La directive européenne NIS2 votée pour renforcer la cybersécurité des infrastructures critiques, devait être transposée en droit français au plus tard le 17 octobre 2024. Mais le calendrier législatif a pris du retard, et les débats se poursuivent toujours en 2025. Dominique Gueguen, référent cybersécurité EMEA chez Axis, fait le point sur l’avancée de la transposition, les impacts pour les entreprises et les enjeux de résilience à long terme.
SNC : Pour replacer un peu le contexte, la directive NIS2 a été votée il y a près d’un an, mais sa transposition en droit français prend du retard. Comment expliquez-vous ce décalage ?
Dominique Gueguen : Il faut comprendre qu’une directive européenne nécessite une transposition dans le droit de chaque pays, d’où les disparités. En théorie, la directive devait entrer en application le 17 octobre 2024. À cette date, très peu de pays étaient prêts. En France, le parcours parlementaire prend du temps, dans un paysage politique chaotique. Il y a eu une première phase au Sénat, avec un texte adopté en mars, puis un passage à l’Assemblée nationale. Les discussions se poursuivent, ce qui est positif.
Je n’ai pas de perspective précise, mais il était question que le travail parlementaire se termine avant la fin de l’année. Une fois la loi adoptée, l’ANSSI s’appropriera le texte puisque la mise en œuvre sera coordonnée par elle. C’est long, c’est complexe, mais il faut respecter ce travail parlementaire.
Cela ne veut pas dire que les entreprises doivent rester les bras croisés. L’ANSSI a créé un portail, Mon espace NIS2, qui répond à beaucoup d’interrogations et donne des recommandations. Les entreprises peuvent déjà mettre en place des mesures, poser les fondations en attendant la loi.
Quelles conséquences ce retard peut-il avoir pour les entreprises, notamment celles qui attendent des précisions réglementaires pour se mettre en conformité ?
D. N. : Aujourd’hui, il n’y aura pas de conséquences directes tant que la loi n’est pas sortie. Les entreprises seront divisées en deux catégories : entités essentielles et entités importantes, selon des critères précisés par la loi. Il y aura un volet sanctions, mais ce n’est pas le but. L’essentiel est d’engager une démarche : définir des ressources, nommer des responsables, mettre en place des mesures. Beaucoup d’entreprises ont déjà commencé à renforcer leur cybersécurité, mais il reste énormément à faire. La NIS2 élargit considérablement le champ des entités concernées.
Justement, quelles sont les principales nouveautés et obligations auxquelles les entreprises doivent se préparer ?
D. N. : La première directive NIS n’a pas eu les effets attendus. NIS2 élargit le périmètre et oblige les entreprises à élever leur niveau de cybersécurité. Cela peut être vu comme une contrainte, mais je préfère parler d’opportunité. On peut faire le parallèle avec le RGPD : vécu comme une contrainte au départ, aujourd’hui il est bien intégré. La CNIL sort parfois le volet sanction, mais globalement, toutes les entreprises se sont mises en conformité. Je prévois la même trajectoire pour NIS2. Ce sera progressif, étape par étape. L’important est de montrer qu’une démarche est engagée.
Pensez-vous que les entreprises françaises sont prêtes à appliquer ces nouvelles exigences ?
D. N. : Pas forcément. Nous le voyons dans les événements et formations que nous organisons : beaucoup de questions, beaucoup d’intérêt. Mais tout le monde attend de voir ce qui sortira réellement du texte final et surtout comment l’ANSSI le traduira en mesures techniques. Il y a toujours un volet juridique et un volet technique. L’ANSSI dira concrètement : voilà les entreprises concernées, voilà les mesures à mettre en place, voilà les procédures à suivre.
Un gros volet porte aussi sur la chaîne d’approvisionnement. En tant que fournisseur d’équipements (caméras, contrôle d’accès, radars, etc.), nous avons un rôle à jouer. Nous expliquons à nos partenaires et clients toutes les mesures de cybersécurité intégrées dans nos solutions.
Concrètement, qu’est-ce que vous proposez pour accompagner les entreprises ?
D. N. : Dans tous nos produits, nous intégrons la cybersécurité dès la conception (security by design). Nos solutions sont sécurisées par défaut, dès leur mise en œuvre, avec un certain niveau garanti. Ensuite, selon l’usage, ce niveau peut être renforcé.
Nous formons aussi nos partenaires et clients. Par exemple, la semaine prochaine, nous organisons à Bagneux une matinée dédiée à la cybersécurité, pour montrer comment nos solutions permettent aux entreprises de répondre aux exigences de NIS2.
Au-delà de l’obligation légale, en quoi NIS2 peut-elle améliorer la résilience globale des organisations ?
D. N. : En obligeant les entreprises à se conformer, on les pousse à renforcer leur cybersécurité. La perfection n’existe pas, mais on peut sans cesse améliorer. La résilience, c’est la capacité à faire face : avoir des sauvegardes, tester des procédures, faire des exercices. Comme on fait des exercices incendie, il faudra de plus en plus d’exercices cybersécurité.
Enfin, quelles tendances voyez-vous émerger dans la cybersécurité européenne ?
D. N. : Tout le monde dit que c’est important, mais il y a des disparités. On voit des équipements non mis à jour, des systèmes obsolètes encore utilisés. Le maintien en condition de cybersécurité est essentiel : faire évoluer les systèmes, appliquer les mises à jour, assurer une veille sur les vulnérabilités.
