Introduction
La directive NIS2 change l’échelle de la cybersécurité en Europe. Elle ne vise plus seulement quelques opérateurs critiques : elle étend les obligations de cybersécurité à un nombre beaucoup plus large d’organisations, dans 18 secteurs critiques ou importants. Son objectif est clair : renforcer la résilience des entités qui soutiennent l’économie, les services essentiels et la continuité des activités numériques.
En France, la transposition n’est pas encore totalement stabilisée. Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été déposé au Sénat en octobre 2024, adopté par le Sénat en mars 2025, puis transmis à l’Assemblée nationale. Les travaux parlementaires restent donc déterminants pour fixer les modalités définitives d’application.
Dans ce contexte, l’ANSSI a publié le ReCyF — Référentiel Cyber France le 17 mars 2026. Ce document de travail donne déjà une lecture opérationnelle des objectifs de sécurité attendus sous NIS2. Il ne remplace pas la loi, mais il permet aux organisations d’anticiper les exigences à venir et de structurer leurs preuves de conformité.
NIS2 : une conformité centrée sur le risque
NIS2 repose sur une logique simple : les organisations doivent mettre en place des mesures techniques, opérationnelles et organisationnelles proportionnées aux risques qui pèsent sur leurs systèmes d’information. L’article 21 mentionne notamment la gestion des risques, la sécurité de la chaîne d’approvisionnement, la gestion des vulnérabilités, l’évaluation de l’efficacité des mesures, la cyberhygiène et la formation.
La directive introduit aussi une responsabilité plus directe des organes de direction. Les dirigeants ne peuvent plus déléguer la cybersécurité uniquement au RSSI ou à la DSI : ils doivent approuver les mesures de gestion des risques, en superviser la mise en œuvre et suivre une formation adaptée.
C’est précisément à ce niveau qu’EBIOS RM prend tout son intérêt. La méthode permet de passer d’une conformité documentaire à une compréhension structurée des risques : quels actifs sont critiques, quels événements sont redoutés, quelles sources de risque sont pertinentes, quels scénarios d’attaque sont crédibles, quelles mesures doivent être priorisées.
ReCyF : 20 objectifs pour rendre NIS2 opérationnelle
Le ReCyF traduit les grandes exigences de NIS2 en objectifs de sécurité. Il distingue les objectifs applicables aux entités importantes et essentielles, et les objectifs supplémentaires réservés aux entités essentielles. Le document précise que les objectifs 16 à 20 ne concernent que les entités essentielles, selon le principe de proportionnalité.
Les 15 premiers objectifs couvrent notamment le recensement des systèmes d’information, la gouvernance SSI, la maîtrise de l’écosystème, les ressources humaines, la protection des systèmes, les accès, l’administration, les incidents, la continuité, la crise cyber et les exercices.
Les objectifs 16 à 20 renforcent le niveau attendu pour les entités essentielles : approche par les risques, audits de sécurité, durcissement des configurations, administration dédiée et supervision de sécurité.
L’objectif 16 est particulièrement important. Il demande aux entités essentielles de mettre en œuvre une approche par les risques, placée sous la responsabilité du dirigeant exécutif, afin de suivre les risques, définir les mesures de sécurité et accepter les risques résiduels. Le ReCyF précise que la méthode EBIOS RM peut être utilisée pour réaliser cette analyse de risques.
Pourquoi EBIOS RM est un levier solide pour NIS2
EBIOS Risk Manager est la méthode d’analyse et de traitement des risques numériques publiée par l’ANSSI. Sa version 1.5, publiée en mars 2024, renforce l’alignement avec ISO/IEC 27005:2022 et enrichit les ateliers à partir des retours de terrain.
Sa force vient de sa double logique : une approche par conformité pour établir un socle de sécurité, puis une approche par scénarios pour traiter les risques ciblés et les menaces avancées. L’ENISA décrit également EBIOS RM comme une méthode fondée sur cinq ateliers, combinant conformité et scénarios, avec un lien utile entre décideurs et équipes opérationnelles.
Cette articulation correspond très bien à NIS2. La directive ne demande pas seulement de “mettre des contrôles”. Elle demande de démontrer que les mesures sont adaptées aux risques, aux services fournis, à l’écosystème, aux dépendances et à l’impact potentiel des incidents.
Ce que les recherches académiques ajoutent
Les publications académiques récentes confirment un point central : la conformité NIS2 ne se réduit pas à une checklist. Une étude publiée dans l’European Journal of Law and Technology souligne que les règles NIS2 sur la cybersécurité de la chaîne d’approvisionnement s’alignent globalement avec les logiques de gestion des risques, mais qu’elles restent limitées face à la complexité réelle des dépendances fournisseurs, notamment dans les environnements IoT et critiques.
Une étude de 2025 sur les obstacles à la conformité NIS2 identifie plusieurs freins récurrents : manque de sensibilisation aux cadres de sécurité, ressources financières limitées, complexité de l’environnement cyber et difficultés de coordination entre parties prenantes.
Une recherche sectorielle publiée en 2026 dans le Journal of Transportation Security montre que l’adoption de NIS2 dans les infrastructures ferroviaires reste freinée par la fragmentation de la gouvernance, la maturité inégale IT/OT, la dépendance fournisseurs et les lacunes de détection ou de reporting d’incidents.
Ces constats renforcent l’intérêt d’EBIOS RM : la méthode oblige à intégrer les métiers, les prestataires, les scénarios d’attaque, les impacts opérationnels et les arbitrages de direction. Elle aide donc à traiter NIS2 comme un sujet de gouvernance du risque, et non comme une simple obligation technique.
Correspondance opérationnelle entre EBIOS RM et ReCyF
| Atelier EBIOS RM | Apport pour NIS2 / ReCyF | Livrables attendus |
|---|---|---|
| Atelier 1Cadrage et socle de sécurité | Identification du périmètre, des valeurs métier, des événements redoutés et du socle existant | PérimètreValeurs métierÉvénements redoutésÉcarts de sécurité |
| Atelier 2Sources de risque | Identification des acteurs menaçants pertinents pour l'organisation | Cartographie des sources de risqueObjectifs visés |
| Atelier 3Scénarios stratégiques | Analyse des chemins d'attaque de haut niveau, incluant l'écosystème et les prestataires | Scénarios stratégiquesDépendances critiquesExposition fournisseurs |
| Atelier 4Scénarios opérationnels | Décomposition technique des modes opératoires d'attaque | Chemins d'attaqueVraisemblanceMesures existantes ou manquantes |
| Atelier 5Traitement du risque | Priorisation, acceptation des risques résiduels et plan d'action | Plan de traitementResponsablesÉchéancesDécisions de direction |
Ce qu’une organisation doit produire concrètement
Une démarche EBIOS RM alignée avec NIS2 doit aboutir à des preuves exploitables en cas
de contrôle ou d’audit :
- un périmètre clair des systèmes d’information concernés
- une cartographie des activités et services critiques
- une identification des valeurs métier et événements redoutés
- une cartographie des parties prenantes et prestataires critiques
- une analyse des sources de risque pertinentes
- des scénarios stratégiques et opérationnels documentés
- une cotation justifiée des risques
- un plan de traitement avec responsables, priorités et échéances
- une validation par la direction
- une traçabilité des risques résiduels acceptés
- un programme de révision périodique
Le ReCyF précise d’ailleurs que, pour l’objectif 16, l’entité essentielle doit valider l’analyse de risques, accepter les risques résiduels et mettre en œuvre un plan d’action comportant au minimum une échéance raisonnable et un responsable par action.
Notification des incidents : un processus à préparer dès maintenant
NIS2 impose une logique de notification en plusieurs temps : alerte initiale sous 24 heures, notification plus complète sous 72 heures, puis rapport final dans un délai d’un mois. Même si la transposition française reste en cours, les organisations ont intérêt à préparer dès maintenant leur dispositif : procédure d’escalade, critères de qualification d’un incident significatif, rôles de crise, modèle de notification, collecte des preuves, indicateurs de compromission et coordination avec les prestataires. La conformité se jouera donc aussi sur la capacité à démontrer que l’organisation sait détecter, qualifier, remonter et documenter un incident dans des délais très courts.
Sanctions : un risque financier, mais aussi un risque de gouvernance
NIS2 prévoit des amendes administratives importantes : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel pour les entités essentielles, et jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial annuel pour les entités importantes. Mais l’enjeu dépasse la sanction financière. NIS2 transforme la cybersécurité en sujet de direction générale : les organes dirigeants doivent comprendre les risques, suivre les mesures et assumer la gouvernance cyber. Une analyse EBIOS RM bien conduite devient alors un support de décision : elle donne à la direction une vision claire des risques, des arbitrages budgétaires et des priorités opérationnelles.
Plan d’action recommandé
1. Vérifier son exposition à NIS2
La première étape consiste à déterminer si l’organisation relève d’un secteur NIS2 et si elle répond aux critères de taille ou aux cas particuliers prévus. Le simulateur MonEspaceNIS2 de l’ANSSI permet de commencer cette qualification.
2. Réaliser un diagnostic ReCyF
L’objectif est d’identifier les écarts entre l’existant et les objectifs de sécurité attendus : gouvernance, inventaire, accès, incidents, continuité, crise, prestataires, supervision et audit.
3. Lancer une analyse EBIOS RM
L’analyse doit être structurée autour des métiers, pas uniquement autour de l’IT. Elle doit intégrer les activités critiques, les dépendances fournisseurs, les scénarios d’attaque, les impacts métier et les risques résiduels.
4. Construire un plan de traitement priorisé
Le plan de traitement doit préciser les mesures retenues, les responsables, les délais, les ressources nécessaires et les preuves attendues. Les mesures doivent être priorisées selon le risque, l’impact métier et le niveau de maturité.
5. Former les dirigeants et les équipes clés
NIS2 impose une montée en compétence des organes de direction et encourage la formation régulière des collaborateurs. La formation ne doit pas être cosmétique : elle doit permettre de comprendre les risques, les responsabilités et les décisions à prendre.
6. Préparer le dossier de preuve
La conformité NIS2 devra être démontrable. Il faut donc conserver les livrables : PSSI, cartographie SI, analyse de risques, registre des décisions, plan de traitement, procédures incidents, exercices de crise, audits, preuves de formation et suivi des actions.
Conclusion
EBIOS RM ne doit pas être présenté comme une simple méthode d’analyse de risques. Dans le contexte NIS2, c’est un outil de gouvernance : il relie les enjeux métier, les scénarios d’attaque, les obligations réglementaires et les décisions de direction. Le ReCyF donne aux organisations françaises une première grille opérationnelle pour anticiper NIS2. EBIOS RM permet de transformer cette grille en démarche structurée, documentée et défendable. Pour les entités essentielles, l’objectif 16 rend l’approche par les risques incontournable. Pour les entités importantes, EBIOS RM reste un excellent levier pour dépasser la conformité minimale et construire une cybersécurité pilotée, justifiée et alignée sur les risques réels.
