[TRIBUNE de Philippe DANN] Face à la multiplication des cyberattaques, de plus en plus sophistiquées sous l’effet de leur industrialisation et de l’usage de l’intelligence artificielle (IA), mais aussi à la recrudescence des crises opérationnelles et des tensions géopolitiques, les entreprises européennes entrent dans une nouvelle ère. Avec NIS 2 et DORA (*), la cybersécurité et la continuité d’activité ne sont plus des sujets techniques relégués à l’IT, mais des enjeux stratégiques portés au plus haut niveau des organisations. Analyse de Philippe Dann, Head of Business Line Consulting chez Deep.

Afin de répondre à l’évolution des menaces et à l’ampleur des nouveaux enjeux, les institutions européennes et nationales ont mis en place des cadres réglementaires tels que NIS 2 et DORA. Or, derrière ces textes normatifs se joue en réalité une transformation plus profonde : le passage d’une logique de simple conformité à une véritable culture de la résilience.

Ces exigences ont aussi le mérite de porter les enjeux au niveau du COMEX et d’impliquer pleinement la direction dans la démarche. Longtemps perçues comme des sujets techniques, la cybersécurité et la continuité d’activité changent aujourd’hui de nature.

De l’IT à la direction générale : un changement de gouvernance

Dans ce contexte, les organisations ne peuvent plus se contenter d’une approche uniquement défensive ou strictement réglementaire. Elles doivent désormais intégrer la résilience au cœur de leur stratégie globale.

Pendant des années, ces enjeux ont été pilotés essentiellement par les équipes IT, souvent traités comme des problématiques techniques, voire secondaires. Cette approche n’est plus adaptée.

La résilience d’une organisation ne repose plus uniquement sur son infrastructure, mais sur sa capacité à maintenir ses activités critiques en toutes circonstances. Cela suppose de faire le lien entre les métiers, leurs besoins, les applications qui les supportent, les données à protéger et les infrastructures sous-jacentes.

Cette évolution a profondément transformé la gouvernance de ces sujets, désormais portés au niveau des directions générales, car ils engagent directement la continuité de l’activité et la responsabilité des dirigeants.

Un cadre structurant, mais pas une finalité

Dans ce contexte, NIS 2 et DORA apportent un cadre structurant. Ils permettent aux entreprises d’identifier leurs écarts, de se situer et de définir une trajectoire d’amélioration. Pour autant, ces référentiels ne doivent pas être considérés comme une finalité.

Cependant, être conforme ne garantit pas d’éviter un incident ou une cyberattaque. En revanche, cela permet d’être mieux préparé, de réagir plus efficacement et de limiter les impacts. L’enjeu n’est donc pas de cocher des cases, mais d’être réellement opérationnel le jour où une crise survient.

De la contrainte à l’opportunité stratégique

La perception de ces réglementations évolue rapidement. Longtemps vues comme des contraintes, elles sont de plus en plus considérées comme des leviers de transformation. Les organisations prennent conscience que la résilience est un facteur clé de compétitivité.

Être capable de démontrer sa robustesse devient un avantage différenciant, qui renforce la confiance des clients, des partenaires et des autorités. Dans ce contexte, la conformité n’est plus uniquement une obligation, mais un vecteur de crédibilité sur le marché.

La chaîne de valeur, nouveau point de vigilance

Un changement majeur concerne la prise en compte de l’écosystème. Les entreprises ne peuvent plus se limiter à leur périmètre interne. Elles doivent cartographier leurs dépendances, identifier leurs prestataires critiques et s’assurer de leur niveau de sécurité et de résilience. Face aux tensions internationales, les entreprises doivent désormais intégrer pleinement la dimension géopolitique dans leurs prises de décision.

Les attaques via les sous-traitants étant de plus en plus fréquentes, la solidité d’une organisation dépend désormais de l’ensemble de sa chaîne de valeur. Une entreprise est, dans les faits, aussi robuste que le maillon le plus faible de son écosystème.

Tester pour mieux résister

Parallèlement, les organisations évoluent vers une posture plus proactive. Face à la multiplication des incidents, il ne suffit plus de réagir. Il devient essentiel de tester en amont sa capacité à faire face à une crise. Exercices de gestion de crise, simulations, tests de continuité permettent d’identifier les points de fragilité, de renforcer les réflexes et d’impliquer l’ensemble des parties prenantes, de la direction aux équipes opérationnelles. La résilience ne se décrète pas, elle se construit dans la durée et se valide dans l’action.

Par où commencer : le défi de la priorisation

Pour beaucoup d’entreprises, le principal défi reste le point de départ. Face à la complexité des exigences, la question est souvent la même : par où commencer ? La première étape consiste à établir un état des lieux précis, afin de comprendre son niveau de maturité et d’identifier ses priorités. Il n’existe pas de trajectoire unique.

Chaque organisation doit adapter sa démarche à ses enjeux métiers, à son secteur et à son exposition au risque. Le véritable danger aujourd’hui n’est pas de ne pas s’engager dans cette transformation.

Au fond, NIS 2 et DORA traduisent une évolution plus large : celle d’une exigence accrue de confiance. Confiance des collaborateurs, qui doivent pouvoir s’appuyer sur une organisation capable de faire face aux crises. Confiance des clients, qui attendent des services fiables et sécurisés. Confiance des autorités, qui renforcent leurs exigences en matière de cybersécurité et de résilience.

Dans ce contexte, la question n’est plus de savoir si une organisation doit être résiliente, mais de comprendre où elle se situe aujourd’hui et comment elle se prépare à affronter les crises de demain. NIS 2 et DORA ne marquent pas simplement un durcissement réglementaire. Elles actent un changement de paradigme : celui d’une cybersécurité intégrée, pilotée au plus haut niveau et indissociable de la performance globale de l’entreprise.

Les organisations qui sauront s’en saisir comme d’un levier stratégique, et non comme d’une contrainte, renforceront non seulement leur capacité à faire face aux crises, mais aussi leur position sur le marché. Dans un environnement où les crises sont devenues inévitables, la différence ne se fera plus sur la capacité à les éviter, mais sur la manière d’y résister et de rebondir.

(*) La directive NIS 2 (Network and Information Security) vise à renforcer le niveau de cybersécurité global au sein de l’Union Européenne en visant les entités essentielles et les entités importantes de 18 secteurs, tandis que le règlement DORA (Digital Operational Resilience Act) vise à assurer l’intégrité et la disponibilité du secteur financier en adressant 21 types d’entités définies dans le règlement.