Cabinet Kohen Avocats · Paris

Maître Reda KOHEN intervient en droit immobilier, droit des sociétés et droit des affaires à Paris. Première analyse offerte, réponse personnelle sous 24 heures.

100 % confidentiel · Secret professionnel · Sans engagement

Barreau de Paris Immobilier, sociétés, affaires Fiche CNB avocat.fr
Maître Reda KOHEN, avocat au Barreau de Paris
Maître Reda KOHEN
Avocat au Barreau de Paris

NIS2 et ReCyF : que doit faire une entreprise en 2026 ?

La directive NIS2 n’est plus un sujet réservé aux grandes directions informatiques. Depuis mars 2026, l’ANSSI a accéléré son accompagnement, présenté le Référentiel Cyber France, dit ReCyF, et ouvert un parcours de pré-enregistrement pour les entreprises susceptibles d’être concernées. Dans le même temps, les cyberattaques contre les groupes, les PME, les prestataires numériques et les services essentiels restent au centre du débat public.

Pour un dirigeant, la question n’est donc plus seulement technique. Il faut savoir si l’entreprise entre dans le champ de NIS2, quelles mesures doivent être documentées, qui décide, qui suit l’exécution, quelles preuves conserver et comment réagir en cas d’incident. Une entreprise qui attend la publication de tous les textes définitifs pour commencer prend un risque pratique : elle découvrira trop tard ses dépendances critiques, ses contrats faibles, ses sauvegardes insuffisantes ou l’absence de procédure d’alerte interne.

L’enjeu immédiat est simple : savoir quoi faire maintenant, dans quel ordre, et avec quelles preuves si un client, un assureur, un donneur d’ordre, l’ANSSI, la CNIL ou une victime demande des comptes.

Pourquoi le sujet devient urgent en 2026

L’ANSSI a publié le 18 mars 2026 une actualité consacrée à NIS2 et à sa dynamique d’accompagnement. L’agence y indique avoir présenté ReCyF le 17 mars 2026 au Campus Cyber, avec des outils destinés à aider les organisations à se sécuriser. Elle précise aussi que le pré-enregistrement, ouvert aux entreprises, constitue une étape utile pour préparer la mise en conformité lorsque le cadre s’appliquera pleinement.

Le signal est important. ReCyF n’est pas présenté comme un simple guide de bonnes intentions. Il liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2, avec une logique de proportionnalité selon la maturité et les ressources de l’entité. Autrement dit, une PME n’est pas attendue au même niveau qu’un grand groupe, mais elle doit pouvoir montrer qu’elle a identifié ses risques et engagé des mesures cohérentes.

Le débat parlementaire montre aussi que la transposition française est suivie de près. Lors de la séance de l’Assemblée nationale du 7 janvier 2026, les cyberattaques récentes et le retard de transposition de NIS2 ont été discutés publiquement. Le gouvernement a rappelé que la cybersécurité était à la fois un enjeu économique, financier et régalien.

Pour l’entreprise, l’urgence tient donc à trois facteurs : la montée du risque cyber, l’arrivée d’un référentiel de conformité lisible, et la pression commerciale exercée par les clients, donneurs d’ordre, assureurs et partenaires financiers.

Qui peut être concerné par NIS2

NIS2 vise les entités essentielles et importantes dans des secteurs jugés sensibles. La liste exacte dépendra de la transposition nationale et des textes d’application, mais les entreprises doivent déjà regarder leur activité réelle, leur taille, leur rôle dans la chaîne de service et leurs dépendances numériques.

Sont particulièrement exposées les entreprises qui interviennent dans l’énergie, les transports, la santé, l’eau, les infrastructures numériques, les services cloud, les télécommunications, certains services publics, l’industrie critique, la fourniture de logiciels ou la chaîne de sous-traitance d’un acteur régulé.

La mauvaise approche consiste à raisonner uniquement par code NAF. Une société peut ne pas être opérateur critique mais fournir un service indispensable à un client qui l’est. Dans ce cas, elle ne recevra pas toujours une notification immédiate de l’administration, mais elle pourra recevoir des exigences contractuelles très concrètes : audit, questionnaire de sécurité, clause de notification d’incident, plan de continuité, exigences de sauvegarde, contrôle des accès, traçabilité des prestataires.

La première étape consiste donc à dresser une cartographie courte :

  • activités et services numériques indispensables ;
  • clients ou donneurs d’ordre régulés ;
  • données personnelles, secrets d’affaires et données stratégiques traitées ;
  • prestataires critiques, hébergeurs, infogéreurs, logiciels métiers ;
  • sites, serveurs, comptes administrateurs et outils de sauvegarde ;
  • contrats qui imposent déjà une obligation de sécurité ou une notification d’incident.

Cette cartographie est souvent plus utile qu’un long rapport. Elle permet de savoir où agir en premier.

Ce que le dirigeant doit décider, pas seulement le DSI

NIS2 met la gouvernance au centre du sujet. La cybersécurité n’est pas seulement une affaire de mots de passe ou de pare-feu. Elle touche à la continuité d’activité, à la responsabilité de la direction, au budget, aux contrats, à l’assurance, aux relations clients et à la preuve.

Le dirigeant doit donc faire adopter une décision claire, même simple, qui fixe :

  • un responsable interne du chantier NIS2 ou cyber ;
  • un calendrier de diagnostic et de remédiation ;
  • les actifs prioritaires à protéger ;
  • les incidents qui doivent être signalés immédiatement à la direction ;
  • les personnes habilitées à parler à l’assureur, au client, à l’ANSSI, à la CNIL ou aux forces de l’ordre ;
  • la conservation des preuves techniques et juridiques.

Cette décision doit être datée. Elle peut prendre la forme d’un procès-verbal, d’une note de direction, d’une décision du président de SAS, d’un compte rendu de comité de direction ou d’un plan de remédiation validé. Ce document ne règle pas tout, mais il montre que l’entreprise n’a pas subi le sujet.

Les mesures prioritaires à documenter

Le ReCyF présenté par l’ANSSI raisonne en objectifs de sécurité. Pour une entreprise, l’enjeu est de transformer ces objectifs en preuves simples. Il ne suffit pas d’affirmer que « la cybersécurité est prise au sérieux ». Il faut pouvoir montrer ce qui a été décidé, appliqué, vérifié et corrigé.

Les mesures prioritaires sont généralement les suivantes.

D’abord, les accès. L’entreprise doit identifier les comptes administrateurs, supprimer les comptes dormants, imposer une authentification forte pour les accès sensibles, tracer les créations de comptes et formaliser le départ d’un salarié ou d’un prestataire. Beaucoup d’incidents naissent d’un accès oublié.

Ensuite, les sauvegardes. Il faut vérifier leur fréquence, leur séparation du système principal, leur test de restauration et leur protection contre le chiffrement par rançongiciel. Une sauvegarde jamais testée est une promesse, pas une preuve.

Puis les contrats. Les contrats avec infogéreur, hébergeur, éditeur SaaS, prestataire de maintenance, développeur ou consultant doivent préciser les obligations de sécurité, les délais d’alerte, la coopération en cas d’incident, l’accès aux journaux, la responsabilité en cas de faute et les conditions de réversibilité.

Enfin, la gestion de crise. L’entreprise doit savoir qui appeler, dans quel ordre, avec quels documents. Elle doit conserver les journaux techniques, les captures utiles, les échanges avec les prestataires, les notifications reçues et les décisions prises. En cas de litige, ces éléments pèseront davantage qu’un discours général.

Incident cyber : les 24 premières heures comptent

Lorsqu’un incident survient, l’erreur fréquente consiste à traiter le sujet comme un simple problème informatique. Or l’incident peut déclencher plusieurs obligations : notification contractuelle au client, déclaration à l’assureur cyber, plainte, information des personnes concernées, notification à une autorité, conservation de preuve, mise en cause d’un prestataire.

Dans les premières heures, l’entreprise doit éviter trois fautes.

La première est de détruire les preuves en réinstallant trop vite les machines, en effaçant les journaux ou en laissant un prestataire intervenir sans consignes de conservation. La remise en service est nécessaire, mais elle doit être organisée.

La deuxième est de communiquer trop tôt. Un courriel imprécis à un client peut devenir une reconnaissance de responsabilité. Il faut informer sans spéculer, distinguer les faits confirmés des hypothèses et tenir une chronologie.

La troisième est d’oublier les contrats. Certains contrats imposent un délai de notification très court. L’assureur peut aussi exiger une déclaration rapide et le respect d’une procédure. Un retard peut fragiliser l’indemnisation.

La bonne réaction consiste à ouvrir un dossier de crise, horodaté, avec une personne responsable, un relevé des décisions et une liste des preuves conservées. C’est aussi le moment de vérifier si l’incident relève d’une déclaration à la CNIL lorsque des données personnelles sont concernées, et si une plainte doit être déposée.

Les risques juridiques en cas d’inaction

Le risque n’est pas uniquement réglementaire. Une entreprise qui n’a rien documenté peut être exposée sur plusieurs terrains.

Sur le terrain contractuel, un client peut reprocher une défaillance de sécurité, une interruption de service, une perte de données, un défaut d’information ou une violation d’une clause d’audit. La discussion portera alors sur le contrat, les engagements de niveau de service, les notifications et les preuves de diligence.

Sur le terrain de la responsabilité civile, un partenaire, un client ou une victime peut soutenir que l’entreprise n’a pas pris les mesures raisonnables pour prévenir le dommage. La défense sera plus solide si l’entreprise peut produire une cartographie, une politique d’accès, un plan de sauvegarde, des tests, des alertes internes et des décisions budgétaires.

Sur le terrain des données personnelles, un incident peut aussi déclencher une analyse RGPD. Le point central sera de savoir quelles données sont touchées, si les mesures de sécurité étaient adaptées, si les personnes doivent être informées, et si l’autorité doit être saisie.

Enfin, sur le terrain de la gouvernance, le dirigeant peut être mis en difficulté lorsque l’inaction est ancienne, connue et jamais arbitrée. Ce n’est pas l’incident seul qui pose problème. C’est l’absence de décisions avant l’incident.

Ce que les décisions récentes rappellent aux entreprises

La jurisprudence récente montre que les litiges cyber se gagnent rarement avec des déclarations générales. Ils se jouent sur le contrat, la preuve des sauvegardes, les clauses de responsabilité, la traçabilité des alertes et la démonstration du préjudice.

Dans un arrêt du 4 juin 2026, la cour d’appel de Douai a retenu, à propos d’un service d’hébergement, un manquement à une obligation contractuelle de disponibilité du service, tout en examinant strictement les clauses limitatives et les preuves du préjudice allégué : CA Douai, 4 juin 2026, n° 24/00967.

Dans un jugement du 28 mai 2026, le tribunal judiciaire de Metz a jugé qu’un prestataire informatique chargé d’une opération de clonage devait assurer « la sécurité de la conservation des données » qui lui avaient été confiées : TJ Metz, 28 mai 2026, n° 23/01633.

Ces décisions ne transposent pas directement NIS2. Elles rappellent toutefois une réalité utile pour les dirigeants : après un incident, l’entreprise devra expliquer ce qu’elle avait confié à ses prestataires, ce qu’elle avait sauvegardé, ce qu’elle avait testé, ce qui figurait dans ses contrats et comment elle a conservé la preuve.

Que faire maintenant si votre entreprise est à Paris ou en Île-de-France

Pour une entreprise située à Paris ou en Île-de-France, l’enjeu est souvent très concret : prestataires multiples, clients exigeants, contrats informatiques empilés, outils SaaS, comptes administrateurs partagés, sites e-commerce, bases clients, sous-traitance technique et contraintes d’assurance.

Le premier réflexe consiste à réunir les documents suivants :

  • extrait Kbis et description de l’activité réelle ;
  • principaux contrats clients et fournisseurs numériques ;
  • police d’assurance cyber ou multirisque professionnelle ;
  • registre des traitements ou inventaire des données sensibles ;
  • liste des prestataires informatiques et accès administrateurs ;
  • derniers incidents, tickets, audits ou questionnaires de sécurité ;
  • sauvegardes, plan de continuité et procédure de reprise ;
  • courriers de clients, assureurs ou donneurs d’ordre demandant des garanties cyber.

Ensuite, il faut qualifier l’urgence. Si l’entreprise a déjà reçu un questionnaire de conformité, une mise en demeure contractuelle, une demande d’audit, une notification d’incident ou une menace de résiliation, le sujet devient contentieux. Il faut répondre avec méthode, en évitant les engagements trop larges et en préparant les preuves.

Lorsque l’entreprise n’a encore rien reçu, l’objectif est différent : anticiper. Une note courte, un plan de remédiation et une revue des contrats critiques peuvent suffire à réduire fortement le risque.

Méthode pratique en 10 jours

Une entreprise peut avancer vite sans lancer un chantier interminable.

Jour 1 : identifier les activités critiques, les clients sensibles et les services numériques indispensables.

Jour 2 : lister les accès administrateurs, les comptes partagés et les prestataires ayant un accès technique.

Jour 3 : vérifier les sauvegardes et réaliser un test de restauration sur un périmètre limité.

Jour 4 : relire les contrats informatiques et les clauses de notification d’incident.

Jour 5 : désigner un responsable interne et fixer une procédure d’alerte.

Jour 6 : rédiger une note de direction sur les mesures déjà en place et les mesures à engager.

Jour 7 : classer les preuves disponibles : audits, tickets, factures de sécurité, procédures, captures, journaux.

Jour 8 : traiter les risques les plus simples : comptes dormants, mots de passe faibles, accès sortants d’anciens prestataires.

Jour 9 : préparer les modèles de communication en cas d’incident : client, assureur, prestataire, autorité.

Jour 10 : décider du plan de remédiation à 30, 60 et 90 jours.

Cette méthode ne remplace pas un audit complet. Elle donne toutefois une base défendable et exploitable, surtout pour une PME ou une entreprise de services qui doit répondre rapidement à un client ou à un assureur.

Les erreurs à éviter

La première erreur consiste à attendre la version définitive de tous les textes. Le cadre peut encore évoluer, mais les mesures de base restent les mêmes : gouvernance, accès, sauvegardes, contrats, preuve, réaction à incident.

La deuxième erreur consiste à confier tout le sujet au prestataire informatique. Le prestataire exécute. Le dirigeant arbitre. Les deux rôles ne doivent pas être confondus.

La troisième erreur consiste à acheter un outil avant de définir le risque. Un logiciel ne remplace pas la cartographie, la procédure et la preuve.

La quatrième erreur consiste à négliger les contrats. Une entreprise peut être techniquement correcte mais juridiquement vulnérable si ses contrats ne prévoient aucune obligation de coopération, aucun délai d’alerte et aucune responsabilité claire du prestataire.

La cinquième erreur consiste à ignorer les clients non régulés. Même hors NIS2, un client peut demander des garanties de cybersécurité, surtout si l’entreprise traite ses données, son infrastructure ou un service sensible.

Sources officielles utiles

L’ANSSI a publié le 18 mars 2026 une actualité sur la dynamique d’accompagnement NIS2, la présentation du ReCyF et le pré-enregistrement des entreprises : actualité ANSSI sur NIS2 et ReCyF.

La page ANSSI consacrée à la directive NIS2 rappelle que, depuis le 17 mars 2026, le ReCyF présente les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2 : directive NIS2 sur le site ANSSI.

La plateforme MesServicesCyber de l’ANSSI permet notamment de vérifier si une entité est concernée, de préparer son enregistrement et d’agir pour réduire les risques cyber : parcours NIS2 MesServicesCyber.

L’Assemblée nationale a également débattu le 7 janvier 2026 de la stratégie française face aux cyberattaques et de la transposition NIS2 : compte rendu de séance de l’Assemblée nationale.

Pour replacer ce sujet dans une stratégie plus large de société, de contrats et de responsabilité, vous pouvez consulter notre page dédiée au droit des affaires.

Besoin d’un avis rapide sur votre dossier.

Vous avez reçu une demande d’audit cyber, un questionnaire NIS2, une notification d’incident, une mise en demeure d’un client ou une difficulté avec votre prestataire informatique.

Le cabinet peut organiser une consultation téléphonique en 48 heures avec un avocat du cabinet pour qualifier les risques, les preuves à réunir et la réponse à apporter.

Appelez le cabinet au 06 46 60 58 22 ou utilisez le formulaire de contact.

À Paris et en Île-de-France, l’analyse peut porter sur vos contrats, vos prestataires, vos obligations de notification, votre assurance cyber et la stratégie à adopter en cas d’incident.

Envoyez vos pièces. Recevez une stratégie.

Transmettez les pièces de votre dossier au cabinet. Maître Reda KOHEN vous répond personnellement sous 24 heures avec une première analyse stratégique.

Première analyse offerte
Réponse personnelle sous 24 h
100 % confidentiel
Jusqu’à 1 Go de pièces

Source : Cour de cassation – Base Open Data « Judilibre » & « Légifrance ».

Laisser un commentaire

En savoir plus sur Maître Reda Kohen, avocat en droit immobilier et droit des affaires à Paris

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture