NIS2 et DORA : la cybersécurité devient un sujet financier, stratégique et… existentiel
Pendant longtemps, la cybersécurité a été traitée comme un sujet technique, souvent cantonné aux équipes IT, parfois perçu comme un centre de coût nécessaire mais peu stratégique. Cette époque est révolue. Avec l’entrée en vigueur progressive des cadres européens NIS2 et DORA, l’Europe impose un changement profond de perspective : la sécurité des systèmes d’information et la continuité d’activité deviennent des enjeux centraux de gouvernance, de performance et, désormais, de stabilité économique.
Ce basculement ne doit rien au hasard. Il est la conséquence directe d’une transformation du risque. Les cyberattaques ne sont plus des événements isolés, artisanaux ou opportunistes. Elles sont devenues industrielles, organisées, souvent soutenues par des logiques géopolitiques, et amplifiées par l’intelligence artificielle. Dans le même temps, la dépendance des entreprises aux systèmes numériques n’a jamais été aussi forte. Une interruption, même temporaire, peut désormais paralyser une activité entière, impacter la chaîne de valeur, et générer des pertes financières immédiates.
Dans ce contexte, l’Union européenne a fait un choix clair : encadrer, structurer et responsabiliser.
NIS2 et DORA sont les deux piliers de cette nouvelle architecture.
La directive NIS2, qui élargit et renforce le cadre initial de la directive NIS, vise un spectre large d’acteurs considérés comme essentiels ou importants pour le fonctionnement de l’économie. Elle concerne notamment l’énergie, les transports, la santé, les infrastructures numériques, mais aussi de nombreux services critiques. Son objectif est simple : élever le niveau global de cybersécurité en Europe en imposant des exigences minimales en matière de gestion des risques, de gouvernance, de détection des incidents et de réponse.
DORA, de son côté, cible spécifiquement le secteur financier. Banques, assurances, sociétés de gestion, infrastructures de marché et même certains prestataires technologiques critiques sont concernés. Le texte va plus loin que NIS2 en introduisant une notion clé : la résilience opérationnelle numérique. Il ne s’agit plus seulement de prévenir les incidents, mais de garantir la capacité à continuer à fonctionner, même en situation de crise.
La différence est fondamentale.
Avec NIS2, on demande aux entreprises de se protéger correctement.
Avec DORA, on exige des institutions financières qu’elles prouvent qu’elles peuvent encaisser un choc et continuer à opérer.
Autrement dit, on passe d’une logique de sécurité à une logique de continuité.
Ce changement de paradigme a des implications très concrètes. Les entreprises doivent désormais mettre en place une gouvernance claire de la cybersécurité, avec une implication directe des dirigeants. La responsabilité ne repose plus uniquement sur les équipes techniques. Elle remonte au niveau du comité exécutif, voire du conseil d’administration. Les dirigeants peuvent être tenus responsables en cas de défaillance.
Les obligations s’articulent autour de plusieurs axes structurants. La gestion des risques devient centrale. Les organisations doivent identifier leurs actifs critiques, comprendre leurs dépendances, cartographier leurs vulnérabilités et mettre en place des mesures de protection adaptées. La détection et la gestion des incidents sont également renforcées, avec des obligations de notification rapide aux autorités en cas d’événement significatif.
Mais l’évolution la plus marquante concerne la continuité d’activité. Il ne suffit plus d’avoir des plans théoriques. Les entreprises doivent démontrer leur capacité à fonctionner en mode dégradé, à restaurer rapidement leurs systèmes et à maintenir leurs services essentiels. Cela implique des tests réguliers, des simulations de crise et une coordination étroite entre les équipes IT, les métiers et la direction.
DORA introduit même des exigences avancées en matière de tests de résilience, notamment à travers des scénarios de type stress test cyber. L’objectif est clair : ne pas découvrir ses failles le jour de l’attaque.
Un autre point clé, souvent sous-estimé, concerne la gestion des prestataires. Les entreprises doivent désormais contrôler non seulement leur propre niveau de sécurité, mais aussi celui de leurs partenaires. Dans un monde où les systèmes sont interconnectés, le risque se déplace souvent par la chaîne de sous-traitance. Une faille chez un prestataire peut devenir une faille majeure pour l’entreprise.
C’est probablement l’un des changements les plus structurants. La notion de périmètre disparaît. La sécurité devient systémique.
Cette évolution a des implications directes pour la finance et la gestion des risques. Une cyberattaque n’est plus seulement un incident technique. C’est un événement pouvant générer des pertes financières, impacter la valorisation, déclencher des sanctions réglementaires et altérer durablement la confiance des investisseurs.
Dans ce contexte, NIS2 et DORA s’inscrivent pleinement dans la logique de la finance durable. Elles participent à une redéfinition du risque extra-financier. La cybersécurité et la résilience deviennent des composantes à part entière du pilier “G” de l’ESG, mais aussi, de plus en plus, du pilier “S”, dans la mesure où elles touchent directement la continuité des services essentiels.
Une entreprise incapable d’assurer la continuité de ses activités en cas de crise numérique n’est plus seulement vulnérable. Elle devient un risque pour l’ensemble de son écosystème.
C’est ici que la perception des entreprises évolue. Longtemps considérées comme des contraintes réglementaires supplémentaires, NIS2 et DORA commencent à être perçues comme des leviers stratégiques. Être capable de démontrer sa robustesse devient un argument commercial, un facteur de différenciation et un élément de confiance pour les clients comme pour les investisseurs.
Dans certains secteurs, cette capacité à prouver sa résilience pourrait même devenir un prérequis pour accéder à certains marchés ou partenariats.
Mais cette transformation n’est pas sans difficulté. Pour de nombreuses organisations, la question du point de départ reste centrale. Les exigences sont nombreuses, les périmètres complexes et les ressources limitées. La première étape consiste généralement à réaliser un diagnostic précis de maturité, afin d’identifier les priorités et de définir une trajectoire réaliste.
Il n’existe pas de modèle unique. Une banque systémique, une société de gestion ou une entreprise industrielle n’ont pas les mêmes enjeux ni les mêmes niveaux d’exposition. L’essentiel est de passer d’une logique de conformité documentaire à une logique opérationnelle.
Car c’est bien là l’enjeu fondamental.
Être conforme ne protège pas contre une attaque.
Être résilient permet d’y survivre.
Au fond, NIS2 et DORA traduisent une évolution plus large du capitalisme européen. Dans un environnement marqué par l’incertitude, les tensions géopolitiques et la digitalisation massive, la performance ne peut plus être dissociée de la capacité à absorber les chocs.
La résilience devient une compétence clé.
Et comme souvent, la réglementation ne fait qu’accélérer une transformation déjà en cours.
Reste à savoir quelles entreprises feront le choix de la subir… et lesquelles décideront d’en faire un avantage stratégique.
