Klaerenn
⌘K
Klaerenn
Tribunes

NIS2 : Pourquoi 89% des PME françaises ne sont pas prêtes

15 000 entreprises françaises concernées par NIS2. 89% des PME non prêtes. 5,1 certifications ISO 27001 pour 1000 entreprises contre 28,4 dans les pays nordiques. État des lieux d'un retard structurel.
NIS2 : Pourquoi 89% des PME françaises ne sont pas prêtes

15 000 entreprises françaises bientôt concernées par NIS2. Mais un problème massif se profile : 89% des PME n'ont pas les bases nécessaires pour s'y conformer.

La transposition de cette directive européenne révèle un paradoxe inquiétant entre l'ambition affichée et les capacités réelles du terrain. Voici pourquoi c'est problématique.

4 chiffres qui montrent l'ampleur du problème

  • 5,1 vs 28,4 : Certificats ISO 27001 pour 1000 entreprises en France contre pays nordiques
  • 174 jours : Temps moyen de détection des incidents en France (contre 49 jours en Scandinavie)
  • 70 000€ : Coût moyen d'implémentation pour une PME de 50 salariés
  • 0,3% : Proportion de PME françaises touchées par les programmes d'accompagnement actuels

Ce qui bloque vraiment la résilience de nos entreprises

Le mythe du rattrapage par la législation

Un texte de loi, même parfait, ne peut à lui seul combler un retard opérationnel. Face à la complexité technique, la France privilégie souvent une réponse juridique, au détriment de la faisabilité terrain.

L'insuffisance critique des dispositifs

Les programmes existants ont accompagné seulement 1 200 PME depuis 2021. Face aux 15 000 entités concernées par NIS2, l'écart est abyssal. Sans changement d'échelle, la conformité restera théorique.

Un déficit de culture technique dans la gouvernance

La gouvernance cyber en France reflète une préférence pour les profils administratifs plutôt que techniques. Résultat : des dispositifs souvent déconnectés des contraintes opérationnelles des entreprises.

Transformer la conformité en résilience réelle

La question n'est plus de savoir si la France va transposer NIS2 – elle le fera – mais si cette transposition produira des effets concrets sur notre résilience collective. Les organisations devront trouver des approches qui transforment les obligations réglementaires en capacités opérationnelles tangibles.

Dans ce contexte, l'accompagnement par des experts comprenant à la fois les enjeux réglementaires et les réalités techniques devient crucial. Le véritable défi n'est pas la conformité documentaire, mais la construction d'une résilience effective.

Initialement publié sur LinkedIn le 2025-03-29

More like this

Les faucons du numérique

Les faucons du numérique

Une vulnérabilité, c'est une faille à corriger. C'est ce qu'on nous apprend. Un rapport de l'Atlantic Council dit l'inverse : c'est un actif stratégique à exploiter. Et ses auteurs savent de quoi ils parlent — leurs financeurs fabriquent les armes qui en dépendent.
Lord of Cyber War

Lord of Cyber War

La dernière lettre de marque américaine remonte à 1812. Deux siècles plus tard, le Congrès envisage de ressusciter l'instrument. Pour lutter contre le cybercrime, dit-on. L'explication ne tient pas. Quelque chose d'autre se prépare.
Le dernier canal

Le dernier canal

« Le renseignement était authentique. C'était là toute sa beauté. » Le 7 janvier, les États-Unis se sont retirés de trois forums de coopération cyber. Le 9 janvier, la CISA a clôturé dix Emergency Directives. Moins une maturation qu'un arbitrage contraint.
I Am Altering the Deal

I Am Altering the Deal

On January 7, 2026, the United States withdrew from the Hybrid CoE, the Freedom Online Coalition and the GFCE. Three Western cyber forums abandoned. European dependencies remain intact.
I Am Altering the Deal

I Am Altering the Deal

Le 7 janvier 2026, les États-Unis ont quitté le Hybrid CoE, la Freedom Online Coalition et le GFCE. Trois forums cyber occidentaux abandonnés. Les dépendances européennes, elles, restent intactes.
Final report, 2026. Third officer reporting.

Final report, 2026. Third officer reporting.

600 millions de données exposées. 50 organisations majeures compromises. EDR en place, SOC opérationnel, conformité respectée. Elles ont quand même été compromises. Bilan 2025.