NIS2 et cybermenaces : sécuriser avant de déployer l'IA

Vous lancez un projet IA pour gagner du temps. Sans le voir, vous ouvrez aussi une porte. Chaque connecteur vers vos données élargit la zone que des attaquants peuvent viser. Chaque agent qui lit vos documents internes aussi. Chaque API branchée sur un modèle également. Et pendant que vous regardez le gain de productivité, la directive NIS2 vient de poser une nouvelle règle. En cas de manquement à la cybersécurité, c'est votre responsabilité personnelle de dirigeant qui est engagée.

Pourquoi l'IA élargit votre surface d'attaque

Un projet IA n'est pas un logiciel isolé. Pour être utile, il doit toucher vos données : factures, contrats, fiches clients, messageries, bases métier. C'est exactement ce qui le rend exposé.

Trois mécanismes augmentent le risque, et ils sont rarement anticipés dans le budget initial.

• De nouveaux points d'entrée. Chaque connecteur, chaque clé d'API, chaque agent autonome est une porte de plus. Une porte mal fermée suffit.
• Des données qui sortent de leur périmètre. Un assistant qui lit vos documents internes peut, mal configuré, exposer des informations confidentielles à un prestataire externe ou dans un journal de logs.
• Des comportements imprévisibles. Un modèle peut être manipulé par une instruction cachée dans un document qu'il traite. Ce type d'attaque n'existait pas dans votre cartographie des risques il y a deux ans.

Le problème n'est pas l'IA en soi. C'est de la déployer sans avoir mis à jour votre posture de sécurité au même moment. Vous ajoutez de la valeur d'un côté et du risque de l'autre, et seul le premier est mesuré.

Ce que NIS2 change vraiment pour vous

La directive NIS2 (texte européen 2022/2555) remplace la première directive NIS de 2016. Regardez l'échelle. En France, le périmètre passe d'environ 500 entités réparties sur 6 secteurs à près de 15 000 entreprises sur 18 secteurs : énergie, transports, santé, banque, eau, numérique, agroalimentaire, fabrication, services publics, et d'autres.

Deux catégories structurent le dispositif.

Si votre entreprise dépasse ces seuils dans un secteur couvert, vous serez très probablement concerné. Et même si vous ne l'êtes pas directement, vos clients qui le sont vous demanderont des garanties, car NIS2 impose aussi de sécuriser la chaîne d'approvisionnement, donc vos fournisseurs.

La responsabilité du dirigeant n'est plus déléguable

C'est le point que beaucoup de dirigeants découvrent trop tard. NIS2 ne s'arrête pas à des obligations techniques pour la DSI. L'article 20 de la directive vise directement l'organe de direction.

Concrètement, trois obligations pèsent sur vous personnellement.

• Approuver les mesures de gestion des risques cyber. Vous ne pouvez plus signer un budget sécurité sans en comprendre le contenu.
• Vous former. La directive impose une formation des membres de la direction, pas seulement des équipes techniques.
• Superviser la mise en œuvre, et en répondre. L'organe de direction peut être tenu responsable des manquements de l'entité.

La directive va plus loin. Son article 32 prévoit, pour les entités essentielles, la possibilité de suspendre temporairement une personne physique de ses fonctions dirigeantes en cas de manquement grave persistant. La sécurité quitte le domaine purement technique pour devenir un sujet de gouvernance, au même niveau que la conformité financière.

Où en est la transposition en France

Voici le fait qu'il faut connaître pour ne pas se tromper de calendrier : à ce jour, NIS2 n'est pas encore transposée en droit français.

La directive devait être transposée avant le 17 octobre 2024. La France a pris du retard. Le véhicule légal est le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (dit loi Résilience), qui transpose en même temps trois textes européens (REC, NIS2 et DORA).

Son parcours, à fin mai 2026 :

• Adopté par le Sénat le 12 mars 2025.
• Déposé à l'Assemblée nationale le 13 mars 2025, examiné en commission spéciale (rapport déposé le 10 septembre 2025, plus de 500 amendements).
• Examen en séance publique attendu courant 2026, promulgation espérée ensuite, suivie des décrets d'application.

Cela n'autorise aucune passivité, pour une raison simple. La sécurisation d'un système d'information prend des mois, parfois plus d'un an. Si vous attendez la promulgation pour commencer, vous serez en retard le jour où les obligations deviennent contraignantes. L'ANSSI a d'ailleurs ouvert l'espace MonEspaceNIS2 pour permettre aux entreprises de s'auto-évaluer dès maintenant, avant l'entrée en vigueur.

La sécurité se traite avant le déploiement, pas après

L'erreur la plus coûteuse consiste à séparer le projet IA et le projet sécurité, comme deux chantiers distincts gérés par deux équipes à deux moments différents. C'est faux. Un déploiement IA est un changement de votre exposition au risque. Le traiter après coup revient à installer une alarme une fois le cambriolage commis.

Sécuriser avant et pendant veut dire quelques décisions concrètes, prises au moment du cadrage.

• Cartographier les données que l'IA va toucher, et décider lesquelles n'ont rien à faire dans le projet.
• Limiter les accès de chaque agent au strict nécessaire, plutôt que de tout ouvrir par défaut.
• Choisir où vivent vos données : modèle hébergé en Europe, traitement local, anonymisation en amont.
• Tracer et journaliser les actions de l'IA pour pouvoir détecter un comportement anormal et le prouver.

Aucune de ces décisions n'est purement technique. Toutes engagent le dirigeant, et toutes coûtent beaucoup moins cher prises au départ que reprises après un incident ou un contrôle.

Comment SolidScale traite la sécurité dans la méthode S3

La sécurité n'est pas un module optionnel ajouté à la fin. Dans la méthode Scan, Solve, Scale, elle fait partie du cadrage dès la première conversation.

Scan : l'audit gratuit de 30 minutes ne demande pas seulement quel processus automatiser. Il demande quelles données le projet va toucher et quel est votre niveau d'exposition réglementaire, NIS2 inclus. Un projet IA qui ouvre un accès large à des données sensibles sans contrepartie de sécurité, c'est un signal d'alerte, et mieux vaut le voir avant d'écrire la moindre ligne de code.

Solve : la sécurité est intégrée à la conception, pas ajoutée après. Accès limités, données cloisonnées, hébergement choisi en connaissance de cause, journalisation des actions. Le sprint de 4 à 8 semaines livre un outil utilisable et défendable, pas un prototype qu'il faudra sécuriser plus tard.

Scale : passer à l'échelle multiplie les points d'entrée. Le suivi continu inclut donc une revue de l'exposition à chaque extension de périmètre. On n'élargit pas l'usage de l'IA sans réévaluer le risque qui vient avec.

Ce qu'il faut retenir

La cybersécurité et l'IA ne sont pas deux sujets séparés. Déployer l'IA sans sécuriser, c'est ajouter du risque mesuré au gain mesuré.

• Tout projet IA élargit la surface d'attaque : nouveaux accès, données déplacées, comportements manipulables.
• NIS2 fait passer la France de 500 à près de 15 000 entreprises concernées, et engage la responsabilité personnelle du dirigeant.
• La directive n'est pas encore transposée en France, mais la sécurisation prend des mois : commencer maintenant n'est pas optionnel.
• La sécurité se décide au cadrage, pas après le premier incident.

L'action concrète tient en une phrase : avant d'ouvrir vos données à l'IA, sachez exactement ce que le projet expose et qui en répond.

Questions fréquentes

Mon entreprise est-elle concernée par NIS2 ?

Probablement si vous dépassez 50 salariés ou 10 millions d'euros de chiffre d'affaires dans l'un des 18 secteurs couverts (énergie, santé, transports, numérique, agroalimentaire, banque, et autres). Même hors périmètre, vos clients concernés vous demanderont des garanties, car NIS2 vise aussi la chaîne d'approvisionnement.

NIS2 est-elle déjà applicable en France ?

Pas encore. La directive devait être transposée avant le 17 octobre 2024, mais la loi Résilience qui la transpose n'est pas promulguée à fin mai 2026. Attendre la promulgation pour agir est risqué, car sécuriser un système d'information prend plusieurs mois.

En quoi un projet IA augmente-t-il le risque cyber ?

Pour être utile, l'IA accède à vos données et se connecte à vos systèmes. Chaque accès est un point d'entrée potentiel, chaque donnée déplacée un risque de fuite, et un modèle peut être manipulé par une instruction cachée. La surface d'attaque grandit avec chaque connecteur ajouté.

Le dirigeant est-il vraiment responsable personnellement ?

Oui. L'article 20 de NIS2 impose à l'organe de direction d'approuver les mesures de sécurité, de se former et d'en superviser la mise en œuvre. Il peut être tenu responsable des manquements, et l'article 32 prévoit même une suspension temporaire de fonctions en cas de manquement grave persistant pour les entités essentielles.

Sources

• ANSSI, La directive NIS 2, cyber.gouv.fr/reglementation/cybersecurite-systemes-dinformation/directives-nis-nis2-et-dispositif-saiv/directive-nis-2
• Union européenne, Directive (UE) 2022/2555 (NIS 2), articles 20, 21 et 32, eur-lex.europa.eu
• Assemblée nationale, Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, assemblee-nationale.fr/dyn/17/dossiers/DLR5L17N50731
• Sénat, Projet de loi résilience des infrastructures critiques et cybersécurité (adopté le 12 mars 2025), senat.fr