NIS2

La conformité ne réduit pas les risques. La gouvernance si.

La loi NIS2 est en vigueur. Mais la conformité sans gouvernance n'est que du papier. Pourquoi la gouvernance détermine si vous respectez les exigences.

Kim Borg
Kim Borg Fondateur & PDG
8 min de lecture
  1. 24
    % des organisations suédoises avaient une stratégie de cybersécurité ancrée au niveau de la direction lors de l'entrée en vigueur de NIS2
    MSB
  2. 68
    % des incidents de sécurité sont dus au non-respect des politiques existantes
    Verizon DBIR 2025
  3. Le
    Le 15 janvier 2026, la loi sur la cybersécurité (SFS 2025:1506) est entrée en vigueur
    Riksdagen
CEO in conversation with board member about governance

J’ai eu la même conversation avec trois comités de direction différents au cours du dernier mois. Tous ont investi. Tous disposent d’outils. Tous ont fait appel à des consultants et entamé des démarches de certification. Mais aucun d’entre eux n’a pu répondre à une question simple : Où se trouvent nos failles les plus graves ?

La loi sur la cybersécurité (SFS 2025:1506) est en vigueur depuis le 15 janvier 2026. De nombreuses organisations ne sont pas prêtes. Non pas par manque de budget, non pas par manque d’outils, mais parce que la gouvernance n’a jamais existé en pratique.

Mon expérience est claire : La conformité ne réduit pas les risques. La gouvernance si. Les organisations qui respectent les exigences sont celles où la gouvernance se reflète dans la prise de décision, et non dans l’archivage des documents.

Trois investissements qui ne servent à rien sans gouvernance

Les organisations investissent dans trois domaines qui paraissent excellents sur le papier, mais qui ne créent aucune sécurité sans une gouvernance fonctionnelle.

Des outils sans application

SIEM, EDR, scan de vulnérabilités. L'arsenal ne cesse de s'étoffer. Pourtant, 68 % des incidents de sécurité sont dus au non-respect des politiques existantes, et non à l'absence d'outils. Un outil que personne n'utilise correctement n'est qu'un coût. La question n'est pas « Avons-nous acheté les bons outils ? » mais « Quelqu'un applique-t-il réellement les mesures de sécurité en place ? »

Des certifications sans vie

Certificat ISO 27001. Rapports SOC 2. Impressionnant sur le papier. Mais si le système de management repose dans un dossier que personne n'ouvre entre deux audits, il ne protège rien. Une certification prouve que vous aviez une gouvernance à un instant donné. Elle ne dit rien sur aujourd'hui.

Des consultants sans transfert de connaissances

Des consultants externes qui construisent le cadre, rédigent les politiques, puis s'en vont. Le savoir-faire repart avec eux. Six mois plus tard, plus personne ne sait pourquoi un contrôle a été mis en place ni comment le maintenir. Les consultants créent de la valeur, mais uniquement si la connaissance reste dans l'organisation.

Ce que la loi sur la cybersécurité exige réellement

La loi sur la cybersécurité n’est pas une liste de cases à cocher. Elle exige une gouvernance : que les processus soient vivants, que la direction soit engagée, et que l’organisation puisse démontrer que le travail de sécurité fonctionne en pratique.

La loi sur la cybersécurité exige de la gouvernance, pas seulement des documents :

  1. Responsabilité de la direction (Article 20) : Le conseil d’administration doit approuver et superviser, pas simplement signer
  2. Gestion des risques (Article 21) : Un processus systématique et continu, pas une évaluation ponctuelle
  3. Évaluation de l’efficacité (Article 21.2g) : Mesurer si les mesures fonctionnent réellement
  4. Formation (Article 20.2) : La direction doit comprendre les risques, pas simplement avoir suivi un cours

Conséquence : L’autorité de contrôle ne se contentera pas de vérifier si les documents existent. Elle examinera si la gouvernance est vivante.

Nous avons précédemment écrit sur ce que la loi sur la cybersécurité implique en pratique et sur la responsabilité spécifique de la direction. Cet article traite du problème sous-jacent : pourquoi la gouvernance fait défaut alors même que les outils et les documents existent.

Pourquoi la gouvernance fait défaut : trois schémas récurrents

Dans mes échanges avec les comités de direction, je constate les mêmes schémas. Le problème est rarement un manque de volonté. C’est que l’organisation n’a jamais construit les structures nécessaires.

  1. La sécurité n'a jamais été une question de direction Historiquement, la cybersécurité relevait du service informatique. C'était technique. C'était le budget de quelqu'un d'autre. Conséquence : lorsque la loi sur la cybersécurité exige que la direction assume ses responsabilités, il n'existe aucun comportement établi. La direction n'a jamais traité la cybersécurité de manière significative, et ne sait pas par où commencer.
  2. La conformité est devenue une fin en soi, au lieu d'un moyen De nombreuses organisations ont optimisé leurs efforts pour réussir l'audit plutôt que pour réduire les risques. La revue annuelle ISO est devenue un sprint pour mettre à jour les documents, pas une occasion d'améliorer la sécurité. La structure d'incitation récompensait les rapports impeccables, pas les évaluations honnêtes.
  3. Personne ne détient la vue d'ensemble L'informatique gère les outils. Le juridique gère la conformité. Le RSSI, s'il y en a un, se retrouve entre les deux sans mandat. Les registres de risques vivent dans des systèmes différents. Personne ne dispose d'une vue complète, et personne n'est incité à en créer une.

La question fondamentale : connaissons-nous nos failles les plus graves ?

Voici la question qui détermine tout. Non pas « Sommes-nous conformes ? » mais « Savons-nous réellement où se situent nos plus grandes faiblesses ? »

La question la plus importante qu’un conseil d’administration puisse se poser n’est pas « Sommes-nous conformes ? » mais « Connaissons-nous nos failles les plus graves ? » Si la réponse est non, ou le silence, alors vous avez un problème de gouvernance, quel que soit le nombre d’outils que vous avez achetés.

Je le constate souvent dans mes échanges avec des comités de direction qui se croient prêts parce qu’ils ont acquis une plateforme ou engagé un partenaire. Mais personne n’a posé la question fondamentale.

Cinq signes que la gouvernance fait défaut :

  • La direction ne peut pas nommer les trois principaux risques sans consulter l’informatique
  • Le registre des risques a été mis à jour pour la dernière fois avant le dernier audit
  • Le processus de gestion des incidents n’a jamais été testé en conditions réelles
  • La politique de sécurité a été approuvée, mais personne ne sait qui est responsable du suivi
  • « C’est documenté » est la réponse standard, mais personne ne peut prouver que c’est appliqué

De la conformité à la gouvernance : cinq étapes

Passer d’une conformité basée sur les documents à une gouvernance vivante ne se fait pas du jour au lendemain. Mais cela commence par des étapes simples et concrètes.

  1. Réalisez une analyse d'écarts honnête Pas seulement par rapport aux exigences, mais par rapport à la réalité. Ne mesurez pas uniquement si les documents existent, mais si les processus sont réellement appliqués. Interrogez les collaborateurs, pas seulement les responsables. Notre guide d'analyse d'écarts vous montre comment procéder étape par étape.
  2. Ancrez les résultats auprès de la direction avec une vision des risques, pas un recueil de règles Présentez les résultats en termes business. Non pas « nous respectons 64 % de NIS2 » mais « nous avons trois failles dont chacune peut nous coûter X euros ». La direction agit sur la base du risque et des conséquences, pas sur des pourcentages.
  3. Désignez un responsable pour chaque domaine de risque Pas de risque sans responsable. Pas de mesure sans propriétaire. Pas de date limite sans suivi. La gouvernance exige que la responsabilité soit personnelle et traçable, et non collective et vague.
  4. Intégrez la gouvernance dans les processus de décision existants Faites de la cybersécurité un point permanent à l'ordre du jour du comité de direction. Non pas sous forme de « réunion sécurité » séparée, mais intégrée aux décisions opérationnelles : nouveaux fournisseurs, changements de systèmes, réorganisations.
  5. Mesurez et suivez en continu Une gouvernance qui n'est pas mesurée relève du vœu pieux. Définissez des KPI. Rendez compte à la direction chaque trimestre. Utilisez les écarts comme des occasions d'apprentissage, pas comme des échecs.

La conformité comme mode de vie, pas comme projet

Les organisations qui traitent la loi sur la cybersécurité comme un projet à « boucler » se retrouveront à la case départ lorsque la prochaine réglementation arrivera. Celles qui intègrent la gouvernance dans leur fonctionnement découvrent que les nouvelles exigences deviennent incrémentales, et non révolutionnaires.

Le projet de conformité vs. le modèle de gouvernance :

  • Le projet de conformité : Démarre à chaque nouvelle loi. S’arrête à l’audit. Porté par un chef de projet. Mesuré en pourcentage d’accomplissement. Nouvelle réglementation = nouveau recommencement.
  • Le modèle de gouvernance : Vit en permanence. Porté par la direction. Mesuré en réduction des risques. Nouvelle réglementation = une itération, pas une crise.

Les organisations que je rencontre et qui sont véritablement prêtes ne sont jamais celles qui disposent du plus grand nombre d’outils ou de certifications. Ce sont celles dont le conseil d’administration peut répondre à la question : Où sommes-nous les plus vulnérables, et que faisons-nous pour y remédier ?

Qu’en est-il de votre organisation ? La gouvernance vit-elle dans les décisions ou dans les documents ?

Comment Securapilot peut vous aider

  • Analyse d’écarts face à la réalité : Cartographiez non seulement la documentation, mais la conformité effective
  • Gestion des risques avec des responsables : Chaque risque a un propriétaire, chaque mesure une date limite
  • Tableau de bord direction : Vue d’ensemble en temps réel pour le conseil d’administration et la direction, en termes business
  • Suivi continu : Rappels automatiques et mises à jour de statut
  • Traçabilité : Piste d’audit complète pour les autorités de contrôle

Réserver une démo et découvrez comment la gouvernance peut devenir une réalité dans votre organisation.

Questions fréquentes

Quelle est la différence entre conformité et gouvernance ?

La conformité consiste à satisfaire des exigences formelles : cocher des contrôles, rédiger des politiques, réussir des audits. La gouvernance signifie que la sécurité guide véritablement les décisions au quotidien : quelqu'un est responsable des risques, les écarts sont suivis, et la direction prend des décisions éclairées fondées sur une vision réelle des risques.

Peut-on être conforme à NIS2 sans véritable gouvernance ?

Formellement peut-être, mais pas en pratique. NIS2 et la loi sur la cybersécurité exigent que la direction approuve, supervise et assume activement ses responsabilités. Il ne suffit pas d'avoir les documents. L'autorité de contrôle examinera si les processus fonctionnent réellement.

Comment savoir si notre gouvernance fonctionne ?

Posez-vous trois questions : Connaissons-nous nos lacunes les plus graves ? La direction prend-elle ses décisions sur la base d'une vision actuelle des risques ? Les mesures de sécurité font-elles l'objet d'un suivi régulier ? Si la réponse à l'une de ces questions est non, vous avez un déficit de gouvernance.

Quelle est la première étape pour passer de la conformité à la gouvernance ?

Commencez par une analyse d'écarts honnête qui ne se limite pas à inventorier la documentation, mais qui mesure si les processus sont réellement appliqués. Présentez les résultats à la direction et élaborez un plan d'action avec des responsables clairement désignés.

#gouvernance#governance#loi sur la cybersécurité#NIS2#conformité#gestion des risques#leadership

Plus d'articles

Nous utilisons des statistiques anonymes sans cookies pour améliorer le site. En savoir plus