Gestion des incidents de grande ampleur et des crises sous NIS2

Comprendre les exigences des articles 9 et 16 de NIS2 pour les incidents de cybersécurité de grande ampleur. Découvrez les cadres nationaux de crise et la coordination EU-CyCLONe.

Daniel Grigorovich
Daniel Grigorovich
Fondateur · 5 Jun 2026 · 11 min de lecture
NIS2
Gestion des incidents de grande ampleur et des crises sous NIS2

Qui devrait lire ceci : responsables de gestion de crise, responsables nationaux de la cybersécurité, directeurs des risques, opérateurs d’infrastructures critiques.

Le paysage de la cybersécurité comprend non seulement les incidents de routine que les organisations doivent détecter et auxquels elles doivent répondre, mais aussi les crises de grande ampleur qui transcendent les organisations individuelles et exigent une réponse coordonnée à travers des secteurs entiers et des frontières nationales. NIS2 reconnaît cette réalité et établit des cadres complets pour gérer les incidents et les crises de cybersécurité de grande ampleur. Les articles 9 et 16 créent des structures institutionnelles (les autorités nationales de gestion des crises cyber et le réseau européen d’organisations de liaison pour les crises cyber, EU-CyCLONe) conçues pour garantir que, lorsque des incidents majeurs surviennent, la réponse est coordonnée, efficace et proportionnée à l’ampleur de la menace.

Les incidents de grande ampleur sont fondamentalement différents des événements de sécurité ordinaires. Un incident ordinaire peut affecter les systèmes ou services d’une seule organisation et être géré par les procédures de réponse aux incidents de cette organisation. Un incident de grande ampleur affecte plusieurs entités essentielles, traverse les frontières sectorielles et nationales, et menace la continuité de services critiques à une échelle qui exige une coordination au niveau gouvernemental. Si un acteur de menace sophistiqué compromettait simultanément les systèmes de planification chirurgicale de plusieurs hôpitaux européens, ce serait un incident de grande ampleur. Si une vulnérabilité dans une infrastructure critique de télécommunications affectait les réseaux à travers plusieurs États membres, ce serait un incident de grande ampleur. Ces scénarios nécessitent des réponses qui dépassent la capacité de toute organisation individuelle.

Cadres nationaux de gestion des crises cyber

L’article 9 exige que chaque État membre établisse un cadre national de gestion des crises cyber. Ce cadre est le fondement de la réponse aux crises. Il commence par la désignation ou l’établissement d’une ou plusieurs autorités compétentes responsables de la gestion des incidents et crises de cybersécurité de grande ampleur. Ces autorités de gestion des crises cyber ont plusieurs responsabilités clés.

Premièrement, elles doivent disposer de ressources adéquates pour s’acquitter efficacement de leurs tâches. Ce n’est pas un langage vague ; cela signifie un personnel, un budget, une capacité technique et une autorité proportionnés à la mission de gestion des incidents de cybersécurité à l’échelle nationale. Un État membre ne peut pas gérer adéquatement les crises de cybersécurité de grande ampleur avec une petite équipe et un budget minimal. Cette obligation reconnaît que la gestion des crises est une fonction exigeante nécessitant un investissement soutenu.

Deuxièmement, elles doivent assurer la cohérence avec les cadres existants pour la gestion générale des crises nationales. Les incidents de cybersécurité, en particulier à grande ampleur, ne se produisent pas isolément des autres crises. Une attaque par rançongiciel sur des hôpitaux peut survenir pendant une pandémie. Une compromission des systèmes de gestion du réseau électrique peut survenir lors d’événements climatiques extrêmes. Le cadre national de gestion des crises cyber doit s’intégrer aux mécanismes existants de gestion des urgences nationales et de coordination de la réponse gouvernementale.

L’article 9(2) exige que, si un État membre établit plus d’une autorité de gestion des crises cyber (un scénario réaliste dans les États membres plus grands où plusieurs agences peuvent avoir des responsabilités pertinentes), l’État membre désigne clairement laquelle de ces autorités sert de coordinateur. Cela garantit qu’il existe un seul leader identifié pour la réponse aux crises, prévenant la confusion ou la duplication des efforts pendant une crise où la coordination est critique.

L’article 9(3) exige que chaque État membre identifie les capacités, actifs et procédures pouvant être déployés en cas de crise. C’est essentiellement un audit des capacités et un exercice de planification. Quelles agences gouvernementales disposent d’experts en cybersécurité ? Quels opérateurs d’infrastructures critiques disposent de ressources de réponse mobilisables pour une réponse coordonnée par le gouvernement ? Quelle infrastructure technique existe pour soutenir la coordination de crise ? Cet inventaire doit être en place avant qu’une crise ne survienne ; il n’y a pas de temps pour le créer pendant.

L’article 9(4) exige l’adoption d’un plan national de réponse aux incidents et crises de cybersécurité de grande ampleur. Ce plan doit inclure plusieurs éléments :

  • Objectifs de la préparation nationale : que cherche à accomplir la nation en matière de prévention et de préparation aux crises de cybersécurité de grande ampleur ?
  • Tâches et responsabilités des autorités de gestion des crises cyber : quelle autorité fait quoi, qui décide d’activer les procédures de crise et quelle chaîne de commandement s’applique pendant une crise ?
  • Procédures de gestion des crises de cybersécurité, y compris la manière dont elles s’intègrent à la gestion générale des crises nationales et les canaux d’échange d’information existant pour la communication de crise.
  • Mesures nationales de préparation, y compris exercices et formations. Se préparer à une crise signifie tester votre réponse avant d’en affronter une vraie. Les États membres doivent mener des exercices pour tester si leurs procédures de coordination de crise fonctionnent réellement, et la formation garantit que le personnel désigné connaît ses rôles et responsabilités avant qu’une crise ne l’oblige à les exécuter.
  • Parties prenantes et infrastructures publiques et privées impliquées. Les crises de cybersécurité de grande ampleur ne peuvent pas être gérées par le gouvernement seul. Les opérateurs d’infrastructures critiques, les fournisseurs de télécommunications et les fournisseurs de services essentiels doivent être coordonnés. Le plan doit identifier ces parties prenantes et décrire comment elles sont engagées.
  • Procédures et arrangements nationaux pour assurer la participation effective de l’État membre à la gestion coordonnée des incidents de grande ampleur au niveau de l’Union, coordonnée via EU-CyCLONe et le réseau CSIRT.

EU-CyCLONe : coordonner la réponse aux crises à travers l’Europe

L’article 16 établit EU-CyCLONe, le réseau européen d’organisations de liaison pour les crises cyber. Ce n’est pas une équipe opérationnelle de réponse aux crises ; c’est un mécanisme de coordination par lequel les États membres gèrent les incidents de grande ampleur qui affectent plusieurs pays.

EU-CyCLONe est composé de représentants des autorités de gestion des crises cyber des États membres et, lorsqu’un incident de grande ampleur survient avec un impact potentiel significatif sur les entités essentielles et importantes, de représentants de la Commission. Lorsqu’aucune crise en cours n’affecte le champ d’application de la directive, la Commission participe en tant qu’observateur plutôt qu’en tant que membre à part entière. L’ENISA (l’Agence de l’UE pour la cybersécurité) assure le secrétariat et soutient l’échange sécurisé d’informations.

L’objectif opérationnel d’EU-CyCLONe est de soutenir la gestion coordonnée des incidents et crises de cybersécurité de grande ampleur au niveau opérationnel et d’assurer un échange régulier d’informations pertinentes entre les États membres et les institutions de l’Union. C’est un travail exigeant. Lorsqu’un incident affecte plusieurs États membres, EU-CyCLONe fournit le forum par lequel les États membres partagent l’information, coordonnent la réponse et veillent à ce que les actions prises par un État membre ne sapent pas celles d’un autre.

L’article 16(3) énonce les tâches spécifiques d’EU-CyCLONe :

  • Coordonner la réponse aux incidents et crises de cybersécurité de grande ampleur, y compris déterminer les mesures nécessaires pour traiter l’incident et la manière dont les efforts de réponse sont répartis entre les États membres.
  • Échanger des informations entre les États membres et avec les institutions pertinentes de l’UE sur les incidents de grande ampleur, y compris des évaluations de la portée et de l’impact de l’incident.
  • Faciliter le soutien et l’assistance aux États membres affectés par des incidents. Si un État membre est particulièrement gravement affecté, d’autres peuvent offrir une expertise technique, des outils ou d’autres ressources via le processus de coordination EU-CyCLONe.
  • Coordonner avec le réseau CSIRT (le réseau des équipes nationales de réponse aux incidents de sécurité informatique qui traitent les incidents de routine au titre de l’article 15). Pendant une crise de grande ampleur, le réseau CSIRT et EU-CyCLONe sont tous deux actifs. Les CSIRT traitent les détails techniques de l’incident ; EU-CyCLONe gère la coordination stratégique, opérationnelle et politique.
  • Fournir des orientations stratégiques au réseau CSIRT sur les questions émergentes affectant les incidents de grande ampleur.
  • Échanger des points de vue sur les réponses politiques aux incidents de grande ampleur, en tirant des enseignements des incidents pour améliorer la préparation future.
  • Discuter des plans nationaux de réponse aux incidents de grande ampleur et les passer en revue pour assurer la cohérence à travers l’Union.

Le rôle du réseau des CSIRT dans la réponse aux crises

Le réseau CSIRT (le réseau des équipes nationales de réponse aux incidents de sécurité informatique établies et supervisées au titre des articles 10 et 11) joue un rôle de soutien critique à EU-CyCLONe lors des incidents de grande ampleur. L’article 15(4) exige que le réseau des CSIRT coopère avec EU-CyCLONe sur la base d’arrangements procéduraux convenus.

Cette coopération prend plusieurs formes. Les CSIRT fournissent une expertise en traitement technique des incidents. Lorsqu’EU-CyCLONe coordonne la réponse à un incident, les équipes techniques des CSIRT nationaux effectuent souvent le travail d’investigation réel, notamment identifier les systèmes affectés, déterminer les vecteurs d’attaque et développer des mesures d’atténuation. Les CSIRT fournissent des mises à jour opérationnelles régulières à EU-CyCLONe sur les progrès techniques de la réponse aux incidents.

Les CSIRT facilitent également l’échange d’informations entre les États membres. Si une vulnérabilité est activement exploitée dans plusieurs pays, les CSIRT échangent des indicateurs de compromission et des détails techniques qui aident d’autres pays à détecter si leurs organisations ont été affectées. Ce partage d’informations peut accélérer la détection et la réponse aux incidents.

Les CSIRT se coordonnent avec les entités essentielles et importantes au sein de leur État membre. Lorsqu’un incident de grande ampleur affecte plusieurs entités, le CSIRT national veille à ce que toutes les entités affectées reçoivent des orientations cohérentes et à ce que leur signalement d’incident soit coordonné. Cela évite que les organisations ne reçoivent des informations contradictoires ou des orientations de remédiation différentes.

Activation et escalade

Les articles 9 et 16 établissent des cadres, mais ils ne précisent pas exactement quand une réponse de crise doit être activée ni quels critères déterminent si un incident est « de grande ampleur ». Cela est intentionnellement flexible car l’ampleur et la signification des incidents varient. Cependant, les États membres doivent établir des critères clairs pour l’activation.

Un incident devient typiquement de grande ampleur lorsqu’il affecte plusieurs entités essentielles dans différents secteurs ou traverse les frontières nationales. Une attaque affectant un hôpital est grave mais pas de grande ampleur ; une attaque affectant des hôpitaux dans trois États membres différents l’est. Une vulnérabilité affectant les produits d’un fournisseur particulier peut être grave, mais si elle affecte les infrastructures critiques de plusieurs pays, elle devient de grande ampleur.

La directive anticipe que, lors d’incidents de grande ampleur, l’escalade se produit dynamiquement. Un incident peut commencer par un traitement de routine par un CSIRT national et être escaladé à EU-CyCLONe à mesure que son ampleur devient apparente. Alternativement, si le renseignement suggère une attaque imminente d’ampleur significative, EU-CyCLONe peut être activé de manière préventive.

Préparation et exercices

Les cadres de gestion des crises de grande ampleur ne sont efficaces que si les organisations et les équipes comprennent réellement leurs rôles et que les procédures fonctionnent en pratique. L’article 9(4)(d) exige que les plans nationaux de réponse aux incidents de grande ampleur incluent des mesures de préparation, notamment des exercices et des formations.

Une préparation efficace aux crises comprend des exercices réguliers dans lesquels les États membres, les entités essentielles et d’autres parties prenantes pratiquent la réponse à des incidents réalistes de grande ampleur. Ces exercices testent si les canaux de communication fonctionnent, si les processus de décision fonctionnent sous stress, si l’échange d’informations est efficace et si la coordination entre secteurs et pays se produit réellement. Les exercices révèlent les lacunes dans la planification ou les capacités qui peuvent être traitées avant une crise réelle.

Les exercices construisent aussi des relations. La réponse aux crises dépend de la confiance et des relations informelles. Lorsque des responsables de différentes agences ont travaillé ensemble lors d’exercices, ils se connaissent et ont établi des relations de travail. Lors d’une crise réelle, ces relations facilitent une coordination plus rapide et plus efficace.

Les États membres devraient mener des exercices de réponse aux incidents de grande ampleur au moins une fois par an, impliquant les agences gouvernementales pertinentes, les opérateurs d’infrastructures critiques et les partenaires internationaux. L’ENISA et le Groupe de coopération devraient fournir des orientations sur la conception des exercices et la coordination entre les États membres.

Rapports et transparence

EU-CyCLONe doit rendre compte de son travail. L’article 16(7) exige qu’EU-CyCLONe soumette un rapport au Parlement européen et au Conseil tous les 18 mois évaluant son travail, y compris des informations sur les incidents de grande ampleur gérés, les enseignements tirés et les recommandations pour améliorer la gestion des crises.

Cette exigence de rapport crée de la responsabilité et de la transparence. Le Parlement européen et le Conseil peuvent évaluer si le cadre de gestion des crises fonctionne, si les ressources sont adéquates et si des amendements au cadre sont nécessaires.

Points clés à retenir

  • L’article 9 exige que chaque État membre établisse un cadre national de gestion des crises cyber, y compris la désignation d’autorités compétentes, l’identification des capacités disponibles et l’adoption d’un plan national de réponse aux crises avec des objectifs clairs, des attributions de responsabilités, des procédures et l’identification des parties prenantes.

  • EU-CyCLONe, établi au titre de l’article 16, coordonne la réponse aux incidents de cybersécurité de grande ampleur entre les États membres. Il rassemble les autorités nationales de gestion des crises cyber et facilite le partage d’informations, le partage de ressources et une stratégie de réponse unifiée.

  • Le réseau CSIRT soutient EU-CyCLONe en fournissant une expertise en traitement technique des incidents, en facilitant l’échange d’informations entre les États membres et en se coordonnant avec les entités affectées. La réponse technique aux incidents et la coordination au niveau de la crise sont des fonctions complémentaires.

  • Les cadres nationaux de gestion des crises doivent s’intégrer aux structures nationales existantes de gestion des urgences. Les crises de cybersécurité ne se produisent pas isolément ; elles doivent être gérées dans le cadre d’une résilience nationale plus large.

  • La préparation exige des exercices et des formations réguliers. Les États membres et les parties prenantes doivent mener des exercices annuels ou plus fréquents testant les procédures de crise pour identifier les lacunes et bâtir des relations avant qu’une crise réelle ne survienne.

Daniel Grigorovich

Daniel Grigorovich · Fondateur

Je pense qu'aucune entreprise ne devrait avoir à subir les « listes de contrôle de conformité » ni à se débattre avec des textes réglementaires obscurs. Bien que je reste attaché au principe selon lequel tous les logiciels doivent être fiables et sécurisés, je souhaite offrir aux entreprises un moyen de surmonter les difficultés rencontrées lors de la mise en œuvre de ces exigences.