Opinion | Eléonore Favero, Avocate « Cyberattaques : la responsabilité des entreprises est-elle en train de changer de dimension ? »
21/04/2026
Entre la directive NIS 2, le règlement DORA et le Cyber Resilience Act, le cadre européen de la cybersécurité se durcit et se complexifie à une vitesse inédite. Pour les entreprises, la question n’est plus de savoir si elles seront attaquées, mais si elles seront en mesure de démontrer qu’elles s’y étaient préparées. Car c’est bien là que réside le basculement : la cybersécurité quitte le périmètre de la DSI pour devenir un enjeu de gouvernance à part entière, avec des conséquences directes sur la responsabilité personnelle des dirigeants, la valorisation de l’entreprise et sa capacité à rester assurable.
Par Eléonore Favero, avocate associée, spécialiste en droit des Nouvelles technologies et cybersécurité
Eléonore Favero, avocate associée, spécialiste en droit des Nouvelles technologies et cybersécurité
Du risque technique au risque de gouvernance
Pendant longtemps, les cyberattaques ont été traitées comme un incident technique. Le sujet restait confiné au bureau du RSSI, loin des comités de direction et des assemblées générales.
Cette époque est révolue.
En 2025, près d’une entreprise sur deux en France déclarait avoir subi au moins une cyberattaque avec un impact significatif, selon le baromètre annuel du CESIN. Le coût moyen d’un incident pour une PME oscille désormais entre 25 000 et 500 000 euros, sans compter les pertes de contrats, l’atteinte réputationnelle et les contentieux qui en découlent.
Ce qui change fondamentalement en 2026, ce n’est pas la nature de la menace. C’est le regard que le droit porte sur ceux qui la subissent.
Il serait excessif d’affirmer que toute cyberattaque engage mécaniquement la responsabilité de l’entreprise. Aucune organisation, même mature, ne peut prétendre à l’invulnérabilité. En revanche, le standard d’appréciation se durcit. Ce qui était autrefois toléré comme une faille ponctuelle est désormais examiné comme un révélateur de maturité organisationnelle.
Le juge, le régulateur, ou l’investisseur ne regardent plus uniquement l’existence d’une attaque. Ils regardent la préparation : cartographie des risques, politique de gestion des accès, segmentation des systèmes, supervision, clauses contractuelles avec les prestataires, plans de réponse à incident, exercices de crise, traçabilité des décisions, formation des dirigeants. Tous ces éléments deviennent des pièces de démonstration.
NIS 2, DORA, CRA : le triptyque qui rebat les cartes
En trois ans, l’Union européenne a renforcé son cadre réglementaire en matière de cybersécurité autour de trois textes majeurs.
La directive NIS 2, dont la transposition en droit français est attendue au premier semestre 2026 via la loi Résilience, élargit très fortement le nombre d’entreprises concernées. En France, on passerait d’une centaine d’opérateurs sous NIS 1 à près de 18 000 entités. Le texte impose une gestion plus structurée des risques, des notifications d’incidents sous 24 heures et, surtout,
marque un tournant en engageant directement la responsabilité des dirigeants. Ceux-ci doivent valider les mesures de cybersécurité, en contrôler la mise en œuvre et se former régulièrement. En cas de manquement, ils peuvent faire l’objet de sanctions individuelles, voire d’une interdiction temporaire d’exercer. Pour les entités essentielles, les amendes peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial.
Le règlement DORA, applicable depuis janvier 2025, vise spécifiquement le secteur financier. Il affirme clairement que l’organe de direction porte la responsabilité finale de la gestion du risque numérique. Les dirigeants doivent donc disposer de compétences suffisantes pour évaluer ces risques et les maintenir à jour par des formations régulières.
Enfin, le Cyber Resilience Act impose de nouvelles obligations à l’ensemble des fabricants, importateurs et distributeurs de produits connectés. Avec des sanctions pouvant aller jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial, il consacre un principe clair : la cybersécurité dès la conception devient une condition d’accès au marché européen.
La responsabilité personnelle du dirigeant : un changement de paradigme
Le véritable changement apporté par ces textes ne tient pas seulement au niveau des sanctions, mais à la manière dont la responsabilité est désormais attribuée.
Jusqu’à présent, en cas de cyberattaque, le risque juridique pesait principalement sur l’entreprise elle-même. Les dirigeants pouvaient encore considérer que le sujet relevait avant tout des équipes techniques. Ce raisonnement ne tient plus.
Avec NIS 2 et DORA, les organes de direction sont directement tenus à une obligation de vigilance, de supervision et de compétence. En d’autres termes, ne pas maîtriser les enjeux cyber de son entreprise ne pourra plus être invoqué comme une simple lacune : cela pourra être considéré comme une faute. La cybersécurité rejoint ainsi d’autres domaines sensibles, comme la conformité financière ou la lutte contre le blanchiment, où le dirigeant ne peut plus se retrancher derrière l’ignorance.
Cette évolution dépasse d’ailleurs largement les seules entreprises directement visées par ces textes. Pour chaque entité soumise à NIS 2, de nombreux prestataires et partenaires de sa chaîne d’approvisionnement seront, eux aussi, entraînés dans cette montée en exigence par le jeu des obligations contractuelles. Autrement dit, ces réglementations fixent déjà un standard de référence qui influence bien au-delà de leur périmètre strict.
Assurance, valorisation, réputation : les dommages collatéraux de l’impréparation
Au-delà du risque juridique, c’est toute l’architecture économique de l’entreprise qui est affectée.
Les assureurs, d’abord. Le marché de la cyber-assurance se durcit. Les compagnies conditionnent désormais la couverture à un niveau démontrable de conformité. Une entreprise qui n’aurait pas mis en place les mesures imposées par NIS 2 ou DORA pourrait se voir opposer une exclusion de garantie au motif de « faute grave ». L’impréparation devient un risque de non-assurabilité.
Les investisseurs, ensuite. Les agences de notation intègrent le risque cyber dans leur évaluation. La notation ESG comporte une dimension cybersécurité croissante, sous l’angle tant de la gouvernance que de la responsabilité sociétale. Une faille de sécurité rendue publique, assortie d’une sanction réglementaire, peut provoquer un décrochage de valorisation bien supérieur au montant de l’amende elle-même.
Les partenaires commerciaux, enfin. L’exclusion des chaînes d’approvisionnement de grandes entreprises, qui imposent contractuellement la conformité NIS 2 à leurs sous-traitants, constitue un risque existentiel pour de nombreuses PME et ETI.
Une opportunité stratégique pour les entreprises préparées
Il serait toutefois réducteur de voir dans cette évolution une simple contrainte. Les entreprises qui anticipent, en renforçant leur gouvernance cyber, en formant leurs dirigeants et en structurant leur gestion des risques, peuvent en faire un véritable avantage concurrentiel.
La conformité en matière de cybersécurité devient désormais un facteur de confiance. Elle peut faire la différence dans un appel d’offres, peser dans une négociation d’assurance ou rassurer des investisseurs de plus en plus attentifs à la maîtrise des risques.
La cybersécurité n’est donc plus un sujet réservé aux équipes techniques. Elle s’impose désormais au conseil d’administration, à la fois sur le plan juridique, financier et stratégique. Pour les dirigeants, la question n’est plus de savoir s’ils doivent s’en saisir, mais s’ils seront capables de prouver qu’ils ont anticipé ce risque avant qu’il ne se concrétise.
À l’approche des premiers enregistrements obligatoires que l’ANSSI devrait engager au second semestre 2026, l’attentisme n’est plus une option. La cybersécurité n’est plus seulement un coût : elle devient une condition de pérennité.