Une contribution de Hervé Troalic, Directeur de l’offre cybersécurité Imineti by Niji, Jean-François Louâpre, Responsable Sécurité des Systèmes d’information chez Groupe AGRIAL et Vivian Pelissou, Responsable Sécurité des Systèmes d’information chez MGDIS.
NIS 2 : Pourquoi les PME et collectivités locales peinent à suivre le virage de la cybersécurité ?
La transposition de la directive NIS 2 (Network and Information Security) approche à grands pas. Alors que les discussions avancent à l’Assemblée, les grandes entreprises semblent avoir pleinement intégré l’enjeu, tandis que les petites structures, pourtant au cœur de cette réforme, restent en retrait. Ce contraste pose une question essentielle : pourquoi une telle différence de perception ?
Loin d’être une simple mise à jour réglementaire, NIS 2 marque un tournant majeur dans la gestion des risques numériques. D’après l’ANSSI, près de 15 000 structures seront concernées, contre quelques centaines sous NIS 1. Pourtant, si les grandes entreprises et les administrations ont déjà intégré ces exigences, la majorité des PME, ETI et collectivités locales restent encore à la marge.
Une transition nécessaire, mais un véritable challenge pour les petites structures
L’évolution de la cybersécurité ces dix dernières années est indéniable. Pourtant, pour de nombreuses entreprises hors des secteurs jugés « stratégiques », la protection des systèmes d’information reste perçue comme une préoccupation lointaine. Là réside l’enjeu principal : sans prise de conscience, ces structures risquent de se retrouver en difficulté face aux exigences de mise en conformité.
Une étude de l’Ifop pour Xerfi publiée en décembre 2021 révèle que seulement un tiers des TPE/PME disposent d’un spécialiste informatique dédié à la cybersécurité. Dans 41 % des cas, c’est le chef d’entreprise lui-même qui assume cette responsabilité, et dans 8 % des cas, un acteur externe est sollicité (Oodrive).
Par ailleurs, une enquête OpinionWay indique que 78 % des TPE et PME se déclarent non préparées à une attaque informatique, bien que 15 % aient déjà été touchées par un incident de cybersécurité au cours des 12 derniers mois (Solutions Numériques).
Enfin, le cabinet Asterès estime que le coût moyen d’une cyberattaque réussie en France s’élève à 58 600 €, incluant les dépenses directes, le paiement éventuel d’une rançon et les pertes liées à l’interruption d’activité (Asterès).
Lever les freins : entre perception des coûts et complexité réglementaire
Le principal obstacle à l’adoption de NIS 2 reste la perception de la charge financière et organisationnelle. Beaucoup d’entreprises redoutent des investissements trop lourds sans en mesurer les bénéfices. Pourtant, des solutions existent.
La mise en conformité peut se faire progressivement, avec des actions claires et ciblées :
- Désigner un référent cybersécurité en interne,
- Mettre en place des audits de vulnérabilité réguliers,
- Former les salariés aux risques cyber,
- Collaborer avec des prestataires spécialisés pour bénéficier d’outils mutualisés.
Il est essentiel d’aider les entreprises à passer d’une logique de mise en conformité subie à une approche proactive, où la cybersécurité devient un levier de confiance et de compétitivité.
Un enjeu de coopération : mutualiser les efforts plutôt que subir la contrainte
Pour réussir cette transition, les grandes entreprises ont un rôle clé à jouer. Trop souvent, leur approche se limite à imposer des exigences de sécurité à leurs sous-traitants via des questionnaires standardisés. Une approche plus engageante serait de créer de véritables programmes d’accompagnement, où les grands groupes mettraient à disposition de leurs partenaires des formations, des solutions mutualisées et des bonnes pratiques.
L’État a également un rôle à jouer en facilitant l’accès aux financements et en simplifiant la communication autour des exigences de NIS 2. À ce titre, les dispositifs existants comme les aides de Bpifrance ou les programmes de sensibilisation de l’ANSSI doivent être renforcés et mieux adaptés aux réalités des petites structures.
NIS 2 : un levier de transformation plutôt qu’une simple contrainte
La cybersécurité n’est pas qu’une obligation réglementaire : elle est un facteur de confiance et de compétitivité à l’échelle européenne. Tout comme le RGPD avant elle, NIS 2 peut devenir un avantage stratégique pour les entreprises qui s’en saisissent intelligemment.
Adopter une approche collaborative, favoriser la montée en compétences progressive et démontrer les bénéfices concrets d’une cybersécurité renforcée sont les clés d’une mise en œuvre réussie. Ce n’est qu’en adoptant cette vision collective que la transposition de NIS 2 pourra être perçue non comme une contrainte supplémentaire, mais comme un tremplin vers un environnement numérique plus sûr et plus résilient.
Complétez votre lecture par la tribune de Forbes : Transposition de la Directive NIS 2 : un défi de taille pour les petites structures, et un enjeu de coopération pour tous – Forbes France
