Exigences de formation en cybersécurité: ce que la direction et le personnel doivent savoir

Comprenez les obligations de formation prévues à l'article 20 du NIS2. Découvrez quelles connaissances en cybersécurité la direction et le personnel doivent acquérir pour se conformer au NIS2.

Daniel Grigorovich
Daniel Grigorovich
Fondateur · 3 Jun 2026 · 11 min de lecture
NIS2
Exigences de formation en cybersécurité: ce que la direction et le personnel doivent savoir

Qui devrait lire ceci: les responsables de la formation et du développement, les directeurs des risques, les membres du conseil d’administration, les directeurs des ressources humaines et les responsables de la sécurité des systèmes d’information.

La formation en cybersécurité n’est pas nouvelle. Depuis des années, les organisations mènent des exercices de simulation d’hameçonnage, proposent des modules de sensibilisation aux employés et envoient occasionnellement un dirigeant à une conférence sur la cybersécurité. Ce qui est nouveau avec le NIS2, c’est l’exigence explicite de la directive selon laquelle les organes de direction et leurs membres doivent suivre une formation pour développer «les connaissances et compétences suffisantes pour leur permettre d’identifier les risques et d’évaluer les pratiques de gestion des risques de cybersécurité ainsi que leur impact sur les services fournis par l’entité». Il ne s’agit pas d’une orientation indicative; c’est une obligation légale assortie d’objectifs de compétence précis et de conséquences en matière de gouvernance.

L’article 20, paragraphe 2, impose une formation aux organes de direction et l’encourage pour les employés. Cette approche à deux niveaux reflète une réalité pratique: les conseils d’administration doivent comprendre la cybersécurité suffisamment bien pour la gouverner efficacement, tandis que l’ensemble du personnel a besoin d’une sensibilisation suffisante pour mettre en œuvre une hygiène de base et signaler les incidents. La distinction est importante, car la formation destinée à chaque groupe a des objectifs différents, un contenu différent et des critères de réussite différents.

Formation de la direction: au-delà de la sensibilisation

L’exigence de formation pour les organes de direction est fondamentalement différente de la formation traditionnelle de sensibilisation à la cybersécurité. Les administrateurs et les cadres supérieurs n’ont généralement aucune formation technique en cybersécurité. On ne peut pas attendre d’eux qu’ils comprennent les piles de protocoles ou les algorithmes cryptographiques. Leur formation doit plutôt développer des compétences dans un domaine plus restreint et plus stratégique: la capacité d’identifier les risques et d’évaluer les pratiques de gestion des risques de cybersécurité.

Cette compétence exige de comprendre plusieurs éléments. Premièrement, les conseils d’administration doivent comprendre le paysage de risques spécifique auquel leur organisation est confrontée. Quelles sont les principales menaces qui pèsent sur les services de l’entité? Quels acteurs malveillants ciblent le secteur? Quels sont les vecteurs d’attaque typiques? Quelles seraient les conséquences d’une attaque réussie? Les conseils d’administration doivent pouvoir poser des questions éclairées pour savoir si l’évaluation des risques par la direction est réaliste et si les mesures de gestion des risques proposées sont appropriées.

Deuxièmement, les conseils d’administration doivent comprendre ce que signifient des mesures de cybersécurité «appropriées et proportionnées». C’est essentiel à la gouvernance prévue par l’article 20, car les conseils doivent approuver les mesures mises en œuvre par leur organisation. Approuver des mesures sans comprendre la proportionnalité revient pour les conseils à abdiquer leur responsabilité de gouvernance. La formation doit donc couvrir les principes de proportionnalité prévus à l’article 21: la manière dont la taille, l’exposition aux menaces, la probabilité et la gravité des incidents et l’impact sociétal doivent orienter votre investissement en cybersécurité.

Troisièmement, les conseils d’administration doivent comprendre l’environnement réglementaire. Les administrateurs doivent savoir ce que le NIS2 exige, quelles sanctions existent en cas de non-conformité et quelles obligations de signalement d’incident s’appliquent. Ils doivent également comprendre le contexte réglementaire plus large, y compris les réglementations sectorielles, les obligations en matière de protection des données et les normes pertinentes pour leur secteur.

Quatrièmement, les conseils d’administration doivent comprendre la relation entre la cybersécurité et la stratégie d’entreprise. La cybersécurité n’est pas un centre de coûts; elle est un catalyseur de la stratégie. Une entreprise manufacturière qui entreprend une transformation numérique ne peut pas le faire en toute sécurité sans des mesures de cybersécurité adéquates. Une société de services financiers qui propose de nouveaux services numériques ne peut le faire sans tenir compte des risques de cybersécurité. Les conseils doivent comprendre comment les décisions en matière de cybersécurité influent sur les initiatives stratégiques et inversement.

Cinquièmement, les conseils d’administration doivent comprendre les structures de gouvernance et la responsabilité. L’article 20, paragraphe 1, rend les organes de direction explicitement responsables des infractions. Les conseils doivent donc comprendre comment ils exercent leur supervision, quelles structures de reporting et quels flux d’information les tiennent informés des risques de cybersécurité, et comment ils peuvent être tenus responsables des décisions de cybersécurité prises par leur organisation.

Concevoir des programmes de formation à la cybersécurité pour les conseils

La formation des conseils d’administration doit être pratique et adaptée à votre organisation. Une session de conférence d’une journée sur les tendances en matière de cybersécurité ne suffit pas. Un module annuel de formation obligatoire que les administrateurs parcourent de manière superficielle ne suffit pas non plus.

Une formation efficace à la cybersécurité pour les conseils d’administration comporte généralement plusieurs volets. Tout d’abord, une formation initiale de base, souvent dispensée lorsqu’un administrateur rejoint le conseil, couvrant les principes fondamentaux du NIS2, le profil de risque de l’entité, les mesures actuellement en place et le rôle de gouvernance du conseil. Cela peut représenter 4 à 6 heures de contenu intensif dispensé par une combinaison de responsables internes de la cybersécurité et d’experts externes.

Deuxièmement, une formation continue tout au long de l’année. Cela peut inclure des mises à jour régulières sur la cybersécurité lors des réunions du conseil, portant sur les menaces émergentes pertinentes pour le secteur, les incidents importants touchant des organisations comparables, les évolutions réglementaires et les mises à jour du programme de gestion des risques de l’organisation. Ces mises à jour n’ont pas besoin d’être longues (20 à 30 minutes à chaque réunion du conseil), mais elles doivent être régulières et substantielles.

Troisièmement, une formation spécialisée pour les comités du conseil ayant une responsabilité spécifique en matière de cybersécurité. La plupart des conseils mettent en place un comité d’audit ou un comité des risques chargé de superviser la cybersécurité. Ces comités ont besoin d’une formation plus approfondie que l’ensemble du conseil, couvrant des sujets tels que les méthodologies d’évaluation des risques, les pratiques de gestion des fournisseurs, les processus de réponse aux incidents et les exigences de reporting réglementaire.

Quatrièmement, une formation sur les questions émergentes. À mesure que de nouvelles menaces apparaissent ou que la réglementation évolue, la formation du conseil doit être actualisée. Si votre secteur subit un nouveau vecteur d’attaque, les membres du conseil doivent le comprendre et savoir comment il affecte votre profil de risque. Si les régulateurs publient de nouvelles orientations sur la proportionnalité, les membres du conseil doivent comprendre comment cela influe sur votre approche de conformité.

Le contenu de la formation des conseils d’administration doit être spécifique à votre organisation et à votre secteur. Le conseil d’administration d’un prestataire de soins de santé a besoin d’une formation adaptée aux risques de cybersécurité dans le secteur de la santé, aux exigences réglementaires et au modèle économique des soins. Le conseil d’un opérateur d’infrastructures critiques a besoin d’une formation adaptée à la défense des infrastructures critiques. Une formation générique en cybersécurité pour les conseils est moins efficace qu’une formation ciblée qui répond à votre environnement de risque spécifique.

Expertise des membres du conseil et recrutement

L’article 20, paragraphe 2, exige une formation pour les membres du conseil, ce qui implique que les conseils doivent développer une expertise suffisante en cybersécurité par la formation. Cependant, certaines organisations choisissent d’accélérer ce processus en recrutant des membres du conseil possédant une expertise en cybersécurité ou en faisant appel à un conseiller du conseil doté de solides connaissances en cybersécurité.

Recruter un membre du conseil possédant des qualifications en cybersécurité (par exemple un CISO d’une autre grande organisation, un consultant en cybersécurité ou un dirigeant technologique ayant une solide expérience en cybersécurité) peut apporter aux discussions du conseil une expertise qui, sinon, devrait être développée par la formation. Ce n’est pas un substitut à la formation des autres membres du conseil, mais cela peut améliorer la qualité de la gouvernance en garantissant qu’au moins un membre du conseil puisse poser des questions techniques éclairées et remettre en cause les hypothèses de la direction.

Une autre solution consiste, pour certains conseils, à nommer un conseiller indépendant en cybersécurité qui assiste aux réunions pertinentes du conseil et fournit des avis d’expert sur les questions de cybersécurité. Ce conseiller peut ne pas être membre du conseil mais peut apporter son expertise aux discussions et aider le conseil à poser de meilleures questions à la direction.

Formation des employés et du personnel

L’article 20, paragraphe 2, encourage les entités essentielles et importantes à proposer régulièrement une formation à la cybersécurité à leurs employés. L’exigence est moins prescriptive que le mandat de formation des conseils, mais le principe est le même: les employés doivent acquérir des connaissances et des compétences suffisantes pour exercer leurs fonctions en toute sécurité et contribuer à la posture de cybersécurité de l’organisation.

Pour l’ensemble du personnel, cette formation porte sur l’hygiène cybernétique de base. Quelles sont les techniques d’hameçonnage courantes et comment les reconnaître? Comment gérer les mots de passe en toute sécurité? Que faire en cas de soupçon de violation? Comment signaler une préoccupation de sécurité? Quand et comment partager des informations sensibles? La formation générale des employés couvre également les outils et systèmes spécifiques que les employés utilisent dans leurs fonctions et les considérations de sécurité qui s’y rapportent.

Pour les employés ayant des responsabilités spécifiques en matière de cybersécurité, tels que les équipes de sécurité, le personnel chargé de la réponse aux incidents, les équipes de développement et les équipes d’infrastructure, la formation doit être plus approfondie et adaptée au rôle. Les équipes de développement ont besoin d’une formation sur les pratiques de codage sécurisé. Les équipes d’infrastructure ont besoin d’une formation sur le durcissement des systèmes et la gestion des vulnérabilités. Les équipes de réponse aux incidents ont besoin d’une formation sur les méthodologies d’investigation et la criminalistique. Les équipes de sécurité ont besoin d’une formation sur l’évaluation des risques, la gestion des vulnérabilités et le renseignement sur les menaces.

L’article 21, paragraphe 2, point g), exige explicitement «des pratiques d’hygiène cybernétique de base et une formation en cybersécurité» au titre des mesures obligatoires de gestion des risques de cybersécurité. Cela suggère que la formation doit être documentée, formelle et disponible pour le personnel concerné. Les approches informelles du type «tout le monde reçoit un test de phishing» satisfont à la lettre de l’exigence, mais pas nécessairement à son esprit. Les organisations doivent documenter leurs programmes de formation, suivre la participation, mesurer l’efficacité lorsque c’est possible et démontrer que la formation est régulièrement mise à jour.

Démontrer la conformité aux obligations de formation

Les régulateurs demanderont comment votre organisation démontre sa conformité aux exigences de formation. Cela requiert de la documentation. Au minimum, vous devriez conserver:

  • Une description de votre programme de formation à la cybersécurité du conseil d’administration, comprenant les sujets abordés, la fréquence de la formation et la manière dont la formation est adaptée au rôle spécifique des membres du conseil dans l’approbation et la supervision des mesures de cybersécurité.

  • Du matériel de formation ou, si vous faites appel à des formateurs externes, des preuves que la formation a été dispensée. Vous n’avez pas besoin de conserver des enregistrements complets de toutes les formations, mais vous devez disposer d’une documentation suffisante pour pouvoir démontrer à un régulateur que la formation a eu lieu et ce qu’elle couvrait.

  • Des registres de présence. Qui a reçu la formation? Quand? Vous n’avez pas besoin de tenir des registres détaillés si la formation est obligatoire, mais vous devez pouvoir démontrer que la formation a été proposée et que le personnel concerné a eu la possibilité d’y participer.

  • L’évaluation de la formation. Les participants ont-ils appris quelque chose? Leurs connaissances se sont-elles améliorées? Certaines organisations exigent des participants qu’ils remplissent une brève évaluation ou un formulaire de retour. Cela sert à la fois de preuve que la formation a eu lieu et d’occasion d’identifier les lacunes nécessitant une formation supplémentaire ou un renforcement.

  • Des preuves de mises à jour continues. La formation n’est pas une activité ponctuelle. Documentez la manière dont votre programme de formation est revu et mis à jour. Si de nouvelles menaces apparaissent ou si la réglementation change, comment cela affecte-t-il votre formation? La documentation des mises à jour démontre que la formation reste actuelle et pertinente.

Intégration avec le cadre de gestion des risques

La formation n’est pas isolée du reste de votre programme de gestion des risques. L’article 21 exige une approche globale comprenant l’analyse des risques, la gestion des incidents, la continuité des activités et d’autres mesures. La formation soutient l’ensemble de ces volets. Les employés qui comprennent pourquoi les plans de continuité des activités existent sont plus susceptibles de les suivre. Le personnel qui comprend les procédures de réponse aux incidents est plus susceptible de signaler les violations suspectées. Les conseils d’administration qui comprennent leurs obligations en matière de cybersécurité sont plus susceptibles d’allouer des ressources adéquates aux mesures de cybersécurité.

Les organisations efficaces intègrent la formation à leur gouvernance plus large de la cybersécurité. Après avoir réalisé une évaluation des risques, la formation peut être mise à jour pour traiter les risques identifiés. Après un incident, la formation peut être mise à jour pour aider à prévenir des incidents similaires. Lors de la mise en œuvre de nouvelles technologies ou processus, la formation prépare le personnel aux changements. Cette intégration rend la formation plus pertinente et augmente la probabilité qu’elle influe sur les comportements.

Points clés à retenir

  • L’article 20, paragraphe 2, impose une formation aux organes de direction et à leurs membres, pas seulement une formation de sensibilisation. Les administrateurs doivent acquérir les connaissances et les compétences nécessaires pour identifier les risques et évaluer les pratiques de gestion des risques de cybersécurité.

  • La formation des conseils doit couvrir le paysage de risques spécifique de l’organisation, les principes de proportionnalité, les obligations réglementaires, la relation entre la cybersécurité et la stratégie d’entreprise, ainsi que les structures de gouvernance et de responsabilité. La formation doit être continue et non ponctuelle.

  • La formation des employés doit inclure une hygiène cybernétique de base pour l’ensemble du personnel et une formation spécifique au rôle pour le personnel ayant des responsabilités en matière de cybersécurité. La formation doit être documentée, régulièrement mise à jour et suivie.

  • Certaines organisations accélèrent le développement de l’expertise du conseil en recrutant des membres du conseil possédant des qualifications en cybersécurité ou en nommant des conseillers indépendants en cybersécurité. Cela complète (mais ne remplace pas) la formation formelle.

  • Démontrez la conformité en conservant la documentation des programmes de formation, des matériels, des présences, de l’évaluation et des preuves de mises à jour continues. Les registres de formation constituent une preuve essentielle que vous respectez les obligations de l’article 20.

Daniel Grigorovich

Daniel Grigorovich · Fondateur

Je pense qu'aucune entreprise ne devrait avoir à subir les « listes de contrôle de conformité » ni à se débattre avec des textes réglementaires obscurs. Bien que je reste attaché au principe selon lequel tous les logiciels doivent être fiables et sécurisés, je souhaite offrir aux entreprises un moyen de surmonter les difficultés rencontrées lors de la mise en œuvre de ces exigences.