Gouvernance
Walter Peretti (ESILV) : « Ne laissez pas le DSI tout seul gérer ça, ça ne va pas le faire »
Par Laurent Delattre, publié le 17 juillet 2026
DORA s’applique déjà, NIS2 se fait attendre, et la résilience déborde très largement la salle machine. En ouverture de la Matinale IT for Business du 11 juin 2026 consacrée à la préparation des équipes à l’ère NIS2-DORA, Walter Peretti, responsable du Campus Cyber de l’ESILV, replace les deux textes dans leur vraie perspective : une réponse de l’Europe à un risque devenu systémique, qui oblige les DSI à monter en régime… mais jamais seuls. Morceaux choisis, en attendant le replay.
En ouverture de la Matinale IT for Business du 11 juin 2026, « NIS2, DORA : comment préparer vos équipes à la résilience ? », nous recevions un observateur posté au carrefour de la formation et de l’écosystème cyber français.
Enseignant de l’ESILV, l’école d’ingénieurs généraliste du pôle Léonard de Vinci fondée en 1995 à Paris-La Défense, Walter Peretti y est responsable du Campus Cyber. Il a contribué à monter le MSc Cyber Resilience & Crisis Leadership et anime, tout au long de l’année, des ateliers de sensibilisation aux évolutions réglementaires.
Son premier réflexe ? Reposer le contexte.
Une réponse européenne à un risque systémique
« DORA est un règlement, NIS2 c’est une directive. Ça se veut être une réponse de l’Europe à un risque systémique », cadre d’emblée Walter Peretti. Le premier verrouille la sphère financière depuis janvier 2025. La seconde étend la logique des opérateurs d’importance vitale à un périmètre beaucoup plus large, dix-huit secteurs critiques en tout. Deux natures juridiques, une même ambition : contraindre les organisations, et pas seulement leurs DSI, à monter en régime.
Côté français, le calendrier reste le maillon faible. La transposition de NIS2 a été regroupée avec la directive REC sur les entités critiques et les adaptations liées à DORA dans un texte unique, le projet de loi Résilience, adopté par le Sénat en mars 2025. Au moment de l’enregistrement, Walter Peretti espérait encore un vote à l’Assemblée nationale « idéalement au mois de juillet ». « Un sujet qu’il faudra suivre de très près », glissait Alessandro Ciolek. Bien vu.
NDLR — L’actualité a depuis tranché : le texte ne figure pas à l’ordre du jour de la session extraordinaire de juillet et son examen glisse vers la rentrée, au plus tôt en septembre. Entre-temps, la Commission européenne a saisi, le 8 juillet, la Cour de justice de l’Union européenne contre la France pour défaut de transposition de NIS2, sanctions financières à la clé. Un feuilleton législatif que nous décryptions dans « NIS 2 : un retard qui fragilise notre écosystème numérique ».
« Il faut protéger la DSI, il faut protéger l’organisation »
Faut-il y voir une révolution pour les DSI ? Oui et non, répond l’intéressé. Les plans de continuité informatique existent de longue date. Mais un plan de continuité d’activité dépasse, lui, très largement l’informatique. D’où ce qu’il annonce comme son fil rouge : « Je suis désolé, ça va être mon leitmotiv de la matinée. Mais ne laissez pas le DSI tout seul gérer ça, ça ne va pas le faire. »
La raison tient en deux phrases : « La part de l’informatique aujourd’hui dans l’activité d’une organisation, elle est devenue fondamentale et centrale. Si elle tombe, tout va tomber. »
Autour du DSI, Walter Peretti convoque le RSSI pour les aspects techniques, le responsable du plan de continuité d’activité quand il existe, les gestionnaires de risques. Et surtout le sommet de l’entreprise. Il en veut pour preuve l’ISO 27001, qui s’ouvre par un chapitre entier sur le sujet : « On ne peut pas être certifié ISO 27001 s’il n’y a pas de leadership avéré dans l’organisation. Et le leadership, c’est le top level. »
Un chantier de gouvernance que nous détaillions dans « NIS 2, le chantier n°1 des RSSI pour 2026 ».
L’enseignant retrace aussi l’histoire d’une dilution : la sécurité fut d’abord une affaire de réseau, puis de postes de travail et de mots de passe. Elle se joue désormais dans la poche de chaque salarié, smartphone connecté au SI et selfies postés depuis les locaux compris. « On est resté longtemps dans l’idée de “l’organisation me protège, la DSI me protège”. Aujourd’hui, il faut protéger la DSI, il faut protéger l’organisation. »
Exercices de crise : du baptême au réflexe métier
DORA impose des exercices de gestion de crise à certaines entités, dans le prolongement de ses cinq piliers que nous avons déjà décortiqués ici. À quoi ressemble un bon exercice ? Walter Peretti distingue trois étages. L’exercice « baptême » d’abord, destiné à la cellule décisionnelle, qui « a pour vocation souvent de réveiller la direction sur “attention, une crise, ça se prépare” ». Viennent ensuite des équipes de crise identifiées, qui s’entraînent tout au long de l’année. Puis la déclinaison en exercices métier localisés : « Par exemple, pour la compta, qu’est-ce qui se passe ? On prend notre plan de continuité d’activité, on le met en œuvre. »
Et de prévenir : « En situation de stress, le jour J, si ça arrive, désolé, s’il n’y a pas d’entraînement régulier, c’est très compliqué. »
Un terrain que l’ESILV pratique au-delà des amphis : l’école était partenaire de REMPAR25, l’exercice national de gestion de crise cyber orchestré par l’ANSSI.
Convaincre le COMEX sans l’angoisser
Pour se préparer à NIS2, pas besoin d’attendre le législateur : les guides de bonnes pratiques de l’ANSSI existent déjà, et l’ISO 27001 permet de couvrir « pas mal de la surface de la réglementation ». « Si on converge déjà vers la conformité avec ces guides-là, ça devrait aller », rassure l’expert. La vraie surprise concernera les entités jusqu’ici étrangères à la démarche, tentées de réduire l’affaire à un coût d’entrée, « des questions d’ordre comptable, alors qu’en fait, ce devraient être des questions d’ordre organisationnel ».
Walter Peretti ose d’ailleurs un parallèle avec l’autre grand chantier du moment : « Aujourd’hui, faire un projet d’intelligence artificielle sans repenser les process d’entreprise, c’est quasiment suicidaire. »
Même logique pour la résilience. Dans les deux cas, il faut repenser l’organisation, et les deux transformations gagneraient à converger, la démarche de résilience devenant « inclue, écrite, visible dans les process d’entreprise ».
Reste à embarquer le COMEX, et à débloquer les budgets. Sans jouer sur la peur : « On ne peut pas dire ça à un COMEX, parce qu’un COMEX, il ne faut pas le rendre anxieux. »
Plutôt inscrire la résilience dans une transformation stratégique de l’entreprise, menée sur le temps long.
Faute de quoi, « si c’est une vision de conformité, ça durera ce que ça durera ». Avec, au bout, un vrai retour sur investissement : « Se dire qu’on va se construire une résilience sur le long terme, là où d’autres vont tomber, et que nous, on va tenir plus longtemps, parce qu’on aura pris le temps. »
Une grille de lecture que prolonge utilement le fameux Indice de résilience numérique, pensé pour gouverner ses dépendances.
Un témoignage qui donnait ainsi le ton d’une matinée dense sur laquelle nous reviendrons dans les prochaines semaines pour analyser les retours d’expérience et les échanges croisés qui ont éclairé un sujet finalement aussi complexe qu’essentiel.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
