NIS2, Sensibilisation cybersécurité et devoir de diligence

En échangeant avec plusieurs de nos clients sur l’impact de NIS2 en matière de sensibilisation, un certain nombre de constats et de tendances émergent.

Les contenus de sensibilisation spécifiquement NIS2 n’existent pas

En effet, NIS2, ainsi que le RGPD, l’ISO 2700x, ne définit pas de contenus ou de thématiques particulières. Il est simplement stipulé que la sensibilisation des utilisateurs est obligatoire. Les thématiques de base sur lesquelles sensibiliser les utilisateurs sont cependant bien connues (protection de l’information, mot de passe, phishing, ingénierie sociale, codes malveillants, mobilité, etc) auxquelles viennent s’ajouter au fur et à mesure des sujets plus avancés (clickfix, signalement des évènements, shadow IT, quishing, deep fakes, etc). Ces contenus de sensibilisation sont cependant valables quelque soit le référentiel normatif ou règlementaire auquel on se réfère.

Donc par défaut les contenus que vous utilisez déjà sont de fait conformes à NIS2.

Cela n’empêche pas bien entendu de diffuser des supports de vulgarisation sur ce qu’est NIS2 et ce que cela apporte, comme dans cette vidéo : sensibilisation NIS2

Le devoir de diligence

En revanche NIS2 apporte des exigences nouvelles sur ce qu’il convient de faire et sur la façon d’en évaluer le niveau et les résultats obtenus.

NIS2 introduit ce qu’on pourrait appeler un devoir de diligence. Le devoir de diligence repose sur une logique simple : une entité ne peut pas se contenter de faire le minimum, histoire de cocher une case. Elle doit faire ce qu’un acteur raisonnable et prudent ferait dans la même situation.

Appliqué à la sensibilisation, cela peut se résumer à une question : « Avez-vous fait tout ce qu’on pouvait raisonnablement attendre de vous pour que vos collaborateurs adoptent les bons comportements ?« 

Ainsi, L’article 21 parle de mesures « appropriées et proportionnées » pour gérer les risques. Le mot appropriées est clé — il renvoie implicitement à un standard de ce qui se fait, ce qu’un juge ou auditeur interprétera à l’aune des pratiques du secteur.

En cas d’incident cyber ayant causé un préjudice (fuite de données clients, arrêt de service), la question posée par un tribunal sera : « L’entité a-t-elle pris les mesures qu’on pouvait raisonnablement attendre ?« 

Le RGPD comme précédent

La CNIL et ses homologues européens ont déjà sanctionné des organisations non pas parce qu’elles n’avaient rien fait, mais parce que ce qu’elles avaient fait était insuffisant au regard des risques et des pratiques courantes. NIS2 suivra la même logique.

Ainsi, une sensibilisation sans une approche d’amélioration continue ni mesure de résultats sera difficile à défendre.

La fin de la sensibilisation « Tick the box »

Chez Conscio Technologies, au delà des outils mis à disposition de nos clients, nous travaillons sans cesse à obtenir les meilleurs résultats possibles. C’est pouquoi notre mantra est « La sensibilisation c’est bien, les résultats c’est mieux« .

La notion de Benchmark comme étalon de diligence : « Qu’est-ce qu’une organisation comparable fait en matière de sensibilisation ?« 

C’est ce que traduisent les études d’impact, menées à froid, chez nos clients. En 2025, ce sont ainsi plus de 7 000 répondants dont nous avons recueilli les réponses.

Grâce à ces études, nous sommes capables d’identifier les principaux freins à la participation de ceux qui n’ont pas réalisé les campagnes de sensibilisation proposées. Cette information est particulièrement utile pour savoir sur quels leviers agir afin d’améliorer la participation.

Nous recueillons également une série d’indicateurs dont on retrouve, parmi les plus importants :

• Le niveau de satisfaction au regard des supports proposés
• Le niveau de montée en compétence qui indique de combien l’apprenant estime avoir progressé sur les sujets traités
•  La note d’impact individuelle et collective, qui permet à chacun de donner une évaluation de la prise en comptes des bonnes pratiques, pour lui et autour de lui. A ce titre la différence d’appréciation entre ces deux mesures est assez révélatrice.

Au moyen de cette étude, non seulement nos clients ont la possibilité de disposer d’un rapport leur permettant de mesurer le résultat des actions de sensibilisation dans le temps mais aussi de faire exister ce sujet au niveau d’un board.

Ils peuvent enfin comparer leurs résultats vis à vis de celui d’un panel global.

Comment faire progresser ses résultats

Pour améliorer ses résultats, il faut pouvoir compter sur les bons outils et sur les bonnes approches. C’est dans cette optique que Conscio Technologies a conçu sa plateforme, Sensiwave, crée ses contenus, et met au point sa méthodologie.

Cette dernière se matérialise par :

  – une démarche pédagogique basée sur 4 piliers : Interpeller, Expliquer, Appliquer, Réactiver

  – une approche par les minorités actives

  – la sensibilisation impliquante, s’appuyant sur la psychologie de la persuasion et de l’engagement.

Si vous souhaitez aller plus loin sur ces différentes notions, elles font l’objet de plusieurs livres blancs que vous pourrez trouver ici

Pour aller plus loin, n’hésitez pas à rencontrer l’un de nos experts : contact