Le blog  cybersécurité des PME

  • Blog
  • NIS 2, de la méthode avant tout
NIS 2, de la méthode avant tout

NIS 2, de la méthode avant tout

Mercredi, Mai 20, 2026

ReCyF en vue ? Un inventaire ne fait pas un projet.

Ceux qui me suivent savent que je suis fan de la directive NIS 2 et que je pratique des accompagnements sur le sujet depuis une bonne année. 

Hier encore, on m'a demandé pourquoi je ne réagissais pas plus que ça à la publication du Référentiel Cyber France (ReCyF v2.5) par l'ANSSI. Parce que pour beaucoup c'est une étape majeure, avec un document de travail qui serait la déclinaison opérationnelle tant attendue pour savoir quoi retenir des obligations de la directive.

Je vais de suite en décevoir quelques-uns : ce document est évidemment intéressant car il apporte un petit coté officiel (et non définitif). Il montre aussi (enfin) que le sujet avance et ça va réveiller un peu ceux qui disent encore "on a le temps".

Pour autant, il pose autant de questions que de réponses. Ne pensez pas que je joue le blasé : ce document est très utile ! Il ne va juste pas vous aider à savoir comment mettre tout cela en musique.

Par contre, je lis trop de contenus qui parlent de ce document en ne faisant qu'une analyse des exigences. NIS 2 est bien plus que ça (et tant mieux).

Un rappel donc, se concentrer uniquement sur les objectifs risque de faire oublier l'essentiel : le chemin vers la résilience.

Dit autrement : le document parle d'objectifs ou encore de moyens acceptables, mais il met de coté le plus important : la méthode !

On trouve quoi dans ce document, au fait ?

Le ReCyF structure la feuille de route des entités régulées autour de 20 Objectifs de Sécurité , répartis en 4 grands piliers complémentaires :

  • La gouvernance : analyse de risques au coeur du pilotage. 
  • La protection : sécurisation des accès, durcissement des systèmes et contrôle des tiers.
  • La défense : détection précoce des anomalies et gestion des incidents.
  • La résilience : continuité d'activité et capacité de reconstruction post-crise.

Il y a aussi le nécessaire rappel de la responsabilité des dirigeants, qui est un élément connu depuis ... 2 ans.

Quoi de neuf avec la publication de ReCyF ?

Voyons ...  cartographier ses actifs, sensibiliser ses collaborateurs au phishing, appliquer les correctifs de sécurité, chiffrer les données sensibles, gérer rigoureusement les mots de passe et les accès... 

Ce sont les fondations d'une posture de sécurité cohérente. La directive va les rendre obligatoires, mais ils ne sont pas révolutionnaires. Ce sont même les fondamentaux (idéalement) d'un socle informatique sain.

Le ReCyF ne fait que traduire en version légale ce qui relève de l'hygiène informatique élémentaire.

Si votre structure subit NIS 2 comme un choc conceptuel, c'est peut être le signe qu'elle accusait un retard de maturité sur la protection de ses propres actifs numériques.

Pour autant, dans de nombreux cas, il y aura une forme de soulagement en constatant qu'on faisait du NIS 2 avant NIS 2. Et c'est l'un des premiers enseignements lors du début de mes projets d'ailleurs : il y a TOUJOURS de bonnes pratiques en place. Pas forcément abouties, pas toujours complètes, mais il est rare qu'on parte vraiment de zéro. Et ça fait du bien :)

Quel est le vrai défi, alors ?

(Ne pas rire du nom du référentiel, déjà).

Très sérieusement : si tout ce qui se trouve dans NIS 2 est du bon sens, pourquoi est-ce que la mise en œuvre suscite autant d'inquiétude et de flottement ? Et pourquoi est-ce que personne ne veut y aller même en sachant que c'est un passage obligé ?

Parce que le bon sens sans méthode produit du chaos ! 
Et que tout le monde n'a pas la méthode.

Le principal piège face à NIS 2 est le syndrome de l'usine à gaz : vouloir tout traiter de front, copier-coller des politiques de sécurité inadaptées ou investir dans des outils qui ne répondent pas aux besoins réels.

Cela conduit inévitablement à l'épuisement des équipes, à l'explosion des budgets, à une sécurité de papier, ou sans efficacité.

Quelques exemples pour illustrer

Premier exemple : savoir qu'il faut "recenser les éléments qui composent le système d'information" est simple. Construire cette liste, la faire valider, la maintenir à jour avec un responsable par activité, et l'articuler avec l'analyse de risques... c'est un vrai travail, qui demande méthode et coordination.

Second exemple : identifier ses fournisseurs et prestataires numériques, c'est souvent une corvée pour les équipes. Contractualiser sur les exigences de sécurité, c'est parfois une révolution qui touche les achats, le juridique et vient toucher des relations commerciales bien établies.

Troisième exemple avec la continuité d'activité : écrire un plan, c'est déjà un gros travail. Tester ce plan, former les équipes, puis le réviser en tenant compte des retours, c'est une autre histoire.

Si on ajoute à cela la notion de prise en compte de l'état de l'art pour la mise en œuvre des mesures techniques, on commence à comprendre que tout cela nécessite une bonne dose de méthode.

Ce n'est pas le contenu du référentiel qui est complexe. C'est de l'appliquer avec cohérence en collant aux véritables enjeux de la structure.

La bonne nouvelle NIS 2 ?

L'ANSSI reprend le principe fort de proportionnalité dans son document. C'est l'une des bases de NIS 2 qui fait toute la différence.

Pour être performante, votre démarche de mise en conformité doit être méthodique : il faut avancer par étapes logiques, en évaluant d'abord sa maturité réelle. 

Pour être pertinent, il faut cibler les actions ayant le plus fort impact de sécurisation pour le moindre coût opérationnel, selon votre contexte métier..

Pour montrer de la maîtrise, il faut filtrer la complexité en concevant des processus simples, fluides et intégrés au quotidien des équipes. La sécurité ne doit pas être (juste) une contrainte.

On n'attend donc pas d'une entité de 30 personnes le niveau de maturité d'un Opérateur d'Importance Vitale. Mais on attend un effort réel, documenté, et adapté aux risques de son activité. 

On fait comment, finalement ?

Pour avancer correctement, il faut d'abord traduire les objectifs du référentiel en actions concrètes, séquencées, avec des responsables et des échéances réalistes.

C'est donc disposer rapidement d'une feuille de route qui permet (aussi) de montrer à un donneur d'ordre que la démarche est sérieuse, même si tout n'est pas encore parfait.

Un plan clair et un engagement fort valent plus qu'une conformité de façade : j'ai eu à défendre des mises en œuvre de plans de sécurisation avec un niveau d'avancement faible, mais validés sans la moindre objection. 

Parce que la clarté était au rendez-vous.

Sur les projets que j'accompagne, les difficultés ne viennent jamais vraiment du contenu des exigences. Elles viennent de la priorisation, du rythme, de l'implication des équipes, et du travail de documentation => le chemin.

Ce sont exactement ces aspects qui font la différence et c'est précisément ce sur quoi j'interviens. Pas pour cocher des cases mais pour construire une démarche qui apporte de la valeur et qui colle à la réalité de votre entreprise.

Si vous souhaitez savoir précisément où vous en êtes, ce qui vous reste à faire et comment y aller sans vous épuiser, je suis disponible pour un premier échange.  Ma page dédiée à NIS 2 est un bon point de départ.

Je vous réponds directement si vous avez des questions. En 15 minutes, vous serez surpris du nombre de réponses dont vous disposerez.

Parce que plus tôt on démarre, plus le sujet devient fluide.

Recherche
Ce site peut utiliser des cookies et des scripts externes. Plus d'informations