Gouvernance
[Matinale IT for Business] NIS2, DORA : la résilience cyber ne se décrète plus, elle s’organise
Par Laurent Delattre, publié le 10 juin 2026
La conformité ne suffira pas. Avec NIS2 et DORA, les entreprises doivent démontrer leur capacité à résister, réagir et redémarrer. Une exigence de résilience que la prochaine Matinale IT for Business, ce jeudi 11 juin 2026, abordera notamment à travers les enjeux de gouvernance, de crise et de dépendances numériques. Avec un regard concret sur les équipes, les processus et les responsabilités à mobiliser…
Avec NIS2 et DORA, la cybersécurité européenne change de registre. Elle ne se limite plus à protéger le système d’information contre l’attaque. Elle impose désormais aux organisations de prouver leur capacité à encaisser un incident, à continuer de fonctionner, à alerter vite, à piloter leurs dépendances et à impliquer la direction générale.
C’est tout l’enjeu de la prochaine Matinale IT for Business du 11 juin 2026 : « NIS2, DORA : comment préparer vos équipes à la résilience ? »
De la conformité cyber à la résilience opérationnelle
Le sujet arrive à un moment charnière. Comme nous l’expliquions dans « NIS 2, le chantier n°1 des RSSI pour 2026 », la directive impose aux RSSI un chantier de fond : gouvernance, reporting, gestion des risques, supervision de la supply chain et mise en conformité progressive. Elle oblige surtout les entreprises concernées à sortir d’une approche purement technique de la cybersécurité pour l’inscrire dans un cadre de pilotage plus large, impliquant les directions générales, les métiers, les achats, le juridique et les partenaires. Inventaire des actifs critiques, cartographie des dépendances, procédures de notification, plans de continuité, contrôle des fournisseurs : NIS2 transforme la cyber en sujet d’organisation autant qu’en sujet de défense.
Mais l’incertitude française autour de la transposition complique un peu plus une lecture déjà indigeste, comme le rappelait notre analyse « NIS 2 : un retard qui fragilise notre écosystème numérique ». Pour les DSI et RSSI, l’enjeu n’a de toutes façons jamais été d’attendre la publication d’un texte parfait, mais de préparer dès maintenant les fondations opérationnelles qui permettront de démontrer la conformité, la maîtrise du risque et la capacité de réaction.
DORA, ou la cybersécurité comme discipline de continuité
DORA, lui, pousse plus loin la logique de résilience opérationnelle dans la finance. Le règlement ne demande pas seulement aux banques, assurances, sociétés de paiement, gestionnaires d’actifs ou prestataires critiques de mieux se protéger : il leur impose de démontrer qu’ils savent continuer à fonctionner malgré un incident numérique majeur.
Ses cinq piliers – gestion des risques TIC, déclaration des incidents, tests de résilience opérationnelle, supervision des prestataires tiers et partage d’informations – obligent les acteurs financiers à documenter non seulement leur niveau de sécurité, mais aussi leur capacité à absorber un choc, à restaurer les services essentiels et à maîtriser leurs dépendances technologiques.
Autrement dit, DORA transforme la cybersécurité en discipline de continuité d’activité. Il ne suffit plus d’avoir des pares-feux, des procédures et des contrats : il faut prouver que les scénarios de crise ont été anticipés, que les plans de reprise ont été testés, que les fournisseurs critiques sont suivis, et que les incidents peuvent être qualifiés, remontés et traités dans des délais maîtrisés. Pour ceux qui veulent approfondir le sujet, notre décryptage « Les 5 piliers du règlement DORA et leur impact» revient en détail sur cette bascule réglementaire, particulièrement structurante pour les DSI du secteur financier.
La résilience, nouvel exercice collectif
La vraie question est bien évidemment moins juridique qu’organisationnelle : qui fait quoi, quand, avec quelles preuves, quels plans testés et quels arbitrages métiers ? La réponse ne peut plus venir uniquement du RSSI. Elle engage les achats, le juridique, les métiers, la communication de crise, les prestataires et le Comex. C’est aussi le sens de notre article sur le « risque cyber fournisseurs », où la pression réglementaire pousse les entreprises à mieux formaliser leurs pratiques.
La résilience devient ainsi un langage commun. Elle suppose de mesurer les dépendances, de hiérarchiser les systèmes critiques et de décider ce qui doit être sécurisé, diversifié ou rendu migrable. « L’Indice de résilience numérique » offre justement une grille de lecture utile pour sortir d’une vue cyber comme empilement de contrôles.
La Matinale du 11 juin veut ainsi répondre à une question simple : comment transformer NIS2 et DORA en réflexes opérationnels, plutôt qu’en dossiers de conformité de plus ?
C’est tout l’intérêt de ce rendez-vous : confronter les textes à la réalité des organisations, aux contraintes des équipes IT et sécurité, aux arbitrages métiers et aux retours d’expérience de ceux qui doivent déjà préparer cette bascule.
Entre témoignages de terrain, avis d’experts et regards croisés sur les obligations européennes, cette Matinale doit permettre de clarifier ce qui relève de la conformité, ce qui relève de la gouvernance, et ce qui doit surtout devenir une culture partagée de la résilience.
À LIRE AUSSI :
À LIRE AUSSI :
