Mise en conformité NIS2 : Quels sont les enseignements tirés par Orange Business ?

Face à l’explosion des cybermenaces, avec 135 225 incidents détectés en 2024 (+4,5 % en un an, Source : OCD Security Navigator 2025), la directive NIS2 s’impose comme un cadre clé pour renforcer la cybersécurité en Europe. Etienne Bauche, Directeur Sécurité chez Orange Business, partage les enseignements tirés de l’expérience d’Orange Business pour aider les entreprises à relever ce défi.

Quels sont les enjeux clés de la directive NIS2 pour les entreprises, et en particulier pour Orange Business ?

La directive NIS2 a pour objectif d’instaurer un socle commun de cybersécurité à l’échelle européenne pour les entités essentielles et importantes, réparties sur 18 secteurs d’activité. Environ 15 000 entreprises en France et 100 000 en Europe sont concernées. L’idée est de favoriser un environnement numérique plus sûr et résilient.  Pour les entreprises, les principaux enjeux consistent à mettre en place des mesures techniques et organisationnelles renforcées, basées sur une évaluation des risques, y compris ceux liés à la chaîne d’approvisionnement. Cette directive aura un impact systémique qui dépasse les secteurs directement ciblés. Les entreprises devront également se préparer à des contrôles renforcés et à des sanctions en cas de non-conformité. Enfin, les multinationales devront composer avec des transpositions nationales qui peuvent varier d’un pays à l’autre.  Chez Orange Business, ces défis sont particulièrement importants. Nous opérons dans plusieurs secteurs visés par la réglementation et sommes présents dans la majorité des pays de l’Union Européenne. Cela signifie que nous devons non seulement assurer notre propre conformité à NIS2, mais aussi accompagner nos clients dans leur mise en conformité grâce à des offres et un accompagnement adapté.

Comment Orange Business a-t-il abordé sa propre mise en conformité avec NIS2 ?

Chez Orange Business, nous avons choisi d’intégrer dans un seul et même programme la conformité à toutes les réglementations européennes récentes, telles que NIS2, DORA, REC ou CRA, pour bénéficier d’une gouvernance unifiée. Ce programme couvre l’ensemble des pays européens où nous opérons.

Pour le développer, nous nous sommes appuyés sur l’expertise d’Orange Cyberdefense et d’Orange Consulting. Ce choix répond à un double objectif : maximiser l’efficacité et minimiser les coûts associés à la mise en conformité. Nous utilisons des processus et des outils communs, comme un processus renforcé de gestion des incidents de sécurité, déployé dans chacune de nos filiales.

En complément, nous adaptons des mesures spécifiques dans chacun des 22 pays où nous sommes présents, afin de répondre aux attentes des autorités locales et de nos clients. Enfin, nous nous appuyons sur des certifications et attestations de sécurité, telles qu’ISO 27001 et SOC 2, qui permettent de démontrer de manière indépendante la pertinence et l’efficacité de nos mesures de sécurité.

Quels bénéfices pour les clients d’Orange Business ?

Que ce soit NIS2 ou DORA, ces réglementations permettent d’élever le niveau global de cybersécurité en imposant un cadre formel, commun et auditable. Elles renforcent la résilience des entreprises et apportent une transparence accrue dans la gestion des risques.

Pour les clients d’Orange Business, faire appel à un fournisseur soumis à NIS2 et multi-certifié offre des garanties essentielles : une meilleure protection des données, une continuité renforcée des services et une transparence accrue sur des aspects comme la gestion des incidents ou les audits. Pour ceux qui sont eux-mêmes soumis à des réglementations, comme les acteurs du secteur financier avec DORA, cela simplifie la gestion des risques fournisseurs et réduit les coûts liés aux audits.

De plus, les résultats de notre programme de mise en conformité bénéficient à tous nos clients, de manière homogène, quel que soit leur secteur d’activité, leur taille ou le pays dans lequel ils utilisent nos services. Cela leur assure un haut niveau de fiabilité et de sécurité partout en Europe.

Quels retours d’expérience Orange Business peut-il partager sur sa mise en conformité ?

Même si les transpositions nationales de NIS2 sont encore en cours, nous pouvons déjà partager quelques premiers enseignements issus de notre expérience. L’anticipation a été un élément clé : nous avons rapidement mobilisé le COMEX du groupe pour garantir un engagement fort dès le départ.

Nous avons également défini des priorités claires pour guider l’implémentation et mis en place un référentiel unique d’exigences transnationales vis à vis duquel nos écarts de conformité ont été évalués par Orange Cyberdefense. Cela nous a permis d’aborder la mise en conformité de manière globale, sans traiter pays par pays, tout en prenant en compte les spécificités locales. Un outil dédié au suivi de la conformité et au stockage des preuves a aussi été déployé pour assurer une traçabilité optimale.

Par ailleurs, nous avons communiqué largement, y compris auprès des employés hors Europe, pour garantir une compréhension et une adhésion à tous les niveaux. Enfin, nous avons veillé à ce que notre approche couvre tous les segments d’entreprise, des plus petites structures aux grands groupes.

Notre programme de mise en conformité est en cours de finalisation et dépendra des délais de mise en œuvre de chaque pays européen. 
Ces premiers retours nous permettent aujourd’hui de partager notre expérience et d’accompagner nos clients dans leur propre mise en conformité. Cela reflète notre engagement à anticiper les évolutions et à favoriser l’innovation dans un environnement numérique de confiance. 
 

Pour aller plus loin

• Vidéo Parole d'expert : Découvrez les certifications de sécurité d'Orange Business !
• Confiance numérique : Orange Business s’engage et dévoile sa vision
• La confiance au cœur de notre modèle opérationnel