Mars 2026. La directive NIS2 est entrée en application en octobre 2024 dans l'ensemble des États membres de l'Union européenne. Les autorités nationales disposent désormais du pouvoir d'imposer des sanctions pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial. Pourtant, nos échanges avec des organisations européennes révèlent une approche encore largement réactive de l'Article 21, celui qui impose des mesures de sensibilisation à la cybersécurité.
Cette approche présente un risque majeur : l'Article 21 ne prescrit pas une obligation ponctuelle, mais un processus d'amélioration continue.
2026 : L'urgence est là.
France : 10 000 à 15 000 organisations propulsées sous le joug de la conformité NIS2, soit 30 fois plus que sous l'ère NIS1.
Europe : 66 % des entreprises européennes semblent se diriger vers une non-préparation à la fin 2024.
Sanctions : Amende pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial (Article 34, Directive NIS2).
Ce que dit réellement l'Article 21
L'Article 21 de la directive NIS2 impose aux entités essentielles et importantes de mettre en œuvre "des formations continues en matière de cybersécurité et des programmes de sensibilisation à la sécurité" (Directive NIS2, Article 21, paragraphe 2, point d).
En France, ce ne sont plus 500 mais 15 000-18 000 organisations qui doivent démontrer des 'formations continues'.
Deux éléments structurent cette obligation.
Premièrement, la formation doit être continue. Une session annuelle obligatoire ne satisfait pas cette exigence. Le terme "continue" implique une régularité et une permanence dans le temps.
Deuxièmement, les organisations doivent déployer des programmes de sensibilisation. Un programme suppose des actions structurées, mesurables et évolutives, distinctes de la formation passive.
L'Article 21 s'inscrit dans un ensemble de dix mesures de gestion des risques de cybersécurité. La formation doit permettre au personnel de contribuer effectivement à l'analyse des risques (point a), à la gestion des incidents (point b), à la continuité des activités (point c) et à la sécurité de la chaîne d'approvisionnement (point e). Une approche générique ne peut satisfaire ces exigences croisées.
La responsabilité personnelle des dirigeants
L'Article 20 établit que les membres des organes de direction doivent "approuver les mesures de gestion des risques de cybersécurité" et "peuvent être tenus responsables de toute violation des obligations" (Directive NIS2, Article 20, paragraphes 1 et 2).
Cette disposition transforme la gouvernance de la cybersécurité. Les conseils d'administration et comités de direction doivent désormais approuver formellement les mesures de sensibilisation et en surveiller la mise en œuvre.
L'Article 20 impose également aux dirigeants de suivre eux-mêmes une formation et d'encourager régulièrement le personnel à en faire de même. Cette double obligation établit un devoir actif de supervision qui dépasse la simple validation budgétaire.
Les États membres ont transposé cette disposition avec des degrés de sévérité variables, certains prévoyant des sanctions personnelles incluant des amendes individuelles et des interdictions temporaires d'exercer des fonctions de direction. La transposition française (janvier 2026) prévoit explicitement la responsabilité personnelle des dirigeants.
Un paysage réglementaire convergent
NIS2 ne constitue pas une obligation isolée. Le paysage réglementaire européen évolue vers une harmonisation des exigences de cybersécurité à travers les secteurs.
DORA (Digital Operational Resilience Act) est entré en application en janvier 2025 pour le secteur financier. L'Article 13 impose aux entités financières de "dispenser régulièrement des formations appropriées en matière de résilience opérationnelle numérique et de cybersécurité à l'ensemble du personnel et aux membres des organes de direction" (Règlement DORA, Article 13, paragraphe 6). La formulation reprend les mêmes principes que NIS2 : régularité, adaptation aux rôles, couverture de l'ensemble du personnel et de la direction.
Le CRA (Cyber Resilience Act), adopté en 2024, étendra les obligations de cybersécurité aux fabricants de produits comportant des éléments numériques. Bien que le CRA se concentre principalement sur la sécurité des produits, l'obligation de produire des dispositifs sécurisés implique nécessairement la formation des équipes de développement, de maintenance et de support.
Les organisations opérant dans plusieurs secteurs doivent satisfaire simultanément ces réglementations. Construire des programmes distincts pour chaque directive génère des coûts d'implémentation répétés, des périodes de transition à risque et une fragmentation des données qui complique l'analyse globale.
Le framework de maturité comme alternative
Face à ces exigences convergentes, un nombre croissant d'organisations européennes adoptent une approche par niveaux de maturité. Ce modèle structure la progression en cinq stades distincts.
Niveau 1 (Réactif) — L'organisation ne dispose d'aucun programme formalisé. Les actions de formation sont déclenchées uniquement en réponse à des incidents. Ce niveau ne satisfait manifestement pas l'Article 21 qui impose des formations "continues".
Niveau 2 (Basique) — L'organisation déploie une formation annuelle obligatoire, généralement identique pour l'ensemble du personnel. La documentation se limite aux registres de complétion. Ce niveau pose question : une formation annuelle peut-elle être qualifiée de "continue" ? L'absence de différenciation satisfait-elle le critère "appropriée" ?
Niveau 3 (Défini) — L'organisation met en place une formation régulière (au minimum trimestrielle) avec des contenus différenciés selon les rôles. Des simulations sont déployées mensuellement avec analyse des résultats. Un tableau de bord permet le suivi par la direction. Ce niveau répond clairement aux exigences de l'Article 21.
Niveau 4 (Géré) — L'organisation opère une formation continue avec personnalisation selon les profils de risque. Les simulations couvrent multiples vecteurs d'attaque. Les indicateurs de sécurité humaine sont intégrés aux tableaux de bord de risque globaux. Ce niveau dépasse les exigences littérales de l'Article 21.
Niveau 5 (Optimisé) — L'organisation utilise l'analyse comportementale pour anticiper les situations à risque. La culture de sécurité est intégrée aux processus métier. Les employés deviennent des détecteurs actifs de menaces. Ce niveau transforme l'obligation réglementaire en avantage compétitif.
|
Niveau |
Conformité Art.21 |
Action principale |
|---|---|---|
|
1 Réactif |
❌ Non |
Formation ponctuelle |
|
2 Basique |
⚠️ Limite |
Annuelle générique |
|
3 Défini |
✅ Minimum |
Trimestrielle + phish |
|
4 Géré |
✅+ Mature |
Personnalisée risque |
|
5 Optimisé |
🚀 Leader |
Culture sécurité |
Les preuves documentaires nécessaires
L'Article 23 de NIS2 établit que les autorités compétentes peuvent "exiger que des informations soient fournies" et "procéder à des inspections sur place" (Directive NIS2, Article 23, paragraphe 1). Les organisations doivent être en mesure de produire rapidement les preuves de conformité.
Sept catégories de documentation s'avèrent nécessaires.
- Registres de formation exhaustifs couvrant l'identité des participants, les dates, les contenus, les durées et les taux de complétion sur une période démontrant la continuité.
- Mesures d'efficacité quantifiables démontrant une amélioration des comportements : évolution du taux de clic sur simulations, nombre de signalements, temps de détection, réduction des incidents.
- Résultats de simulations régulières avec historique sur au moins douze mois, variété des scénarios et adaptation aux menaces actuelles.
- Corrélation entre formation et réduction du risque par l'analyse des incidents de sécurité impliquant une composante humaine et des actions correctrices déployées.
- Différenciation par rôle avec parcours renforcés pour les fonctions à privilèges et contenus ciblés pour les métiers exposés, conformément au critère "appropriées" de l'Article 21.
- Documentation de l'amélioration continue incluant les révisions régulières, les ajustements en réponse aux nouvelles menaces et les objectifs d'évolution.
- Supervision par la direction avec rapports réguliers au conseil d'administration, budgets dédiés et objectifs mesurables, conformément à l'Article 20.
Plateforme évolutive versus produit ponctuel
Le choix technologique détermine la viabilité à moyen terme du programme. Deux approches s'opposent.
L'approche par produits ponctuels consiste à acquérir un outil pour NIS2, puis à le remplacer ou le compléter pour DORA, puis à ajouter un nouvel outil pour le CRA. Chaque transition nécessite une sélection de fournisseurs, une intégration technique, une formation des administrateurs et une migration des données. Cette stratégie génère des périodes de vulnérabilité et fragmente les données, rendant impossible toute analyse longitudinale.
L'approche plateforme consiste à implémenter une solution couvrant initialement NIS2 mais intégrant nativement les capacités nécessaires pour DORA, le CRA et les futures itérations réglementaires. L'organisation active progressivement les fonctionnalités au fur et à mesure de sa progression en maturité. Cette approche offre la continuité des données, l'absence de transitions à risque, le développement d'une expertise approfondie et le bénéfice automatique des évolutions.
Trois signaux d'alerte
L'expérience terrain permet d'identifier trois indicateurs précoces d'inadéquation.
L'absence de tendance d'amélioration mesurable. Si les métriques restent stables sur douze mois, le programme ne produit aucun effet. L'Article 21 impose des "mesures" efficaces, pas simplement des activités.
Le contenu non actualisé. Un contenu identique depuis plus de six mois démontre une absence d'adaptation aux nouvelles menaces. L'Article 21 exige des mesures "appropriées", impliquant une adaptation permanente au contexte de menace.
L'absence de reporting à la direction. Si le comité de direction ne reçoit pas de rapport régulier, l'organisation viole l'Article 20 qui impose de "surveiller la mise en œuvre" des mesures (Directive NIS2, Article 20, paragraphe 1).
Conclusion
L'Article 21 impose des formations "continues" et des programmes "appropriés". Ces termes établissent des obligations précises : continuité temporelle, adaptation contextuelle, mesure d'efficacité et supervision par la direction.
Le framework de maturité transforme cette contrainte réglementaire en opportunité d'amélioration organisationnelle. Les organisations qui atteignent les Niveaux 3 et 4 ne se contentent pas de satisfaire NIS2. Elles se préparent simultanément à DORA, au CRA et aux futures itérations réglementaires.
La question n'est plus de savoir si votre organisation doit progresser, mais à quelle vitesse elle peut transformer l'obligation réglementaire en capacité opérationnelle.
Rencontrez-nous au Forum InCyber Lille 2026 (31 mars - 2 avril, Stand H13).
Sources :
- Directive (UE) 2022/2555 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité (NIS2). Journal officiel de l'Union européenne, L 333/1.
- Règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier (DORA). Journal officiel de l'Union européenne, L 333/1.
- Règlement (UE) 2024/2847 établissant des exigences en matière de cybersécurité pour les produits comportant des éléments numériques (CRA).
- Avanista.fr : "environ 15 000 organismes"
- OrangeCyberdefense.com : "15 000 à 18 000 entreprises"
- Progys.fr : "près de 160 000 en Europe"
- Ornisec.com : Transposition française NIS2