L’automne 2025 marque l’entrée en phase opérationnelle de deux directives européennes majeures. La directive NIS2 élargit considérablement le périmètre des organisations soumises à des obligations de cybersécurité : santé, eau, transports, alimentation, espace, administration publique et services numériques sont désormais concernés. En France, l’ANSSI lance en novembre un service de pré-enregistrement pour les ~15 000 entités concernées, avec des obligations de notification des incidents sous 24h, des audits réguliers et une gouvernance de la sécurité au niveau de la direction.
Parallèlement, le secteur financier doit se conformer à DORA (Digital Operational Resilience Act), qui impose aux banques, assurances et infrastructures de marché des obligations précises : tests de pénétration annuels (TLPT — Threat Led Penetration Testing), plans de continuité numérique testés, supervision contractuelle des prestataires IT tiers, et registres des incidents.
Le paradoxe conformité/sécurité : Les attaques massives de 2025 — JLR, M&S, Police Nationale, Service-public.fr — montrent que des organisations formellement conformes peuvent rester profondément vulnérables. Le vecteur commun est quasi-systématiquement humain et organisationnel : prestataires tiers peu sécurisés, helpdesks manipulés par ingénierie sociale, mots de passe recyclés, accès non révoqués. La conformité sur le papier ne remplace pas la culture de sécurité opérationnelle au quotidien.
Les experts de l’ANSSI insistent sur les priorités concrètes pour 2026 : cartographier rigoureusement tous les prestataires numériques et leurs niveaux d’accès ; déployer la MFA (authentification multi-facteurs) sur 100% des accès critiques ; former les équipes de helpdesk à résister à l’ingénierie sociale ; et tester régulièrement les plans de continuité via des simulations d’incident réalistes plutôt que des exercices de conformité purement documentaires.