquez les bonnes personnes dès le départ, y compris vos partenaires externes.

2. Se contenter de faire semblant

L’une des plus grandes erreurs ? Considérer NIS2 comme un problème purement technique à résoudre par l’IT, ou à l’autre extrême, comme un exercice bureaucratique mené par les services juridiques et de conformité.

En réalité, NIS2 exige une approche globale et descendante de la gouvernance en cybersécurité. Si vous le traitez comme un simple certificat à obtenir, vous serez noyé sous les papiers sans gain réel. Un framework Cyfancy ne constitue pas un vrai programme de gouvernance !

Concentrez-vous plutôt sur la création d’un programme de gouvernance ou d’un SGSI (Système de Gestion de la Sécurité de l’Information) pragmatique mais fonctionnel. Autrement dit : un programme conforme, mais surtout utile et intégré dans les opérations quotidiennes, les prises de décision et la culture d’entreprise.

3. Sous-estimer les ressources nécessaires

Vérité qui dérange : la cybersécurité requiert les bonnes personnes, les bonnes compétences, et du temps. Au-delà de la paperasse obligatoire, l’esprit de la directive NIS2 est d’élever le niveau de résilience cyber – et il n’y a pas de raccourci pour cela.

Trop souvent, des projets sont lancés avec du personnel déjà surchargé. Et la cybersécurité n’est pas ennuyeuse – il y a donc déjà beaucoup à faire.

Pour réussir votre mise en œuvre de NIS2, vous avez besoin de :

  • rôles et responsabilités clairs
  • échéances réalistes
  • capacités réelles (et non du vœu pieux)
  • accès à l’expertise (interne ou externe)

Faire des économies sur les ressources peut sembler tentant, mais cela conduit à un double échec : plus de travail pour peu de résultats concrets en termes de résilience.

4. Qu’est-ce que le succès, au juste ?

Si vous consacrez des mois (ou années) à NIS2, vous devez savoir ce que vous visez. La conformité NIS2, tout comme le RGPD, n’est pas une fin en soi.

Beaucoup de projets sont lancés sans qu’on sache ce qu’est un succès. Comment mesurer les progrès ? À quoi ressemble le succès concrètement ?

Un parallèle : avez-vous vu certains projets en IA générative récemment ? Sans objectifs clairs ni indicateurs, tout le monde se congratule, mais personne ne sait ce qui fonctionne. Plus grave : il devient difficile de convaincre la direction de la valeur du projet. Et au final, tout revient souvent à cette question : quel est le retour sur investissement ?

Essayez de définir dès le départ des objectifs mesurables et pertinents. Pas seulement pour réussir l’audit, mais pour mieux protéger l’organisation. Pensez à : le temps moyen de résolution d’un incident, le temps moyen de détection, le pourcentage de fournisseurs critiques ayant subi une évaluation de sécurité cette année, le pourcentage d’applications examinées pour les accès, etc.

Résumé pour la direction

Voici les grandes leçons à retenir, présentées comme des slogans :

  • Communiquez, ne procrastinez pas
  • Du tigre de papier à l’animal totem : faites de la gouvernance un atout
  • Surestimez les ressources nécessaires – vous serez plus proche de la réalité
  • Définissez ce à quoi ressemble un programme de gouvernance réussi

 

Envie d’en savoir plus sur la mise en œuvre de NIS2 ? Inscrivez-vous à notre formation NIS2 Lead Implementer !

Date
19.08.2025

Dernières nouvelles

Formateur à l’honneur: Bert Verschelde (DPO au sein de DPG Media)
default-image
Les principes fondamentaux du DPD
default-image
DPI et ISACA unissent leurs forces : renforcez votre parcours d’apprentissage en tant que Security Leader
default-image
Bilan du Privacy Café : discussions sur la coopération, la certification et les cookies

Restez informé grâce à notre newsletter

Restez au courant de nos dernières nouvelles, offres et formations disponibles.

Newsletter
x

Restez informé grâce à notre newsletter

Restez au courant de nos dernières nouvelles, offres et formations disponibles.

Newsletter
x

Inscrire