Nouvelle contrainte ou opportunité commerciale? La transposition de la directive européenne sur la cybersécurité «Nis 2» sonne comme une promesse de croissance mais pose aussi la question de la concurrence étrangère pour les acteurs européens. Dans les allées du Forum InCyber, le salon annuel dédié à la cybersécurité qui se tient cette semaine à Lille (Nord), ce texte est l’un des principaux sujets de conversation et les groupes du secteur anticipent un afflux de demandes venant des petites et moyennes entreprises, ainsi que des collectivités, pour s’y conformer. Adoptée 2022 par le Parlement européen et prévue pour entrer en vigueur en octobre 2024, la directive «Nis 2» (our «Network information security» ou «Sécurité des systèmes d’information», NDLR) est en cours de transposition en France. Début mars, le projet de loi «résilience» a ainsi été adopté par le Sénat et devrait arriver à l’Assemblée nationale en mai. Il soumettra quelque 15.000 nouvelles entités – contre 300 actuellement – à diverses obligations en matière de gouvernance de cybersécurité, comme celles de notifier les incidents à l’Agence nationale de la sécurité des systèmes d’information (Anssi) et de se soumettre à des contrôles assortis de potentielles sanctions. «C’est une opportunité de marché pour les entreprises (de cybersécurité) ce texte. Il n’y a pas à en rougir», assurait mi-mars la ministre française en charge du Numérique, Clara Chappaz. «À chaque fois qu’il y a un référentiel, mécaniquement, certaines entreprises vont s’équiper et, évidemment, des fournisseurs comme nous sommes intéressés à prendre ce qu’il faut prendre comme parts de marché», abonde Bernard Montel, directeur technique Europe et Moyen-Orient chez l’éditeur américain Tenable. Pour Michael Bittan, directeur exécutif et responsable des activités cybersécurité en France et au Benelux chez Accenture, le texte est «une vraie chance», notamment pour les petites entreprises. Mais, prévient-il, les plus gros acteurs ne sont pas européens mais notamment américains et israéliens. Selon le baromètre du gestionnaire d’actifs Tikehau Capital, les start-up de cybersécurité européennes ont ainsi levé en 2024 un milliard d’euros, quand leurs concurrentes américaines ont obtenu 10,2 milliards d’euros. «Les douze plus grandes levées mondiales en cybersécurité en 2024 ont toutes été réalisées par des sociétés américaines», souligne également l’étude. Faute de critère sur l’origine des solutions adoptées, «il n’est pas du tout certain (…) que «Nis 2», en soi, favorise l’industrie de la cybersécurité européenne», anticipe Dominique Tessier, en charge du secteur au sein de l’association European Champions Alliance. D’après une cartographie menée par cette association, quelque 800 entreprises existent en Europe mais «le paysage «cyber» européen est très éclaté et ne comprend pas de leaders mondiaux», ce qui pourrait avoir des conséquences sur leur capacité à conquérir des parts de marché. Certains espèrent toutefois tirer avantage de leur positionnement. «J’ai mené des discussions avec des entreprises. Le fait que nous soyons une entreprise européenne résonne beaucoup, surtout en ce moment», témoigne ainsi Thierry Bedos, vice-président Europe du Sud pour l’entreprise danoise Keepit. Mais pour les entreprises européennes, la question de la transposition de la directive dans les 27 pays membres reste en suspens. «Ce qui me préoccupe, c’est l’incertitude quant à l’interprétation du règlement «Nis 2» d’un pays à l’autre», pointe Kim Larsen, responsable de la sécurité des systèmes d’information de Keepit. Selon une étude réalisée par le cabinet Wavestone en octobre 2024, à la date limite de transposition, seuls six pays européens l’avaient en effet mise en oeuvre.