Pourquoi ce sujet est-il pertinent pour mon organisation ?

Le comportement humain est la cause la plus fréquente d'incidents de sécurité. Connaître ce sujet et y être sensibilisé réduit directement et de manière mesurable le risque.

Comment 2LRN4 aide-t-il sur ce sujet ?

2LRN4 relie ce sujet à un module de formation orienté risque, à une simulation de phishing optionnelle et à des rapports, pour démontrer la conformité aux autorités et au conseil.

Une formation de sensibilisation suffit-elle ou faut-il plus ?

La formation est un pilier nécessaire mais pas un bouclier complet. Combinez-la à des mesures techniques (MFA, filtrage e-mail), à des procédures et à une culture de signalement pour une protection optimale.

L'obligation de formation des dirigeants sous NIS2 (France et Belgique)

La directive NIS2 impose une obligation de formation et de responsabilité aux organes de direction de toutes les entités essentielles et importantes — qu'elles soient établies en France ou en Belgique. En France, la transposition a été opérée par la loi du 30 avril 2025 relative à la résilience des activités d'importance vitale, sous la supervision de l'ANSSI. En Belgique, la loi NIS2 du 26 avril 2024, supervisée par le Centre for Cybersecurity Belgium (CCB), contient un dispositif comparable. Cet article détaille les obligations communes, les sanctions applicables et les bonnes pratiques d'exécution.

Qui est concerné par l'obligation de formation ?

L'obligation pèse sur les organes de direction de toute entité essentielle ou importante au sens de NIS2. En droit français comme en droit belge, cela recouvre :

Les présidents, directeurs généraux et membres du conseil d'administration des sociétés anonymes et sociétés par actions simplifiées
Les gérants et associés des SARL, SAS et SCS dotées d'un pouvoir de direction effectif
Les dirigeants d'établissements publics et d'opérateurs de services essentiels (énergie, transport, santé, infrastructure numérique)
Les membres du comité de direction des entités relevant du secteur financier (banques, assurances, infrastructures de marché)
En Belgique : les administrateurs et délégués à la gestion journalière des entités désignées comme essentielles ou importantes par le CCB

Contenu attendu de la formation

L'article 20 de NIS2, repris à l'identique en droit français et belge, exige que les membres de l'organe de direction reçoivent une formation leur permettant d'identifier les risques de cybersécurité, d'évaluer leur impact sur l'entité et de prendre les décisions appropriées. Aucun référentiel unique n'est imposé, mais l'ANSSI et le CCB ont publié des recommandations détaillées qui font office de standard en pratique.

Le contenu attendu couvre typiquement : panorama actuel des menaces (rançongiciels, ingénierie sociale, attaques sur la chaîne d'approvisionnement), obligations NIS2 et rôle de gouvernance, responsabilité personnelle des dirigeants, procédures de notification d'incidents auprès du CSIRT national (CERT-FR en France, CCB en Belgique), ainsi que la traduction du risque technique en arbitrages stratégiques.

Point essentiel : la formation doit être démontrablement conçue pour des décideurs. Un module générique de sensibilisation destiné aux salariés ne satisfait pas l'obligation NIS2 — l'ANSSI l'a explicitement rappelé dans son guide d'application.

Fréquence et durée

Les textes français et belge reprennent le terme de NIS2 : la formation doit être périodique. Les orientations de l'ANSSI et du CCB convergent vers au moins une session formelle par an et par dirigeant, complétée par des mises à jour ciblées après un incident significatif ou un changement réglementaire majeur.

L'investissement réaliste est de 4 à 8 heures par dirigeant et par an : 2 à 3 heures de formation initiale, 2 à 3 heures d'approfondissement et 1 à 2 heures d'exercice de simulation ou de table-top. Plusieurs sessions courtes de 30 à 60 minutes fonctionnent mieux en pratique qu'une seule séance annuelle longue.

Les nouveaux dirigeants doivent achever leur formation dans les six mois suivant leur nomination. Pour les dirigeants en poste, une période d'adaptation de 12 à 24 mois s'applique à compter de l'entrée en vigueur du texte national, suivie d'un renouvellement annuel.

Documentation et preuve

En cas de contrôle de l'ANSSI ou du CCB, la première question est presque toujours : « montrez que les dirigeants ont été formés ». Les éléments à conserver :

Par dirigeant : nom, date, contenu, durée, prestataire, preuve d'achèvement (certificat ou journal de plateforme)
Par entité : plan de formation pour l'exercice en cours et le suivant, lié aux nominations et renouvellements
Par ordre du jour : réunions du conseil ou du comité de direction où la cybersécurité a été abordée, avec procès-verbaux à l'appui
Par incident : moment de l'information de la direction, décision prise, action de suivi convenue
Des journaux infalsifiables (horodatage et piste d'audit) sont nettement plus solides que des certificats ou des courriels isolés

Responsabilité personnelle et sanctions

NIS2 introduit une responsabilité personnelle directe des dirigeants en cas de manquement à leurs obligations. En France, la loi du 30 avril 2025 prévoit que l'ANSSI peut, dans les cas graves, prononcer une interdiction temporaire d'exercice de fonctions de direction ; en Belgique, la loi du 26 avril 2024 confère un pouvoir équivalent au CCB et à la justice civile.

Au niveau de l'entité, les sanctions financières peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, et 7 millions d'euros ou 1,4 % pour les entités importantes. S'y ajoutent la responsabilité civile pour les préjudices causés à des tiers et, en cas de dissimulation volontaire d'un incident, des conséquences pénales.

Est considéré comme fautif le dirigeant qui connaît ou devrait raisonnablement connaître un risque sans prendre de mesures appropriées. Un dirigeant qui peut démontrer qu'il a suivi la formation, inscrit le sujet à l'ordre du jour et pris des décisions motivées est en règle générale protégé.

Erreurs fréquentes en France et en Belgique

L'ANSSI et le CCB observent les mêmes schémas dans la première vague d'application :

Utiliser un module générique de sensibilisation pour les dirigeants au lieu d'une formation spécifique à la gouvernance — formellement une case à cocher, pas une preuve recevable
Déléguer entièrement la cybersécurité au RSSI sans que la direction ne s'assure du suivi — NIS2 exige un pilotage actif, pas seulement une approbation formelle
Absence de procès-verbaux des réunions où la cybersécurité a été traitée — sans point à l'ordre du jour, l'autorité de contrôle considère qu'il n'y a pas eu de prise en charge
Confusion entre conformité et sécurité — une entité peut être conforme NIS2 sur le papier tout en restant vulnérable en pratique ; les dirigeants doivent pouvoir distinguer les deux
Onboarding tardif des nouveaux dirigeants — une formation reportée à plus de douze mois après la nomination crée un écart immédiatement décelable en audit

De l'explication à l'action

Découvrez comment 2LRN4 traduit ce sujet en un programme opérationnel avec formation, simulation de phishing et reporting pour la direction.

Voir la page NIS2

Sources

FAQ

La formation des dirigeants peut-elle être suivie en ligne ?

Oui. Ni la loi française du 30 avril 2025 ni la loi belge du 26 avril 2024 n'imposent un format particulier. Formation en ligne, hybride ou présentielle sont équivalentes, à condition que l'achèvement soit démontrable et que le contenu soit pertinent. Des modules courts de 30 à 60 minutes s'intègrent généralement mieux dans l'agenda des dirigeants qu'une longue session annuelle unique.

L'obligation s'applique-t-elle au conseil de surveillance ou au conseil d'administration non exécutif ?

Elle vise l'organe de direction au sens de NIS2. Dans une structure dualiste, cela recouvre principalement le directoire ou le comité de direction. Le conseil de surveillance n'est pas directement visé mais devrait, au titre de son devoir de contrôle, suivre une formation équivalente pour exercer correctement sa mission.

Que faire si un dirigeant refuse de suivre la formation ?

C'est formellement un manquement de l'entité et matériellement du dirigeant concerné. Le conseil d'administration ou l'assemblée des associés doit intervenir. En cas de refus persistant, le mandat peut être révoqué ; en dernier ressort, l'ANSSI ou le CCB peuvent prendre des mesures coercitives.

Un MBA comportant un module cybersécurité suffit-il ?

Rarement. La formation doit être démontrablement ciblée sur le rôle d'un dirigeant d'entité NIS2. Un module MBA généraliste atteint difficilement le degré de spécificité attendu par les autorités. Une formation board cyber dédiée, avec contexte NIS2 français ou belge, est nettement plus solide.

Quel budget prévoir ?

Pour un programme professionnel incluant certification, e-learning et session annuelle de mise à jour, comptez entre 500 et 2 000 euros par dirigeant et par an. Les programmes sectoriels collectifs sont souvent plus avantageux pour les petites entités ; les grands groupes opèrent généralement une académie interne de gouvernance, plus efficiente à grande échelle.

Comment l'obligation NIS2 s'articule-t-elle avec la sensibilisation générale des salariés ?

Ce sont deux obligations distinctes. La formation des dirigeants relève de l'article 20 de NIS2 ; la sensibilisation générale relève des mesures de gestion des risques de l'article 21. Toutes deux sont obligatoires, complémentaires et doivent en pratique faire l'objet de programmes séparés, avec des contenus, des publics et des indicateurs propres.