NIS2 et gouvernance intégrée : comment restructurer vos équipes pour la conformité

Vous connaissez maintenant pourquoi la convergence sécurité physique-cybersécurité s'impose avec NIS2. Vous comprenez qu'un audit ne suffit pas s'il ne croise pas menaces physiques et numériques. Mais reste la question pratique que se posent les dirigeants : comment organiser concrètement mes équipes pour atteindre cette convergence ?

Entre 15 000 et 18 000 entreprises seront concernées en France selon Orange Cyberdefense 2025, multipliant par 50 le nombre d'organisations visées comparé à NIS1 qui en concernait 300. Cette montée en charge massive signifie que les gouvernances historiques—souvent segmentées entre RSSI, DSI et direction sûreté—n'étaient jamais soumises au même cadre réglementaire. Aujourd'hui, c'est terminé. NIS2 place la responsabilité de la cybersécurité directement entre les mains des dirigeants et redéfinit fondamentalement l'approche de la sécurité numérique au plus haut niveau de l'organisation.

Ce qui change vraiment : vous devez bâtir une gouvernance capable de répondre à trois obligations interdépendantes : gestion des risques convergée, notification incident en 72 heures, et surtout, responsabilité personnelle des dirigeants.

La responsabilité personnelle : levier involontaire de convergence

Commençons par le point qui va forcer votre transformation organisationnelle. La directive exige que la direction de l'entreprise valide les mesures de gestion des risques cyber et supervise leur mise en œuvre, avec responsabilité personnelle des dirigeants en cas de manquement grave.

Concrètement : votre PDG, directeur général ou président n'est plus en retrait du sujet. En cas de non-conformité, les amendes peuvent atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial (pour les entités essentielles selon la directive NIS2), et des sanctions incluent potentiellement l'interdiction temporaire d'exercer des fonctions de direction.

Voilà votre premier levier de gouvernance : cette responsabilité personnelle force une implication stratégique de la direction générale. Une amende de 2% du CA focus davantage les esprits que n'importe quel argumentaire techniques.

Cinq principes pour restructurer votre gouvernance

1. Créer un comité cyber au niveau exécutif

L'article 20 de NIS2 exige que les organes de direction approuvent et supervisent les mesures de gestion des risques cyber. Cette obligation n'est pas théorique : la direction doit valider chaque mesure importante, allouer les ressources et suivre les indicateurs de risque.

Mettez en place un comité formel incluant : direction générale (ou représentant), RSSI, responsable sûreté physique, DSI et compliance/risques. Réunissez-le mensuellement minimum pour valider les mesures, suivre les KPI et décider des escalades critiques.

Cette formalisation crée ce qui manque à beaucoup d'organisations : un point de gouvernance unique où physique et cyber convergent sous le regard de la direction générale.

2. Donner un poids exécutif au RSSI

Évitez que le RSSI reste deux ou trois étages en dessous du PDG. Donnez-lui accès direct au board ou au comité audit/risque. Le soutien de la direction n'est plus souhaitable, il est requis par la loi pour exercer les responsabilités confiées au comité cyber.

Pour les sujets stratégiques, le RSSI rapporte directement au DG ou au comité exécutif, sans passer par une cascade hiérarchique qui ralentit les décisions critiques.

3. Clarifier les rôles et interfaces

Définissez précisément qui fait quoi. Le responsable sûreté physique doit avoir un rôle clairement défini dans cette gouvernance : expertise en sécurité physique et tests de pénétration physiques, identification des zones de convergence.

L'interface critique : RSSI et responsable sûreté se rencontrent bimestriellement pour identifier les zones où sécurité physique et cybersécurité se renforcent ou s'affaiblissent mutuellement—accès physiques menant à compromission cyber, par exemple.

4. Former la direction aux obligations NIS2

Les dirigeants doivent suivre une formation annuelle sur NIS2 : responsabilités personnelles, calendriers de notification (24h pour alerte précoce, 72h pour rapport détaillé selon l'article 23 de la directive), sanctions, rôle du comité cyber. Cela n'est pas suggestion, c'est obligation légale vérifiable lors d'audits.

5. Structurer les audits pour valider la convergence

Votre évaluation de conformité ne peut pas rester 100% IT. L'article 21 de NIS2 impose explicitement que soient mises en place des "mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées" incluant la sécurité physique des infrastructures critiques.

Cela implique que votre comité cyber pilote des tests simultanés : évaluation de la sécurité physique des zones critiques (accès, détection, surveillance), évaluation des systèmes informatiques (vulnérabilités, intrusions), et surtout, validation que ces deux volets convergent réellement.

Document clé : la gouvernance cyber formalisée

Créez votre Charte de Gouvernance Cyber explicitant : structure du comité, responsabilités de chacun (incluant le responsable sûreté physique), calendrier des réunions, processus d'escalade, et lien avec l'Article 20 de NIS2. Cette charte formalise que oui, votre direction approuve les mesures de protection globale.

La difficile courbe d'apprentissage organisationnelle

L'une des réalités souvent cachée : restructurer prend du temps et la mise en œuvre ne suit pas la compréhension. Selon SmartGlobalGovernance 2025, 80% des responsables informatiques sont confiants d'être conformes, mais seulement 50% estiment que leurs équipes comprennent réellement les exigences de NIS2.

Ce décalage—confiance vs. compréhension réelle—est votre plus grand risque. Les équipes croient cocher des cases. La direction pense tout va bien. Mais l'organisation ne fonctionne pas vraiment de façon convergée.

Pour pallier cela, programmez des exercices de crise incluant la direction générale et les équipes opérationnelles. Simulez ensemble une cyberattaque majeure affectant les systèmes critiques combinée à une intrusion physique : qui décide de déconnecter un système ? Comment alerter les clients ? Comment notifier l'ANSSI en 24 heures selon l'article 23 ? Qui dirige la crise ?

Ces simulations changent bien plus que les formations théoriques. Elles forcent l'organisation à se voir elle-même en action et à corriger ses failles de gouvernance en temps réel.

Calendrier de restructuration

T0 (maintenant) : Mettre en place comité cyber informel, clarifier rôles (incluant sûreté physique), planifier évaluation convergente.

T0+3 mois : Formaliser gouvernance par charte, former direction à NIS2, programmer comité régulier.

T0+6 mois : Exercice crise cyber-physique avec direction, lancer évaluation convergente, mettre à jour politique sécurité globale.

Conclusion : la gouvernance n'est pas un obstacle, c'est un atout compétitif

Beaucoup considèrent cette nouvelle gouvernance NIS2 comme administrative et ralentissante. En réalité, c'est l'inverse. Une gouvernance claire où tous les acteurs savent qui décide quoi, où la direction comprend ses responsabilités légales, où protection physique et cybersécurité convergent : vous gagnez en résilience, en réactivité et en efficacité.

Les incidents se traitent plus vite. Les investissements en sécurité se justifient mieux. Les équipes travaillent ensemble plutôt que de s'opposer par silos.

CARINEL accompagne les organisations dans la structuration de cette gouvernance convergente, en particulier sur l'articulation entre sûreté physique et cybersécurité. Pour les aspects techniques cyber, nous nous appuyons sur notre réseau de partenaires experts PASSI pour garantir une évaluation complète et cohérente.

Le soutien explicite de la direction n'est plus une « bonne pratique » souhaitable mais une obligation réglementaire. Acceptez cette transformation, structurez-la correctement, et vous en sortirez avec une organisation plus résiliente qu'avant NIS2.

Pour aller plus loin

Accompagnement CARINEL :

• Diagnostic de votre gouvernance actuelle (Gap Analysis sûreté-cyber)

• Design de comité cyber adapté à votre taille et secteur

• Formation direction aux obligations NIS2

• Mise en place exercices convergents physique-cyber

• Charte formalisée et processus d'escalade

Contactez nos experts : info@carinel.com | 01 89 73 59 06 | RdV expert

Références de l'article

[1] Orange Cyberdefense (2025). "Tout sur NIS2 en 2025". Environ 15 000 à 18 000 entreprises concernées en France, vs 300 sous NIS1.

[2] Directive (UE) 2022/2555. Article 20 (Gouvernance), Article 21 (Mesures de gestion des risques), Article 23 (Notification des incidents).

[3] SmartGlobalGovernance (2025). "Gouvernance de la cybersécurité – NIS 2 responsabilise les dirigeants". 80% des responsables IT confiants vs 50% comprenant réellement les exigences.

[4] Journal du Net (2025). "En responsabilisant les dirigeants, NIS2 redéfinit la culture cyber des entreprises". Sanctions : jusqu'à 10 millions d'euros ou 2% du CA mondial.

[5] Global Security Mag (2024). "NIS2 à l'intention des dirigeants : la sécurité informatique étape par étape". Obligations de formation régulière des organes de direction.

[6] IC Consult (2025). "NIS2 en France : Exigences, entreprises visées et rôle clé de l'IAM". Calendrier de transposition et mise en conformité.

[7] CARINEL (2025). "NIS2 : Pourquoi votre RSSI a besoin de votre directeur sûreté (et vice-versa)". Convergence sécurité physique et cybersécurité.

[8] CARINEL (2025). "Audit de conformité NIS2 par tests de pénétration physiques". Pourquoi les DEUX audits (physique + IT) sont essentiels.

Directive NIS2 : Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant les mesures relatives à des niveaux élevés communs de cybersécurité dans l'Union.