Cyber résilience et conformité : levier stratégique ou contrainte réglementaire ? Ce que révèlent les experts

Face à la multiplication des cyberattaques, une question s'impose : être conforme à DORA, NIS 2 ou ISO 22301 suffit-il vraiment à protéger son organisation ? Thomas Garnon (Everbridge), Christophe Ruppert (DEEP), Julien Beaussart (Société Générale) et Yoan Peesmeester (RSSI, groupe éditeur de logiciel) en débattent sans détour : la conformité est un socle indispensable, mais ce qui fait la différence en crise, c'est la culture de résilience, la qualité des tests et la capacité à décider vite. Pas l'épaisseur du dossier d'audit.

À l’heure où les cyberattaques se multiplient et frappent parfois des infrastructures critiques, une question revient avec insistance dans les directions générales : la cyber résilience est-elle simplement une obligation réglementaire, ou constitue-t-elle un véritable avantage stratégique ?
‍

C’est précisément le sujet débattu lors de cette table ronde réunissant plusieurs experts du secteur. Leur constat est clair : la conformité n’est pas une finalité, mais un socle indispensable pour construire une résilience opérationnelle durable.
‍

Les crises n’attendent jamais le bon moment
‍

L’un des constats les plus frappants de la discussion concerne la nature même des crises cyber : elles surviennent rarement dans des conditions idéales comme exprime Thomas Garnon : « Les crises arrivent toujours au pire moment. C’est jamais du lundi au vendredi. »

À lire aussi : Cloud Act, SecNumCloud, IA : pourquoi la souveraineté numérique européenne reste un chantier inachevé

L’exemple récent de l’attaque ayant touché le groupe La Poste pendant la période des fêtes illustre parfaitement cette réalité. Une période critique, marquée par une activité logistique intense, où chaque interruption peut provoquer des conséquences majeures. Pour les experts, cet épisode rappelle une vérité essentielle : la préparation fait toute la différence.
‍

Résilience : la préparation avant tout
‍

Face à une cyberattaque, il ne suffit pas de réagir vite. Encore faut-il avoir anticipé.

Les experts insistent sur la nécessité de structurer en amont :
‍

• un PCA (Plan de Continuité d’Activité),
• un PRA (Plan de Reprise d’Activité),
• une organisation claire de gestion de crise.
  ‍

Comme cela a été rappelé pendant l’échange par Julien Bossard :« On ne crée jamais de plan de continuité d’activité sur le feu. » Autrement dit : la résilience s’élabore avant l’incident, jamais pendant. La capacité de La Poste à maintenir certaines opérations malgré l’attaque est d’ailleurs citée comme exemple Julien Bossard : « Ils avaient de toute façon dans leur ADN un dispositif de continuité d’activité. » C’est exactement là que réside la différence entre une organisation simplement conforme… et une organisation réellement résiliente.
‍

Conformité : une obligation ou un accélérateur de maturité ?
‍

Le débat a largement porté sur le rôle des réglementations comme DORA, NIS2 ou encore les référentiels ISO. Pour les experts, il faut distinguer deux notions :
‍

Les normes volontaires
‍

Des standards comme l’ISO 22301 ou l’ISO 27001 relèvent d’une démarche volontaire. Ils servent de cadre méthodologique et permettent d’instaurer une logique d’amélioration continue.

Les réglementations contraignantes
‍

À l’inverse, les réglementations imposent un niveau minimal de maturité comme explique Julien Bossard :  « La réglementation, elle impose. Pas d’accord ou pas d’accord, on se doit de mettre en œuvre. » Cette contrainte n’est pas perçue comme punitive, mais comme un moyen d’élever collectivement le niveau de sécurité.
‍

Le piège de la conformité “papier”
‍

L’un des passages les plus intéressants concerne la critique d’une approche purement administrative de la conformité. Produire des politiques, rédiger des procédures et préparer un audit à la dernière minute ne garantit en rien une réelle capacité de résistance. Comme cela a été souligné par Christophe Ruppert : « La cyber résilience, elle ne s’improvise pas, elle ne s’invente pas. » La véritable validation passe par les tests, les exercices et les preuves concrètes.
‍

Le vrai défi : convaincre les directions
‍

La question budgétaire reste centrale. Comme l’a rappelé Yasmine Douadi : « Je n’ai pas encore croisé de directeur cybersécurité qui m’a répondu qu’il avait les budgets de ses rêves. » Alors comment convaincre un COMEX ? Christophe Ruppert et les invités autour de la table s’accordent sur un point : il faut parler le langage du business. « Il faut convaincre le COMEX en parlant son propre langage. »

À lire aussi : Moltbook et OpenClaw : quand les agents IA deviennent une menace pour la cybersécurité

Cela implique de traduire les risques cyber en impacts tangibles :

• pertes financières,
• interruption d’activité,
• impact réputationnel,
• sanctions réglementaires.

Julien Bossart résume parfaitement cette logique : « Une interruption d’activité, ça peut leur coûter tant par jour. » Face à des chiffres concrets, la cybersécurité cesse d’être perçue comme un centre de coût pour devenir un enjeu stratégique.
‍

La cyber résilience comme levier business
‍

Un point particulièrement intéressant ressort de la discussion : la conformité peut devenir un avantage concurrentiel. Avec l’essor des exigences imposées aux fournisseurs, démontrer sa maturité cyber devient un facteur de différenciation. Comme l’explique Yoan Peesmeester : « On a à la fois pour le patron entreprise la carotte et le bâton. »

À lire aussi : Ransomware 2026 : industrialisation, guerre économique et stratégies de défense

En clair :
‍

• ne pas investir coûte cher ;
• investir peut permettre de gagner des marchés.
  ‍

La cyber résilience devient alors non plus une contrainte, mais un véritable levier de performance et de développement commercial. Le consensus de la table ronde est limpide : être conforme ne garantit pas automatiquement d’être résilient. Mais une conformité bien pensée, testée et intégrée à la culture d’entreprise constitue une base solide.