Le dernier rapport de l’Agence européenne pour la cybersécurité (ENISA) arrive dans un contexte où la directive NIS2 est en cours de transposition dans le droit français. Entre juillet 2024 et juin 2025, l’ENISA a analysé près de 4 900 incidents, révélant que les secteurs identifiés comme critiques par NIS2 sont précisément les plus ciblés, confirmant la pertinence de cette approche réglementaire.
Le phishing reste le vecteur d’intrusion privilégié (60% des cas), suivi par l’exploitation de vulnérabilités (21,3%). Les attaques DDoS représentent 76,7% des incidents, principalement orchestrées par des groupes hacktivistes, tandis que les intrusions (17,8%) sont dominées par des acteurs cybercriminels déployant des rançongiciels.
Pour les PME et ETI françaises qui seront désignées comme entités essentielles ou importantes sous NIS2, le rapport ENISA met en lumière l’urgence de se préparer aux nouvelles obligations réglementaires. La France n’a pas encore finalisé la transposition de la directive – le projet de loi a été adopté par le Sénat le 12 mars 2025 avec quelques amendements.
Le secteur manufacturier, largement composé de PME/ETI et nouvellement couvert par NIS2, est particulièrement ciblé par les rançongiciels comme Akira (48,7%), Qilin (20,5%) et FOG (10,3%). La future obligation de signalement des incidents sous 24 heures représente un défi majeur pour ces structures aux ressources limitées.
Les attaques sur la chaîne d’approvisionnement numérique représentent un risque majeur pour ces entreprises qui devront évaluer la sécurité de leurs fournisseurs conformément à NIS2. L’augmentation de 25% des secrets détectés dans les dépôts entre 2023 et 2024 illustre cette vulnérabilité croissante que la directive cherche à adresser.
Pour les grandes entreprises françaises, souvent destinées à être désignées comme entités essentielles sous NIS2, le rapport ENISA souligne l’ampleur des responsabilités qui leur incomberont. Le cyberespionnage étatique ciblant les infrastructures critiques justifie les exigences strictes que NIS2 imposera en matière de gouvernance de la cybersécurité au plus haut niveau.
Les futures obligations concernant la supervision de la chaîne d’approvisionnement prennent tout leur sens à la lumière des incidents documentés par l’ENISA, comme la compromission de Plus Service qui a paralysé plusieurs systèmes de transport en Italie. Ces attaques démontrent comment la sécurité d’un secteur entier peut être compromise par un seul fournisseur vulnérable.
La Commission européenne a envoyé un avis motivé à la France le 7 mai 2025 pour défaut de notification des mesures de transposition de la directive NIS2, ce qui souligne le retard pris par la France dans la mise en œuvre de ce cadre réglementaire essentiel face aux menaces actuelles.
La position singulière de la France dans le paysage européen des menaces cyber renforce l’urgence d’une transposition rapide de NIS2. Premier pays ciblé par les attaques DDoS en Europe (27% des incidents visant l’administration publique), la France bénéficierait de l’établissement de standards communs et de la coopération renforcée entre États membres prévue par la directive.
Alors que certains États membres comme Malte ont déjà transposé la directive (le 8 avril 2025), la France accuse un retard qui pourrait fragiliser ses organisations face aux menaces identifiées par l’ENISA. Le rapport révèle que 11% des incidents à impact significatif signalés sous la directive NIS concernaient le secteur financier, et 12% le secteur des transports, deux domaines où la France possède des acteurs majeurs.
La convergence croissante entre groupes hacktivistes, cybercriminels et acteurs étatiques soulignée par l’ENISA renforce la nécessité d’une approche globale de la cybersécurité, alignée sur les principes de NIS2. Les entreprises françaises ne peuvent se permettre d’attendre la transposition complète pour commencer à aligner leurs pratiques sur les exigences de cette directive, d’autant que les États membres étaient tenus de la transposer dans leur droit national avant le 17 octobre 2024.
Face à ce paysage de menaces en constante évolution, NIS2 offrira un cadre structurant pour les entreprises françaises, mais son efficacité dépendra de la rapidité avec laquelle la France finalisera sa transposition et de la capacité des organisations à anticiper ces nouvelles exigences réglementaires.
Sources:
Introduction L'adoption croissante des technologies d'intelligence artificielle dans le secteur de la santé offre des…
La révolution IA dans le secteur de la santé : nouveaux défis de cybersécurité La…
En tant que PME sous-traitante de grands groupes, vous connaissez trop bien ce scénario :…
Votre entreprise vient de subir une cyberattaque. Dans le feu de l'action, vous avez mobilisé…
"Mais concrètement, à quoi sert un scanner de vulnérabilité pour une entreprise comme la nôtre?"…
Depuis septembre 2025, une attaque wormable sans précédent frappe l’écosystème npm : des paquets très…
This website uses cookies.