Pendant longtemps, la cybersécurité a été rangée dans la case technique. C’était le sujet du RSSI, de la DSI, des experts réseau, des équipes SOC. La direction générale voulait surtout une chose : que le système tienne et que les incidents restent invisibles. Cette époque est finie.
En 2026, la cyber change de nature. Elle ne porte plus seulement sur des pare-feu, des antivirus ou des plans de reprise. Elle devient un sujet de gouvernance, de responsabilité, de fournisseurs critiques, de preuves documentées et de pilotage par la direction. Pourquoi ? Parce que trois grands textes européens poussent dans le même sens : NIS2, DORA et le Cyber Resilience Act, le fameux CRA. Ensemble, ils envoient un message simple aux entreprises : la cybersécurité n’est plus une affaire de spécialistes isolés, c’est un sujet de COMEX.
Le premier texte, NIS2, vise large. Il concerne 18 secteurs jugés critiques dans l’Union européenne, des transports à l’énergie, en passant par la santé, l’industrie, les infrastructures numériques et d’autres services essentiels. Son idée est claire : les entreprises importantes ne peuvent plus se contenter de “faire un peu de cyber”. Elles doivent mettre en place une vraie gestion des risques, déclarer certains incidents, et surtout faire superviser cela au niveau de la direction. Le texte européen dit explicitement que les organes de direction doivent approuver les mesures de cybersécurité, suivre leur mise en œuvre et se former sur ces sujets. Autrement dit, le conseil d’administration et le comité exécutif ne peuvent plus dire : “ce n’est pas notre dossier”.
DORA, lui, cible plus particulièrement le secteur financier. Banques, assurances, sociétés d’investissement et autres acteurs financiers sont désormais soumis à un cadre européen unique de résilience numérique. Depuis le 17 janvier 2025, DORA est applicable. Là encore, le fond du message est limpide : une entreprise financière ne doit pas seulement être protégée, elle doit prouver qu’elle peut résister, continuer à fonctionner, gérer ses incidents et maîtriser ses prestataires informatiques critiques. DORA insiste particulièrement sur la gestion du risque ICT, les incidents majeurs, les tests de résilience et le suivi des fournisseurs tiers. Ce n’est pas une extension de la politique SSI. C’est une nouvelle discipline de pilotage.
Le troisième texte, le Cyber Resilience Act, déplace encore un peu plus le centre de gravité. Cette fois, le sujet n’est pas seulement l’organisation de l’entreprise, mais aussi les produits numériques eux-mêmes. Le CRA impose des exigences de cybersécurité sur les produits comportant des éléments numériques, matériels ou logiciels. En clair, les fabricants et éditeurs ne pourront plus vendre tranquillement des produits mal sécurisés puis laisser les clients se débrouiller. Le texte est entré en vigueur le 10 décembre 2024. Ses obligations principales s’appliqueront à partir du 11 décembre 2027, mais certaines obligations de notification commenceront dès septembre 2026. Cela veut dire qu’en 2026, beaucoup d’entreprises doivent déjà préparer leur conformité, notamment celles qui conçoivent, intègrent, distribuent ou déploient des produits numériques.
Pourquoi cela devient-il un sujet de COMEX ? Parce que ces textes ne demandent pas seulement de “faire de la sécurité”. Ils demandent de prouver, d’organiser, de tracer et de décider.
Premier changement : il faut savoir où sont les risques. Beaucoup d’entreprises découvrent aujourd’hui qu’elles ont une bonne équipe IT, quelques outils corrects, mais une vision imparfaite de leurs dépendances réelles. Quels prestataires ont accès aux systèmes critiques ? Quels logiciels sont vraiment indispensables au fonctionnement métier ? Où sont les points de rupture ? Quels produits exposent l’entreprise parce qu’ils ne sont pas assez maintenus ou mal intégrés ? Tant que ces questions restent sans réponse, la conformité n’est qu’un décor. NIS2 et DORA obligent justement les organisations à passer de l’intuition à la cartographie sérieuse.
Deuxième changement : le fournisseur devient un sujet central. Pendant des années, beaucoup d’entreprises ont externalisé vite et contrôlé tard. Or DORA met une pression forte sur la gestion des prestataires ICT, avec l’exigence d’un registre détaillé des accords contractuels avec les fournisseurs tiers. Plus largement, NIS2 pousse aussi à mieux regarder la sécurité de la chaîne d’approvisionnement. Le message est brutal mais réaliste : votre risque cyber n’est pas seulement dans votre datacenter ou dans votre cloud, il est aussi chez vos partenaires, vos éditeurs, vos infogérants et vos sous-traitants.
Troisième changement : l’incident ne se gère plus à l’improvisation. En France, l’ANSSI structure déjà l’approche NIS2 autour de trois blocs très concrets : s’enregistrer si l’on entre dans le périmètre, mettre en œuvre des mesures de gestion des risques, et déclarer les incidents. Dit autrement, une entreprise concernée doit savoir qui elle est dans le dispositif, comment elle se protège, et comment elle remonte un incident quand cela arrive. Cela paraît simple. Dans la réalité, c’est souvent là que les organisations trébuchent : procédures incomplètes, responsabilités floues, décisions trop lentes, dépendance à une ou deux personnes clés, documentation dispersée.
Quatrième changement : il faut des preuves. C’est probablement le point le plus important pour une direction générale. En 2026, il ne suffit plus de dire “nous avons un SOC” ou “nous avons un prestataire cyber”. Il faut être capable de démontrer que les risques sont identifiés, que les responsabilités sont claires, que les fournisseurs critiques sont suivis, que les incidents sont escaladés correctement, que les décisions sont tracées et que les plans fonctionnent. La conformité cyber devient donc un exercice de gouvernance documentée. Et c’est précisément pour cela que le COMEX est concerné : parce que seuls les dirigeants peuvent arbitrer les moyens, imposer la transversalité et exiger la preuve.
Ce basculement change aussi le rôle du RSSI et de la DSI. Ils restent essentiels, évidemment. Mais ils ne peuvent plus porter seuls le sujet. Le juridique doit travailler sur les clauses fournisseurs et les responsabilités. Les achats doivent intégrer de vrais critères de sécurité dans le sourcing. Les métiers doivent participer à l’identification des actifs critiques. La direction des risques et l’audit doivent aider à objectiver les écarts. Et le COMEX doit arbitrer. La cyber devient ainsi un sujet d’entreprise entière.
C’est là que beaucoup d’organisations vont se départager en 2026. Celles qui continueront à voir la conformité cyber comme une couche réglementaire de plus vont la subir. Elles empileront procédures, tableaux et discours. Celles qui comprendront qu’il s’agit d’un sujet de pilotage transformeront au contraire leur dispositif : meilleure connaissance des dépendances, meilleure gestion des tiers, meilleure traçabilité, meilleure capacité de réaction.
Au fond, NIS2, DORA et le CRA racontent tous la même histoire. L’Europe ne demande plus seulement aux entreprises d’être prudentes. Elle leur demande d’être gouvernées de manière responsable face au risque numérique. Et cela change tout. Car à partir du moment où la cybersécurité touche à la continuité d’activité, à la responsabilité des dirigeants, à la sélection des fournisseurs et à la preuve de maîtrise, elle cesse d’être un sujet technique. Elle devient un sujet de pouvoir, donc un sujet de COMEX.
En savoir plus sur GDL T&C
Subscribe to get the latest posts sent to your email.