NIS 2 · DORA · Cyber Resilience Act

La cyberdéfense se construit avant l'incident, pas uniquement postmortem

L'agence nationale française de cybersécurité compose avec quatre régimes juridiques et une multiplication par vingt de son périmètre en même temps. Parce que l'application des règles ne peut agir qu'après la survenue d'un événement, défendre un écosystème aussi élargi dépend de capacités de formation, d'outillage et de personnel bâties en amont du besoin, par chaque acteur en mesure de les bâtir.

Dans un entretien de juin 2026 accordé au média technologique français Clubic, le directeur général de l'ANSSI, Vincent Strubel, décrit un agenda de gouvernance cyber frappant moins par l'un ou l'autre de ses éléments que par le nombre de chantiers exigeants qui s'y côtoient en même temps (Belfiore 2026). Au fil de la même conversation, il aborde l'avenir du chiffrement et de l'accès légal, la qualification des fournisseurs de cloud, une migration post-quantique s'étirant sur des années jusque dans la prochaine décennie, une instance de coordination nouvellement créée pour la gouvernance numérique, et une directive qui multipliera par vingt ou plus la population des entités régulées. Lu attentivement, l'entretien est moins un bilan qu'un portrait d'une position difficile tenue avec sang-froid, et il pointe vers quelque chose de structurel au sujet de la cyberdéfense qui mérite d'être énoncé clairement. L'application des règles et la remédiation, par nature, agissent après coup. Elles peuvent façonner ce qui suit, mais elles ne peuvent pas défaire l'incident qui les a provoquées. Cette seule observation recadre toute la question de la manière dont une population régulée bien plus vaste va réellement être défendue, et elle suggère que la réponse utile de la capacité privée n'est pas d'attendre d'être sollicitée, mais de bâtir des capacités en amont du besoin, vers un objectif que tout le champ partage déjà.

Le paysage réglementaire, et qui détient réellement chaque mandat

La gouvernance cyber française et de l'Union européenne recouvre désormais quatre instruments juridiques qui se chevauchent et, fait important, aucune autorité unique ne détient les quatre. La LPM (loi de programmation militaire) et NIS 2 (la seconde directive sur la sécurité des réseaux et des systèmes d'information) relèvent du mandat direct propre à l'ANSSI. La supervision de DORA (Digital Operational Resilience Act) en France relève de l'ACPR (Autorité de Contrôle Prudentiel et de Résolution) pour les banques et les assureurs, et de l'AMF (Autorité des Marchés Financiers) pour les gestionnaires d'actifs et les infrastructures de marché (Autorité de Contrôle Prudentiel et de Résolution 2026 ; Autorité des Marchés Financiers 2026). La surveillance du marché au titre du CRA (Cyber Resilience Act) relève de l'ANFR (Agence Nationale des Fréquences), l'ANSSI n'agissant que comme autorité notifiante chargée d'accréditer les organismes d'évaluation de la conformité, un rôle distinct de la surveillance du marché elle-même (ANFR 2026 ; ANSSI 2026a). Comme socle opérationnel de la conformité à NIS 2, l'ANSSI a publié le ReCyF (Référentiel Cyber France, version 2.5) le 17 mars 2026, fixant vingt objectifs de sécurité obligatoires (Ledieu-Avocats 2026).

Cette cartographie compte pour une raison pratique et une raison d'équité. Sur le plan pratique, un lecteur naviguant entre quatre cadres a besoin de savoir à quelle autorité s'adresser pour quelle question. En équité, elle établit que l'ANSSI coordonne une posture nationale à travers des régimes qu'elle ne contrôle pas individuellement, ce qui participe de ce qui rend sa position difficile plutôt que déficiente.

La forme d'un mandat ardu et multi-fronts

La manière la plus juste de lire l'entretien de Strubel est d'y voir une description de concurrence des chantiers. Plusieurs programmes exigeants sont en cours au même moment, chacun sur sa propre horloge. La question du chiffrement et de l'accès légal en est une que Strubel lui-même qualifie de politique au fond plutôt que technique, ce qui place sa résolution hors du contrôle d'ingénierie de toute agence et à l'intérieur de la mécanique plus lente de la législation et du débat public (Belfiore 2026). La migration post-quantique est une transition cryptographique pluriannuelle qui touche chaque organisation détenant des données confidentielles à longue durée de vie. La création d'une nouvelle instance de coordination signale une tentative de consolider la gouvernance numérique plutôt que de la laisser se fragmenter davantage. Et sous tout cela court l'élargissement du périmètre de NIS 2, que Strubel situe comme un passage d'environ 500 entités régulées à une estimation de 10 000 à 15 000 (Belfiore 2026).

Chacun de ces éléments constituerait à lui seul un programme substantiel. Menés ensemble, à travers des régimes dont deux seulement relèvent du contrôle direct de l'ANSSI, ils décrivent un mandat véritablement difficile à bien tenir. L'ANSSI a été franche et constante sur la manière dont elle le tient : par une posture d'accompagnement d'abord, guidée par le conseil, plutôt que par la fiction d'un agent posté derrière chaque serveur. C'est un choix rationnel sous contraintes réelles, et ce texte le prend pour exactement cela, une stratégie légitime pour un mandat difficile, non pas la preuve qu'il manque quelque chose.

L'application des règles est réactive par construction

De ce mandat découle une observation structurelle plutôt qu'évaluative. L'application des règles et la remédiation sont, par nature, des choses qui arrivent ensuite. Un constat d'audit documente un état qui existe déjà. Une sanction répond à une violation qui s'est déjà produite. Un ordre de remédiation restaure un système qui a déjà failli. Chacun de ces instruments a de la valeur, et chacun façonne le comportement futur, mais aucun ne peut remonter le temps pour prévenir l'événement qui l'a déclenché. Ce n'est pas une propriété de l'ANSSI ni d'un régulateur en particulier. C'est une propriété de l'application des règles elle-même.

Le corollaire mérite d'être énoncé directement, car il est facile à manquer. L'ANSSI n'est pas, et ne peut structurellement pas être, une agence de remédiation au sens d'un organe qui défend les systèmes à l'instant où une attaque est en cours. Aucune autorité d'application ne peut l'être. La cyberdéfense en temps réel, la détection, l'endiguement et le rétablissement effectifs qui se déroulent pendant qu'un incident est en cours, est menée à l'intérieur des organisations affectées et par les praticiens et outils dont elles disposent à cet instant. L'application des règles fixe la norme à laquelle ces organisations sont tenues. Elle ne se substitue pas, et ne peut se substituer, à la capacité dont elles ont besoin lorsque la norme est mise à l'épreuve. Reconnaître cela n'est pas une critique du degré d'application de quiconque. C'est une clarification de ce à quoi sert l'application des règles.

Ce qu'exige la défense d'un écosystème vingt fois plus grand

Mettez ensemble les deux points précédents. La population des entités censées se défendre elles-mêmes croît d'un facteur vingt ou plus, et l'instrument principal que l'État peut mobiliser, l'application des règles, est par construction incapable d'assurer la défense elle-même. La défense en pratique dépend donc de quelque chose que l'application des règles ne peut fabriquer sur commande : la capacité. Des personnes capables de mettre en œuvre et d'opérer des contrôles. Des outils qui rendent la preuve continue plutôt qu'assemblée dans la précipitation avant un audit. Une formation qui atteint une organisation avant qu'elle ne se retrouve dans le périmètre plutôt qu'après. Et tout cela doit exister en amont du besoin, car une capacité bâtie après un incident est, par définition, bâtie trop tard pour cet incident.

Le conseil public est une part réelle de cette réponse et doit être crédité comme tel. Les propres supports d'accompagnement de l'ANSSI au titre du ReCyF, dont des documents de conseil, des webinaires et une obligation de formation inscrite dans le référentiel, visent directement à aider les organisations à bâtir des capacités avant l'arrivée des échéances d'application (ANSSI 2026b). Mais l'arithmétique d'une multiplication par vingt est impitoyable, et aucune institution unique, aussi bien gérée soit-elle, ne peut fournir l'intégralité de la courbe de formation, d'outillage et de personnel pour un écosystème de cette taille dans le calendrier que fixe la réglementation. Ce n'est la faute de personne. C'est un problème partagé, et il vaut mieux le traiter comme tel.

Il existe tout un corpus élaboré de sciences de gestion derrière ce problème de temporalité. Travaillant dans la tradition de la dynamique des systèmes (Sterman 2000), John Sterman et Nelson Repenning, au Massachusetts Institute of Technology, ont formalisé ce qu'ils appellent le piège de la capacité : une organisation qui investit dans la construction de sa capacité voit sa performance baisser avant de s'améliorer, la trajectoire du pire-avant-le-meilleur, tandis qu'une organisation qui se contente de redoubler d'efforts obtient un soulagement à court terme avant que sa performance ne s'érode, la trajectoire du meilleur-avant-le-pire, une divergence que leur modèle décrit comme deux courbes de capacité qui se séparent au fil du temps (Repenning and Sterman 2002). Leur étude antérieure énonce l'obstacle humain dès son titre : personne ne reçoit jamais de crédit pour avoir réglé des problèmes qui ne se sont jamais produits (Repenning and Sterman 2001). Rapportée à l'élargissement à venir du périmètre de NIS 2, l'implication est directe. La capacité de défendre un écosystème vingt fois plus grand doit se bâtir selon la trajectoire du pire-avant-le-meilleur, en amont des incidents qu'elle prévient et précisément au moment où aucune crise visible ne justifie encore la dépense. Les lecteurs qui souhaitent voir la dynamique par eux-mêmes peuvent la parcourir de manière interactive dans le module 13 du cours de dynamique des systèmes de CCI, sur le piège de la capacité.

Le partenaire bienveillant : bâtir des capacités sans attendre qu'on le demande

C'est là que la capacité privée a un rôle qui ne dépend pas d'être embauchée pour le jouer. Une entreprise dotée de contenus de formation, d'outillage ou de praticiens qualifiés a une raison d'investir dans la construction et le partage de cette capacité dès maintenant, indépendamment de tout contrat, mission d'audit ou déclencheur réglementaire spécifique, pour une raison simple : l'objectif commun, une cyberdéfense qui fonctionne réellement à travers un écosystème vingt fois plus grand qu'il ne l'était, est servi par cet investissement quel que soit celui qui paie au final pour quoi. Un partenaire qui agit selon ce raisonnement, en contribuant des capacités parce que le problème est réel plutôt que parce qu'une transaction est sur la table, est ce que ce texte entend par partenaire bienveillant. Le mot est à prendre littéralement, non décorativement. Son critère de vérité est de savoir si la contribution est utile à une organisation, qu'elle devienne un jour cliente ou non.

Cambridge Cyber International (CCI) entend agir comme l'un de ces partenaires, et reconnaît volontiers qu'elle n'est qu'un contributeur parmi beaucoup d'autres qui pourraient et devraient l'être. Sa position est délibérément simple : éduquer, former et outiller, plutôt que d'attribuer les responsabilités. En pratique, cela se résout en deux choses qu'elle a déjà bâties. La première est son Academy, dont la formation est utile à toute organisation développant les compétences cyber dont ses équipes auront besoin, quel que soit l'endroit où cette organisation ira ensuite se procurer le reste de ses capacités. La seconde est la suite CySSURANCE, qui porte la même idée du côté de l'outillage en rassemblant en un seul endroit toute une gamme de fonctions de préparation : collecte automatisée de preuves, modélisation d'architecture d'entreprise, calcul de résilience, évaluation des pertes financières, appréciation des effectifs, exercices liés aux technologies de l'information et de la communication (ICT), remédiation priorisée, gestion des fournisseurs, préparation aux audits, et tableaux de bord au niveau du conseil d'administration. Prises ensemble, l'éducation, la formation et l'outillage répondent aux charges de préparation aux audits et de main-d'œuvre que l'élargissement du périmètre multiplie, ce qui est précisément le travail à accomplir en amont du besoin plutôt qu'après un incident. Ces éléments sont nommés ici comme une illustration de l'argument, non comme sa finalité. L'argument tient que le lecteur fasse appel à CCI, à l'un de ses pairs, ou qu'il bâtisse la capacité entièrement en interne.

Contre-arguments et limites

L'objection évidente est qu'une entreprise décrivant ses propres offres comme une contribution bienveillante ne fait que de la publicité avec de meilleures manières. L'objection mérite une vraie réponse plutôt qu'une assurance. La réponse est un critère que le lecteur peut appliquer : la contribution aide-t-elle une organisation qui n'achète jamais rien ? Une formation qui élève la préparation d'une équipe, qu'elle débouche ou non sur un contrat, un conseil exact, qu'il soit ou non monétisé, et l'honnêteté quant aux moments où un concurrent ou une construction interne est le meilleur choix, passent tous ce critère ; une ressource inutile à moins d'être achetée y échoue. Les lecteurs sont fondés à tenir ce texte, et CCI, à ce standard.

Une deuxième objection est que la capacité privée ne peut se substituer à l'autorité publique, et qu'elle ne devrait pas essayer. C'est exact, et rien ici ne le propose. L'argument est complémentaire, non substitutif. Le mandat de l'ANSSI, la fixation des normes et la coordination sont précisément les choses que les acteurs privés ne peuvent et ne devraient pas fournir. L'affirmation est plus étroite : que la défense en temps réel que l'application des règles ne peut assurer se bâtit à partir de capacités, et que ces capacités peuvent et devraient être apportées depuis plus d'une direction.

Une troisième limite, plus prosaïque, concerne la source. Un entretien n'est pas un instrument juridique, et les chiffres et dates spécifiques, y compris les nombres exacts du périmètre et l'état de la loi de transposition de NIS 2, devraient être recoupés avec les textes primaires une fois ceux-ci définitifs. Le calendrier de transposition en particulier relève du Parlement français plutôt que d'une quelconque agence exécutive. Rien de cela ne change l'argument structurel, qui ne repose sur aucune date unique, mais c'est une raison de vérifier les détails avant d'agir sur leur base.

Implications pour la pratique ou la politique

Pour un conseil d'administration ou un RSSI, la conséquence pratique de traiter la défense comme quelque chose de bâti en amont du besoin plutôt qu'imposé après coup est un changement de séquencement. Les décisions de capacité, qui est formé, quel outillage rend la preuve continue, comment le personnel monte en charge, se déplacent plus tôt, en amont de l'échéance d'application plutôt qu'en réaction à elle. Concrètement, cela signifie amorcer la préparation de la main-d'œuvre avant que l'inclusion dans le périmètre ne soit confirmée, traiter la collecte continue de preuves comme une capacité permanente plutôt que comme un sprint pré-audit, et planifier les effectifs face à un marché du travail qui sera le plus tendu précisément lorsque la plus grande cohorte d'entités nouvellement régulées se disputera les mêmes compétences.

Pour les acteurs privés dotés de capacités pertinentes, l'implication est une invitation à contribuer en amont de la demande : rendre l'éducation, la formation et l'outillage utiles indépendamment d'une vente, et le dire franchement. L'Academy de CCI et sa suite CySSURANCE sont proposées dans cet esprit, comme des options parmi plusieurs plutôt que comme le seul chemin, et le choix du prestataire compte bien moins que le fait de bâtir des capacités avant qu'elles ne soient nécessaires.

Pour la relation public-privé dans son ensemble, l'implication est un changement de registre. Le cadre productif est un objectif commun, une cyberdéfense qui fonctionne en pratique, plutôt qu'un grand livre de comptes de qui en a fait assez ou non. Son expression pratique est simple : éduquer, former et outiller en amont du besoin, plutôt que de répartir les responsabilités après coup. L'application des règles et la contribution ne sont pas des concurrentes. Ce sont des parties différentes d'une même entreprise.

Conclusion

L'ANSSI tient un mandat véritablement difficile, quatre régimes juridiques, un débat politique qu'elle ne peut résoudre seule, une migration cryptographique pluriannuelle, une nouvelle instance de coordination, et une population régulée qui se multiplie par vingt, et elle tient ce mandat avec une stratégie cohérente, guidée par le conseil, choisie sous contraintes réelles. Lire sa position honnêtement mène à une conclusion structurelle plutôt que critique : parce que l'application des règles ne peut agir qu'après un incident, la défense qui compte sur l'instant se bâtit auparavant, à partir de capacités qui doivent exister en amont du besoin. Cette capacité est un problème partagé, plus vaste que n'importe quelle institution unique, et elle est le mieux relevée par tous ceux en mesure d'y contribuer, depuis plus d'une direction, au service d'un objectif que tout le champ tient déjà en commun. La posture utile pour la capacité privée est donc non pas d'attendre d'être sollicitée mais de bâtir et de partager en amont de la demande, sans rien attendre de particulier en retour, car un écosystème mieux défendu est le retour. La cyberdéfense se construit avant l'incident. Le travail qui vaut la peine, c'est la construction.

Par où commencer

Si vos équipes bâtissent une préparation cyber pour ce qui vient, CCI Academy est un point de départ ouvert, que vous travailliez ou non davantage avec CCI par la suite. Sa formation est utile en soi. Voyez-la comme une porte ouverte plutôt que comme une destination.

Découvrir CCI Academy →

Références

Agence Nationale des Fréquences (2026). Cyber Resilience Act. https://www.anfr.fr/proteger/equipements-radio-electriques/cyber-resilient-act

ANSSI, cyber.gouv.fr (2026a). Cyber Resilience Act. https://cyber.gouv.fr/reglementation/cybersecurite-des-produits/cyber-resilience-act/

ANSSI, cyber.gouv.fr (2026b). NIS 2 : l'ANSSI poursuit et renforce sa dynamique d'accompagnement. https://cyber.gouv.fr/actualites/nis-2-lanssi-poursuit-et-renforce-sa-dynamique-daccompagnement/

Autorité de Contrôle Prudentiel et de Résolution (2026). FAQ sur la directive et le règlement DORA. https://acpr.banque-france.fr/fr/reglementation/focus-sur-la-reglementation/transverse/digital-operational-resilience-act-dora/faq-sur-la-directive-et-le-reglement-dora

Autorité des Marchés Financiers (2026). The Regulation on Digital Operational Resilience in the Financial Sector (DORA). https://www.amf-france.org/en/news-publications/depth/dora

Belfiore, G. (2026). Chiffrement vs Police : "Le choix sera politique", prévient le patron de l'ANSSI. Clubic. https://www.clubic.com/dossier-618682-interview-anssi.html

Ledieu-Avocats (2026). ANSSI, projet de décret NIS2 "mesures techniques" v2.5, ReCyF du 17 mars 2026. https://ledieu-avocats.fr/anssi-projet-decret-nis2-mesures-techniques-v2-5-recyf-du-17-mars-2026/

Repenning, N. P., and Sterman, J. D. (2001). Nobody ever gets credit for fixing problems that never happened: creating and sustaining process improvement. California Management Review, 43(4), 64 to 88. https://doi.org/10.2307/41166101

Repenning, N. P., and Sterman, J. D. (2002). Capability traps and self-confirming attribution errors in the dynamics of process improvement. Administrative Science Quarterly, 47(2), 265 to 295. https://doi.org/10.2307/3094806

Sterman, J. D. (2000). Business Dynamics: Systems Thinking and Modeling for a Complex World. Boston: Irwin McGraw-Hill. https://systemdynamics.org/product/business-dynamics-systems-thinking-and-modeling-for-a-complex-world/

L'application des règles fixe la norme. Elle ne peut pas se substituer à la capacité que la norme met à l'épreuve.

L'angle CCI

Solutions citées : Academy · CySSURANCE. Voir tous les produits · parler à un praticien.

Votre organisation est-elle exposée ?

Parler à un praticien →