Le 17 octobre marque le premier anniversaire de l’entrée en vigueur de la directive européenne NIS2, conçue pour renforcer la cybersécurité des États membres. Mais selon Chris Hoskings, évangéliste en sécurité cloud chez SentinelOne, cet anniversaire met surtout en lumière une mise en œuvre inégale et préoccupante. Tribune. « Un an après la date limite […]
Le 17 octobre marque le premier anniversaire de l’entrée en vigueur de la directive européenne NIS2, conçue pour renforcer la cybersécurité des États membres. Mais selon Chris Hoskings, évangéliste en sécurité cloud chez SentinelOne, cet anniversaire met surtout en lumière une mise en œuvre inégale et préoccupante. Tribune. « Un an après la date limite […]
La gestion des risques est essentielle pour toute organisation exploitant une infrastructure critique. Identifier les risques et y répondre efficacement peut considérablement réduire les chances de réussite d’une attaque. Mais il est tout aussi important d’en limiter l’impact en la maîtrisant dès les premiers signes. Cette approche est aujourd’hui visible au quotidien, sur le terrain, partout en Europe, dans des secteurs comme l’énergie, la santé ou la logistique – des domaines par nature particulièrement sensibles.
La directive NIS 2 marque donc un tournant majeur dans la régulation de la cybersécurité en Europe. Pour la France comme pour l’ensemble des États membres, l’enjeu dépasse le simple respect réglementaire : il s’agit d’un véritable levier de transformation pour protéger les infrastructures critiques, dont l’activité conditionne la stabilité économique, sociale et politique.
Alors que la France accuse un certain retard dans la transposition de la directive, le débat prend une dimension stratégique : comment transformer cette contrainte en une opportunité pour renforcer la confiance numérique et consolider la souveraineté européenne ?
L’héritage français en cybersécurité : une base pour NIS 2
Pour protéger leurs actifs les plus critiques, la majorité des entreprises mettent en œuvre des contrôles rigoureux sur l’accès aux ressources et aux personnes. Cela leur permet de maintenir la continuité de leurs opérations, même en cas d’incident majeur.
En France, il convient de rappeler que le pays a été pionnier en matière de sécurité des infrastructures critiques avec la directive NIS, directement inspirée de la Loi de Programmation Militaire (LPM). Ce cadre législatif impose des mesures de sécurité strictes aux Opérateurs d’Importance Vitale (OIV) et a contribué à définir une approche claire de protection des infrastructures critiques face aux menaces cyber. Grâce à cette expérience, la conformité est relativement bien encadrée en France.
S’appuyant sur ces fondations, la directive NIS 2 vise à renforcer la résilience des organisations des secteurs d’infrastructures critiques. Son objectif est d’améliorer la réponse aux incidents pour éviter qu’une menace ne se transforme en catastrophe.
NIS 2 comme catalyseur de la maîtrise des incidents
NIS 2 met l’accent sur la résilience, la gouvernance et l’anticipation des menaces. Elle déplace l’objectif réglementaire des contrôles prescriptifs vers une résilience fondée sur les résultats, faisant de la maîtrise des incidents non plus une simple bonne pratique mais une obligation de conformité.
L’un des changements les plus significatifs est l’obligation, pour les organisations, de notifier les autorités dans un délai de 24 heures après avoir pris connaissance d’un incident majeur. Ce délai serré exige une visibilité en temps réel sur l’activité du réseau et les mouvements latéraux – des capacités souvent absentes des architectures de sécurité traditionnelles basées sur le périmètre.
La segmentation Zero Trust, approche proactive de confinement des attaques pour préserver l’intégrité opérationnelle, joue un rôle crucial dans l’amélioration de la résilience cyber grâce à plusieurs étapes clés :
> Identification des risques : repérer les vulnérabilités comme des ports ouverts à haut risque, des systèmes non corrigés ou des connexions à des IP malveillantes.
> Réduction des risques : éliminer ces vulnérabilités et établir des barrières pour contenir une attaque, par exemple en séparant les environnements IT et OT.
> Réduction de l’impact : isoler dynamiquement les ressources infectées pour les séparer du reste de l’infrastructure.
Enjeux pour les organisations et les PME
La directive NIS 2 vise à réduire les disparités en matière de résilience et à renforcer la prise de conscience collective des risques. Son changement majeur réside dans l’élargissement considérable des secteurs et des organisations concernés, notamment les PME, qui devront probablement faire face au défi de mobiliser les ressources nécessaires pour se mettre en conformité.
Ainsi, toutes les entreprises ne sont pas au même niveau de préparation. Celles qui ont déjà adopté NIS 1 sont généralement prêtes pour NIS 2, les ajustements étant principalement liés à une harmonisation entre États.
En revanche, les entreprises nouvellement concernées par NIS 2 se retrouvent dans deux situations : celles qui ont une bonne hygiène cyber trouvent souvent le processus relativement fluide, tandis que celles qui n’ont pas de politique de cybersécurité risquent de rencontrer des difficultés. Le plus grand défi réside probablement dans le manque de ressources pour se concentrer pleinement sur la conformité.
Heureusement, la plupart des pays ont fixé l’échéance de conformité à 2030 au plus tard, laissant aux entreprises un délai supplémentaire. L’ANSSI a mentionné une période de tolérance après la transposition, et une conformité totale pourrait être exigée d’ici fin 2027.
Il reste à voir comment chaque État transposera la directive et quelles seront les procédures de certification. Le principal défi résidera sans doute dans la protection des équipements anciens.
Investissements prioritaires pour construire la résilience
Bien que de nombreux contrôles de sécurité soient déjà en place, beaucoup d’organisations devront probablement investir davantage dans la gestion des incidents pour renforcer leur résilience et répondre aux exigences de NIS 2.
Les domaines clés d’investissement incluent :
> Analyse des risques : identification des zones de vulnérabilité susceptibles d’entraîner un compromis ;
> Gestion des incidents : confinement des attaques et mise en quarantaine des ressources infectées ;
> Continuité d’activité : réduction de l’impact d’une attaque ;
> Sécurité de la chaîne d’approvisionnement : contrôle de l’accès aux ressources par les tiers ;
> Gestion des vulnérabilités : désactivation des services à haut risque et des systèmes non corrigés.
L’étape la plus importante est de comprendre les risques au sein de l’organisation, ce qui implique de :
> Comprendre et cartographier l’ensemble des flux de trafic dans l’organisation ;
> Identifier et fermer les services à haut risque inutiles ;
> Corriger les vulnérabilités ;
> Segmenter et séparer les environnements pour éviter la propagation d’une attaque.
Une approche stratégique fondée sur les risques
Malgré les défis liés à la conformité, NIS 2 est une évolution positive en ce qu’elle encourage une meilleure prise en compte de la résilience et de la continuité d’activité. Elle rehausse le niveau d’exigence en cybersécurité et impose une approche proactive et structurée de la gestion des incidents, y compris leur confinement.
Pour les entreprises, il est crucial d’adopter une approche fondée sur les risques, en identifiant les actifs critiques et en mettant en place des contrôles supplémentaires, comme la segmentation, pour les protéger. Par exemple, si votre plus grande crainte est l’arrêt de votre chaîne de production, concentrez-vous sur la sécurisation des systèmes de contrôle industriel, puis remontez les vecteurs d’attaque possibles.
Dans cette approche, deux erreurs sont fréquentes : la première est de chercher à appliquer toutes les exigences à la lettre, ce qui peut s’avérer coûteux et inefficace. La seconde est de négliger l’importance de s’entourer d’experts, car la conformité à NIS 2 peut être complexe selon le niveau de maturité de l’entreprise.
Une approche stratégique, fondée sur les risques et appuyée par des experts, est essentielle pour répondre efficacement aux exigences de NIS 2 tout en renforçant, sur le long terme, la résilience et la sécurité des organisations face aux défis numériques.
*Damien Gbiorczyk est expert cyber résilience Illumio
Vous vous souvenez peut-être de mon article récent sur
LockPass, le gestionnaire de mots de passe français certifié ANSSI
? Eh bien, à l’approche des Assises de la cybersécurité à Monaco, c’est l’occasion de vous en dire plus sur LockSelf et sa suite d’outils cyber pour la protection des mots de passe et fichiers. Ils seront présents du 8 au 11 octobre 2025 sur l’événement, stand B05.
Car les Assises c’est LE rendez-vous annuel de référence pour tous les professionnels de la cybersécurité. Échanges entre pairs, découverte de nouveaux outils et visibilité sur l’évolution des solutions. C’est donc le moment PARFAIT pour aller les voir. Cette année, avec le thème « FuturS : la cybersécurité au service des métiers et de la création de valeur » , on va enfin arrêter de voir la sécurité comme une contrainte mais plutôt comme un véritable atout business.
D’ailleurs, petite info sympa, qu’il est toujours bon de rappeler, LockSelf propose exceptionnellement unessai gratuit de 30 jours pour l’occasion. Donc vous pouvez vous inscrire ici si vous voulez tester avant de faire le déplacement.
Mais revenons à nos moutons. Pourquoi LockSelf mérite votre attention aux Assises ? Eh bien j’ai identifié trois bonnes raisons qui vont vous faire comprendre pourquoi cette suite française cartonne autant.
Pour commencer, parlons de quelque chose qui va vous faire gagner un temps précieux : la conformité réglementaire. Avec LockSelf, finies les prises de tête avec NIS2, DORA ou ISO 27001. Leur suite vous permet de gérer finement les droits d’accès aux données de votre entreprise, avec des règles granulaires pour chaque utilisateur ou groupe. Que ce soit pour les mots de passe, les fichiers ou les transferts sensibles, vous pouvez limiter, déléguer ou ajuster les permissions selon les rôles, les besoins métiers ou l’appartenance à un service.
Et surtout, leur Dashboard centralisé, c’est de l’or en barre pour les administrateurs. Il centralise en temps réel tous les indicateurs clés de vos modules LockSelf et vous offre une vue panoramique sur la santé et la sécurité de vos données. Plus d’une centaine de métriques à votre disposition, avec suivi des accès, analyse des comportements, traçabilité des actions et reporting. La section “logs” peut même s’exporter et vaut pour preuve en cas d’audit.
LockSelf propose aussi une interconnexion native avec la plateforme SOC Sekoia, et peut s’interfacer avec n’importe quel SIEM/SOC grâce à son API. Plutôt pratique pour centraliser vos informations de sécurité et automatiser la détection des menaces.
Autre point important côté conformité : la gestion des accès partenaires. LockSelf permet de créer des accès temporaires, de partager en mode aveugle et de révoquer ou ajuster les droits à tout moment. Parfait pour sécuriser les collaborations avec des tiers tout en respectant le principe du moindre privilège.
Et pour la continuité d’activité (PCA/PRA), LockFiles facilite les sauvegardes externalisées tandis que LockTransfer met à disposition une plateforme souveraine, déconnectée du SI, pour échanger en cas de crise, ce qui est un énorme avantage pour rester opérationnel même dans un contexte très tendu.
D’ailleurs, ils ont un super cas d’usage d’un de leurs clients sur l’utilisation de LockSelf dans le cadre d’une cyberattaque (résolue en moins de 24h !). Si vous voulez
un retour d’expérience concret, c’est ici.
Deuxième point qui va vous parler : l’alternative française à WeTransfer. Vous vous rappelez du tollé de juillet** **2025 ?
WeTransfer a modifié ses CGU pour s’autoriser à utiliser vos données pour entraîner leur IA
avant de faire machine arrière face à la polémique, mais bon… les entreprises qui manipulent des données sensibles ont vite compris qu’il fallait chercher ailleurs.
C’est là que LockTransfer entre en scène. Cette solution souveraine et sécurisée vous garantit un chiffrement de bout en bout, avec des serveurs hébergés exclusivement en France chez des partenaires reconnus (Scaleway, Outscale) ou directement sur votre infrastructure en On-Premises. Car contrairement à WeTransfer, LockTransfer n’accède à aucun moment à vos données.
Dans le contexte géopolitique actuel, avoir une solution française qui élimine tout risque de fuite liée à des législations extraterritoriales, ce n’est pas du luxe, c’est de la nécessité pure. Et puis, entre nous, montrer pattes blanches sur sa cybersécurité, ça aide aussi à décrocher des contrats avec les grandes entreprises ou les secteurs stratégiques comme la défense ou le spatial.
Troisième atout, et pas des moindres : LockSelf transforme la cybersécurité en avantage business. Comme je vous le disais en intro, c’est pile poil le thème des Assises cette année. On va donc enfin arrêter de voir la cybersécurité comme un frein pour en faire un moteur de création de valeur et LockSelf a cette particularité de répondre aux besoins de la DSI tout en se calquant sur les usages réels des collaborateurs. Résultat, adoption garantie !
Concrètement, c’est du chiffrement des pièces jointes directement dans votre messagerie grâce au plugin Outlook/O365, de l’autocomplétion des champs sur navigateur pour les mots de passe… Bref, des fonctionnalités qui simplifient la vie de vos équipes au lieu de la compliquer.
LockSelf, c’est surtout un éditeur français de solutions de cybersécurité
** certifié CSPN par l’ANSSI**. Cette certification atteste de la robustesse de leurs mécanismes de chiffrement et de la fiabilité de la protection appliquée aux données sensibles. Leur force, c’est donc une solution complète et modulaire : LockPass pour la gestion centralisée des mots de passe, LockTransfer pour l’envoi sécurisé de fichiers, LockFiles pour le stockage chiffré des documents sensibles.
L’approche modulaire permet aux TPE/PME, ETI ou grands groupes de choisir les modules dont elles ont besoin et de renforcer progressivement leur niveau de protection. Et comme tout est développé en France avec un hébergement souverain, vous gardez la maîtrise totale de vos données.
La cybersécurité étant avant tout une fonction “support”, au service des métiers, elle ne doit pas être une barrière mais un levier qui simplifie la vie des collaborateurs, protège les actifs sensibles sans freiner la productivité et c’est pour ça que des outils comme LockSelf vous permettent d’intégrer la cybersécurité comme un atout quotidien pour la sécurité de votre entreprise et la productivité de vos équipes.
Voilà, donc si vous passez aux Assises de la cybersécurité du 8 au 11 octobre 2025, n’hésitez pas à faire un tour sur le stand B05, et à les saluer de ma part ! L’équipe LockSelf sera là pour échanger autour de vos enjeux en matière de gestion des mots de passe, de partage sécurisé de données et de stockage chiffré. Ils pourront également vous accompagner sur l’intégration de leurs solutions dans une stratégie de conformité aux exigences NIS2 et DORA.
En prime, les équipes LockSelf présenteront en avant-première de nouvelles fonctionnalités dédiées à la gestion des accès en entreprise, idéales pour les grands groupes, avant évidemment un déploiement plus large. De quoi avoir un aperçu de ce qui nous attend dans les mois à venir !
Connexion
