Pour les organisations considérées comme essentielles ou importantes, la conformité ne se limitera plus à la simple existence de politiques de cybersécurité documentées, mais consistera également à démontrer leur capacité réelle à résister à un incident, à y répondre et à s'en remettre.

La directive NIS2 de l'Union européenne entre dans une phase de renforcement de son application, la responsabilité étant transférée de la Commission européenne aux autorités nationales de surveillance. Suite aux retards de transposition de la directive en droit national, les organisations considérées comme critiques ou essentielles doivent désormais aller au-delà de la simple documentation de leurs politiques de cybersécurité et démontrer leur capacité à prévenir, gérer et se remettre d'incidents de cybersécurité. En mai 2025, la Commission européenne a accentué la pression en adressant des avis motivés à 19 États membres n'ayant pas encore pleinement transposé NIS2, les exposant ainsi à d'éventuelles poursuites devant la Cour de justice de l'Union européenne.

Face à l'évolution constante des réglementations nationales, les organisations peuvent s'attendre à un contrôle renforcé, notamment par le biais d'obligations d'enregistrement, d'audits, d'évaluations de conformité et de sanctions potentielles. L'une des principales implications de la directive NIS2 est que la cyber-résilience et les capacités de reprise d'activité deviennent des obligations de conformité essentielles. Cette directive impose des mesures complètes de gestion des risques, incluant des plans de continuité d'activité, des sauvegardes, des plans de reprise après sinistre, la gestion de crise, la sécurité de la chaîne d'approvisionnement, le contrôle d'accès, le chiffrement et le signalement des incidents. Les organisations doivent être en mesure de démontrer leur capacité à restaurer leurs systèmes critiques et à maintenir leurs opérations, même en cas de cyberattaques de grande ampleur.

La menace des rançongiciels

Cette exigence intervient à un moment où les ransomwares demeurent l'une des plus grandes menaces pour la continuité des activités. Selon le rapport 2025 de Veeam sur les tendances en matière de ransomwares, 69 % des organisations interrogées ont subi au moins une attaque de ce type. Ce chiffre confirme que le renforcement des défenses ne dispense pas de la mise en place d'une stratégie de reprise d'activité robuste.
Les attaquants ciblent de plus en plus les environnements de sauvegarde afin d'empêcher la restauration des données et d'accroître la pression sur les victimes. Si les sauvegardes peuvent être modifiées, supprimées ou chiffrées, les organisations s'exposent non seulement à des interruptions d'activité, mais aussi à des risques de non-conformité réglementaire.

L'importance de l'immuabilité

Dans ce contexte, Object First souligne l'importance d'un stockage de sauvegarde à immuabilité absolue, composante essentielle de toute stratégie de résilience. L'entreprise met toutefois en garde : toutes les solutions de stockage de sauvegarde présentées comme immuables n'offrent pas le même niveau de protection. L'une des différences majeures réside dans le fait qu'avec l'immuabilité absolue, même les administrateurs disposant de privilèges (ou les attaquants ayant accédé à l'environnement de stockage) ne peuvent ni modifier ni supprimer les données de sauvegarde une fois enregistrées.

Pour les organisations concernées par la directive, la priorité en 2026 sera de passer d'une simple préparation formelle à la démonstration concrète de leurs capacités de réponse, preuves à l'appui. Disposer de plans de continuité d'activité ou de politiques de sauvegarde ne suffira plus. Les autorités de réglementation, les clients et les partenaires exigeront de plus en plus la preuve que les organisations sont capables de restaurer leurs données, de maintenir leurs opérations et de documenter leur réponse en cas d'incident.

Déclarations

Daniel Fried, vice-président senior des ventes mondiales chez Object First
: « Avec NIS2, la résilience et les capacités de récupération ne sont plus de simples bonnes pratiques techniques, mais des exigences de conformité mesurables. Les organisations doivent démontrer que leurs systèmes et données critiques peuvent être restaurés après une cyberattaque, garantissant ainsi la continuité de leurs activités et la stabilité opérationnelle. Cela renforce l’importance de l’intégrité des sauvegardes, car il sera nécessaire de démontrer que les données de récupération ne peuvent être ni modifiées, ni chiffrées, ni supprimées par des attaquants pendant un incident. »