NIS2 remet l’analyse de risque au centre du jeu. Mais que représente-t-elle vraiment ?

L’analyse de risque n’est pas un document à produire pour satisfaire une obligation réglementaire. Mais un outil concret pour comprendre son exposition numérique, faire des choix éclairés et renforcer la résilience de l’organisation. Explications d’Axel Legay.  

L’analyse de risque est souvent perçue comme un exercice technique, complexe, presque réservé aux spécialistes. En réalité, elle commence par une question très simple : qu’est-ce qui est vraiment critique pour mon activité, et qu’est-ce qui pourrait l’empêcher de fonctionner normalement ? « Il ne s’agit pas de tout prévoir ni de viser le risque zéro, mais de comprendre ce qui compte réellement et d’anticiper ce qui pourrait avoir un impact significatif », commente Axel Legay, expert en IA et en cybersécurité.

Avec NIS2, cette démarche n’est pas réinventée. Elle est remise au centre du jeu. La directive rappelle que la cybersécurité ne peut pas se limiter à des outils ou à des obligations formelles, mais qu’elle doit s’appuyer sur une compréhension claire des risques, de leurs causes et de leurs conséquences.

Ce que NIS2 attend, sans complexité inutile

Dans le cadre de NIS2, l’analyse de risque constitue le socle de la gestion de la cybersécurité. Les organisations concernées doivent identifier les risques liés à leurs réseaux et systèmes d’information et mettre en place des mesures adaptées. La directive n’impose ni méthode standard, ni modèle unique. Elle repose sur une obligation de moyens, pas sur une obligation de résultat.

« Cela signifie qu’une organisation peut accepter certains risques, à condition de pouvoir expliquer pourquoi. L’objectif n’est pas d’éliminer toute exposition, mais de démontrer que les choix ont été faits de manière consciente, proportionnée et alignée avec la réalité de l’activité. » 

Comment commencer concrètement : identifier ce qui compte vraiment

Dans la pratique, tout commence par une étape souvent sous-estimée : l’identification des assets. Un asset n’est pas uniquement un serveur ou un logiciel. C’est tout ce dont l’activité dépend réellement, explique Axel Legay. « Pour une PME, il s’agit souvent de quelques éléments clés : un outil de facturation, une base de données clients, un système de production, un prestataire cloud, ou parfois même une seule personne qui détient une compétence critique. »

Cette première étape est essentielle, car elle permet de sortir d’une vision abstraite de la cybersécurité. Une fois ces assets identifiés, la question devient très concrète : « que se passe-t-il si cet élément n’est plus disponible, même temporairement ? » Dans de nombreux cas, les organisations découvrent que leur dépendance est plus forte qu’elles ne l’imaginaient.

Identifier les vulnérabilités sans chercher la perfection

La deuxième étape consiste à identifier les vulnérabilités, au sens large. Là encore, il ne s’agit pas uniquement de failles techniques. Une absence de sauvegarde testée, une dépendance à un fournisseur unique, des accès mal maîtrisés ou une procédure connue de trop peu de personnes sont autant de vulnérabilités réelles.

« Pour une PME, cet exercice est souvent rassurant plutôt qu’inquiétant. Il permet de distinguer ce qui relève d’un risque majeur de ce qui constitue un inconfort acceptable. Une vulnérabilité n’est pas forcément un problème à corriger immédiatement ; elle devient un sujet à traiter lorsqu’elle concerne un asset critique et qu’elle expose l’organisation à un impact significatif. »

Choisir les risques à traiter… et ceux qu’on accepte

Tous les risques ne se valent pas, et tous ne justifient pas le même niveau d’effort. Prenons l’exemple d’une PME industrielle. Une indisponibilité temporaire du site web institutionnel est rarement critique. En revanche, une panne du système de production ou de gestion des commandes peut avoir un impact immédiat sur le chiffre d’affaires et la relation client. Le premier risque peut être accepté, le second doit être prioritairement traité.

Même logique pour une PME de services utilisant une solution cloud pour la facturation ou la relation client. Une interruption de quelques heures peut être tolérée si des solutions temporaires existent. En revanche, la perte ou l’altération des données clients est généralement inacceptable. « L’analyse de risque permet précisément de formaliser ces arbitrages et de les rendre explicites, ce qui est pleinement conforme à l’esprit de NIS2. »

Le lien naturel avec la continuité et la résilience

L’analyse de risque ne s’arrête pas à l’identification des problèmes, précise encore Axel Legay ; elle alimente directement les plans de continuité et de résilience. « En identifiant les assets critiques et les impacts acceptables, l’organisation peut définir des scénarios réalistes : combien de temps une activité peut-elle être interrompue, quelles fonctions doivent repartir en priorité, et quelles solutions de secours sont réellement opérationnelles. »

Pour une PME, ces réflexions sont souvent bien plus utiles que des dispositifs techniques complexes. Une sauvegarde régulièrement testée, une procédure claire en cas d’indisponibilité ou une organisation minimale des accès peuvent suffire à transformer un incident sérieux en situation maîtrisable.

Une démarche de gouvernance, pas seulement technique

NIS2 insiste sur un point fondamental : l’analyse de risque ne relève pas uniquement de la technique. Elle concerne la gouvernance. Les dirigeants sont appelés à comprendre les risques majeurs, à valider les priorités et à accepter certains risques résiduels de manière assumée. Il ne s’agit pas de maîtriser les détails techniques, mais de comprendre les conséquences possibles et les choix réalisés.

L’analyse de risque n’est pas un document à produire pour satisfaire une obligation réglementaire. C’est un outil concret, assure Axel Legay. « L’analyse de risque permet de comprendre son exposition numérique, faire des choix éclairés et renforcer la résilience de l’organisation. NIS2 ne demande pas aux entreprises d’être parfaites ; elle leur demande d’être lucides, cohérentes et capables d’expliquer leurs décisions. »

Commencer, c’est souvent plus simple qu’il n’y paraît : identifier ce qui est essentiel, reconnaître ses dépendances, accepter certaines vulnérabilités et décider ce qui mérite réellement d’être protégé. Pour une PME, cette démarche permet de reprendre la main sur le numérique, plutôt que de le subir.