Guides & Ressources pratiques
Agent commercial : définition, statut juridique et différences avec le VRP
Cyber : définition juridique, périmètre et obligations pour les entreprises en 2026
Points clés de l'article
- Le préfixe « cyber » désigne l'ensemble des enjeux liés à la sécurité des systèmes d'information et des données numériques, avec des déclinaisons précises : cybersécurité, cyberattaque, cyber-risque, cyber-assurance.
- En droit français, le cadre repose sur l'ANSSI, le RGPD, la loi de programmation militaire (LPM) et le Code pénal (articles 323-1 à 323-8).
- La directive européenne NIS2, transposable d'ici octobre 2024, élargit les obligations de cybersécurité à plus de 15 000 entités en France, contre 500 sous NIS1.
- Cybersécurité et sécurité informatique ne sont pas synonymes : la première intègre une dimension juridique, organisationnelle et de gouvernance absente de la seconde.
- Un vocabulaire partagé entre DSI et direction juridique est un prérequis pour aligner conformité réglementaire, couverture assurantielle et arbitrages budgétaires.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
1. Cyber : définition générique et déclinaisons (cybersécurité, cyberattaque, cyber-risque)
2. Origine du terme et évolution sémantique dans le monde de l'entreprise
3. Cadre légal et institutionnel français : ANSSI, RGPD, LPM
4. Cadre européen : directive NIS2 et Cyber Resilience Act
5. Cyber vs sécurité informatique vs résilience numérique : différences clés
6. Cas d'usage en entreprise : cyber-assurance, cyber-attaque, cyber-gouvernance
7. Erreurs fréquentes et faux-amis à éviter
Le terme cyber s'est imposé dans le vocabulaire des entreprises françaises sans qu'une définition unique et stabilisée ne fasse consensus. En 2023, l'ANSSI a recensé 831 intrusions avérées dans des systèmes d'information en France, soit une hausse de 30 % par rapport à 2022. Pour un DSI, cette inflation des menaces rend indispensable un cadre terminologique partagé avec la direction juridique, la direction financière et la direction générale. Sans vocabulaire commun, les arbitrages budgétaires, les obligations de conformité et les couvertures assurantielles reposent sur des malentendus.
1. Cyber : définition générique et déclinaisons (cybersécurité, cyberattaque, cyber-risque)
Le préfixe cyber dérive du grec kubernêtikê (art de gouverner). Dans son usage contemporain, il désigne tout ce qui se rapporte à la sécurité, aux menaces et à la gouvernance des systèmes d'information numériques.
Trois déclinaisons structurent l'essentiel du vocabulaire opérationnel :
- Cybersécurité : ensemble des mesures techniques, organisationnelles et juridiques destinées à protéger les systèmes d'information, les réseaux et les données contre les accès non autorisés, les altérations ou les destructions. L'ANSSI la définit comme « l'état recherché pour un système d'information lui permettant de résister à des événements issus du cyberespace ».
- Cyberattaque : action malveillante visant à compromettre la disponibilité, l'intégrité ou la confidentialité d'un système d'information. Le Code pénal français (articles 323-1 à 323-8) sanctionne ces actes sous la qualification d'atteintes aux systèmes de traitement automatisé de données (STAD).
- Cyber-risque : probabilité qu'une menace exploite une vulnérabilité d'un système d'information et génère un impact financier, opérationnel ou réputationnel pour l'entreprise.
| Terme | Périmètre | Dimension principale |
|---|---|---|
| Cybersécurité | Protection des SI, réseaux, données | Défensive et préventive |
| Cyberattaque | Acte malveillant ciblant un SI | Offensive et événementielle |
| Cyber-risque | Exposition à une menace numérique | Probabiliste et financière |
Ces 3 notions forment un triptyque indissociable : le cyber-risque évalue la menace, la cyberattaque la matérialise, la cybersécurité vise à l'empêcher ou à en limiter les effets.
2. Origine du terme et évolution sémantique dans le monde de l'entreprise
Le terme cyberspace apparaît en 1984 dans le roman Neuromancer de William Gibson. Son usage juridique et institutionnel ne se stabilise qu'à partir des années 2000, lorsque les États commencent à structurer leur doctrine de défense numérique.
En France, la création de l'ANSSI en 2009 marque un tournant. L'agence impose progressivement un vocabulaire normé dans ses référentiels. Le mot cyber passe alors du registre de la science-fiction à celui de la gouvernance d'entreprise.
Trois phases résument cette évolution :
- 2000-2010 : le terme reste cantonné aux sphères militaires et de renseignement. Les entreprises parlent de « sécurité informatique ».
- 2010-2020 : les attaques de grande ampleur (TV5Monde en 2015, Saint-Gobain via NotPetya en 2017 avec 250 millions d'euros de pertes) font entrer le mot cyber dans le langage des comités de direction.
- 2020-2026 : la réglementation européenne (RGPD, NIS2, Cyber Resilience Act) institutionnalise le terme. Il devient un poste budgétaire identifié, un axe de conformité et un critère d'assurabilité.
Cette trajectoire explique pourquoi le même mot recouvre, selon l'interlocuteur, une réalité technique, juridique ou financière. Le rôle du DSI consiste précisément à aligner ces lectures.
Structurer la gouvernance cyber de l'entreprise suppose un cadre juridique adapté aux obligations sectorielles et à la taille de l'organisation.
Découvrir les avocats spécialisés en cybersécurité sur SWIM LEGAL
3. Cadre légal et institutionnel français : ANSSI, RGPD, LPM
En France, le cadre juridique du cyber repose sur 3 piliers complémentaires.
L'ANSSI et la loi de programmation militaire (LPM)
L'ANSSI, rattachée au Secrétariat général de la défense et de la sécurité nationale (SGDSN), est l'autorité nationale en matière de cybersécurité. La LPM de 2013, renforcée en 2024, impose aux opérateurs d'importance vitale (OIV) — environ 250 entités — des obligations de notification d'incidents, d'audit et de mise en conformité de leurs systèmes d'information.
Le RGPD et la protection des données
Le RGPD (règlement européen 2016/679) ne traite pas directement de cybersécurité, mais son article 32 impose aux responsables de traitement de mettre en œuvre des « mesures techniques et organisationnelles appropriées » pour garantir la sécurité des données personnelles. Une violation de données (data breach) doit être notifiée à la CNIL dans un délai de 72 heures. En 2023, la CNIL a reçu 4 668 notifications de violations de données, dont 43 % liées à des cyberattaques.
Le Code pénal
Les articles 323-1 à 323-8 du Code pénal sanctionnent l'accès frauduleux à un STAD (jusqu'à 3 ans d'emprisonnement et 100 000 euros d'amende), l'entrave au fonctionnement d'un STAD et l'introduction frauduleuse de données.
| Source juridique | Obligation principale | Entités concernées |
|---|---|---|
| LPM / ANSSI | Notification d'incidents, audit, conformité SI | OIV (~250 entités) |
| RGPD (art. 32) | Mesures de sécurité des données personnelles | Tout responsable de traitement |
| Code pénal (art. 323-1 à 323-8) | Incrimination des atteintes aux STAD | Toute personne physique ou morale |
4. Cadre européen : directive NIS2 et Cyber Resilience Act
La directive NIS2
Adoptée en décembre 2022, la directive NIS2 (UE 2022/2555) remplace la directive NIS1 de 2016. Elle élargit considérablement le périmètre des entités soumises à des obligations de cybersécurité. En France, le nombre d'entités concernées passe d'environ 500 (NIS1) à plus de 15 000 (NIS2), réparties en 2 catégories :
- Entités essentielles : énergie, transports, santé, eau potable, infrastructures numériques, administrations publiques.
- Entités importantes : services postaux, gestion des déchets, fabrication de produits chimiques, agroalimentaire, cloud, data centers.
Les obligations incluent la mise en place de politiques d'analyse des risques, la gestion des incidents, la continuité d'activité, la sécurité de la chaîne d'approvisionnement et la notification d'incidents significatifs dans un délai de 24 heures (alerte initiale) puis 72 heures (rapport détaillé).
Le Cyber Resilience Act (CRA)
Adopté en octobre 2024, le Cyber Resilience Act impose des exigences de cybersécurité aux fabricants et éditeurs de produits comportant des éléments numériques (objets connectés, logiciels). Il introduit l'obligation de fournir des mises à jour de sécurité pendant toute la durée de vie du produit et de signaler les vulnérabilités activement exploitées à l'ENISA dans un délai de 24 heures.
Pour un DSI, le CRA modifie la relation contractuelle avec les fournisseurs : chaque composant logiciel ou matériel intégré au SI doit désormais répondre à des critères de sécurité documentés et vérifiables.
L'entrée en application de NIS2 et du CRA crée de nouvelles obligations contractuelles et de conformité qui nécessitent un accompagnement juridique spécialisé.
Consulter un avocat en cybersécurité sur SWIM LEGAL
5. Cyber vs sécurité informatique vs résilience numérique : différences clés
Ces 3 termes sont souvent utilisés comme synonymes. Ils désignent pourtant des périmètres distincts.
La sécurité informatique (IT security) couvre la protection technique des systèmes : pare-feu, antivirus, chiffrement, gestion des accès. Elle relève principalement de la DSI et se concentre sur l'infrastructure.
La cybersécurité englobe la sécurité informatique mais y ajoute une dimension organisationnelle (politiques de sécurité, formation des collaborateurs), juridique (conformité RGPD, NIS2) et stratégique (gouvernance des risques, reporting au comité de direction). Elle implique la direction générale, la direction juridique et la direction financière.
La résilience numérique (digital resilience) désigne la capacité d'une organisation à maintenir ses activités pendant et après un incident cyber. Elle intègre les plans de continuité d'activité (PCA), les plans de reprise d'activité (PRA), les exercices de crise et la communication de crise.
| Concept | Périmètre | Acteurs principaux | Horizon temporel |
|---|---|---|---|
| Sécurité informatique | Technique (SI, réseaux) | DSI, équipes IT | Prévention |
| Cybersécurité | Technique + juridique + organisationnel | DSI, DJ, DG | Prévention + détection + réponse |
| Résilience numérique | Continuité et reprise d'activité | DG, DSI, métiers | Pendant et après l'incident |
Un DSI qui présente un budget « cybersécurité » au comité de direction doit donc préciser s'il couvre uniquement la sécurité technique ou s'il intègre la conformité réglementaire et la résilience opérationnelle. Cette distinction conditionne le montant, le périmètre et les indicateurs de suivi.
6. Cas d'usage en entreprise : cyber-assurance, cyber-attaque, cyber-gouvernance
Cyber-assurance
La cyber-assurance couvre les conséquences financières d'un incident cyber : frais de notification, pertes d'exploitation, frais de restauration des données, responsabilité civile. En France, le marché de la cyber-assurance a atteint 328 millions d'euros de primes en 2023 selon France Assureurs. La loi LOPMI de janvier 2023 conditionne l'indemnisation au dépôt d'une plainte dans les 72 heures suivant la connaissance de l'attaque.
Les assureurs exigent désormais des prérequis techniques documentés : authentification multifacteur (MFA), sauvegardes déconnectées, segmentation réseau. Un DSI qui ne peut pas démontrer ces mesures risque un refus de couverture ou une exclusion de garantie.
Cyberattaque : qualification et réponse
Lorsqu'une cyberattaque survient, la qualification juridique de l'incident détermine les obligations de l'entreprise :
- Violation de données personnelles : notification CNIL sous 72 heures (RGPD, art. 33).
- Incident affectant un OIV : notification ANSSI sans délai (LPM).
- Incident affectant une entité NIS2 : alerte initiale sous 24 heures, rapport sous 72 heures.
Cyber-gouvernance
La cyber-gouvernance désigne l'ensemble des processus de décision, de supervision et de contrôle relatifs à la cybersécurité au sein d'une organisation. NIS2 impose explicitement que les organes de direction des entités concernées approuvent les mesures de gestion des risques et suivent une formation en cybersécurité. Le DSI n'est plus le seul responsable : la responsabilité remonte au niveau du conseil d'administration ou du comité exécutif.
Aligner cyber-assurance, conformité NIS2 et gouvernance interne exige une structuration juridique cohérente.
Être accompagné par un avocat en cybersécurité via SWIM LEGAL
7. Erreurs fréquentes et faux-amis à éviter
Plusieurs confusions récurrentes fragilisent la gouvernance cyber des entreprises :
Confondre cybersécurité et conformité RGPD. Le RGPD impose des mesures de sécurité des données personnelles. La cybersécurité couvre un périmètre bien plus large : disponibilité des systèmes, protection des secrets d'affaires, continuité opérationnelle. Une entreprise conforme au RGPD peut être vulnérable sur le plan cyber.
Réduire le cyber-risque à un problème technique. Le facteur humain est impliqué dans 74 % des violations de données selon le Verizon Data Breach Investigations Report 2023. La formation des collaborateurs, les procédures de gestion des accès et la gouvernance des prestataires relèvent du cyber-risque autant que le pare-feu.
Croire que la cyber-assurance remplace la cybersécurité. Une police de cyber-assurance couvre les conséquences financières d'un sinistre. Elle n'empêche ni l'attaque, ni la perte de données, ni la sanction réglementaire. Les assureurs refusent de plus en plus les dossiers sans mesures de prévention documentées.
Utiliser « cyber » comme adjectif générique sans précision. Dire « on a un problème cyber » ne permet aucun arbitrage. Le DSI doit qualifier : s'agit-il d'un défaut de protection (cybersécurité), d'une exposition non couverte (cyber-risque), d'un incident en cours (cyberattaque) ou d'un défaut de gouvernance (cyber-gouvernance) ?
Ignorer la chaîne d'approvisionnement. NIS2 et le CRA imposent de vérifier la posture de sécurité des fournisseurs et sous-traitants. Un prestataire cloud non conforme expose l'entreprise donneuse d'ordre à une responsabilité directe.
Un vocabulaire précis n'est pas un exercice académique. C'est la condition pour que le DSI, la direction juridique et la direction financière prennent des décisions alignées sur les mêmes réalités.
FAQ
Quelle est la définition juridique du terme « cyber » en droit français ?
Le droit français ne propose pas de définition légale unique du mot « cyber ». L'ANSSI utilise le terme pour désigner l'ensemble des enjeux de sécurité liés aux systèmes d'information numériques. Le Code pénal sanctionne les atteintes aux STAD (articles 323-1 à 323-8) sans employer directement le préfixe « cyber ». En pratique, le terme recouvre la cybersécurité, les cyberattaques et le cyber-risque.
Quelle différence entre cybersécurité et sécurité informatique ?
La sécurité informatique se concentre sur la protection technique des systèmes (pare-feu, antivirus, chiffrement). La cybersécurité y ajoute une dimension juridique (conformité RGPD, NIS2), organisationnelle (politiques internes, formation) et stratégique (gouvernance, reporting au comité de direction). La cybersécurité implique l'ensemble des directions de l'entreprise, pas uniquement la DSI.
Quelles entreprises sont concernées par la directive NIS2 ?
La directive NIS2 concerne plus de 15 000 entités en France, réparties en entités essentielles (énergie, transports, santé, infrastructures numériques) et entités importantes (agroalimentaire, services postaux, cloud, fabrication chimique). Le critère principal est la taille de l'entreprise (plus de 50 salariés ou plus de 10 millions d'euros de chiffre d'affaires) combiné au secteur d'activité.
La cyber-assurance est-elle obligatoire pour les entreprises françaises ?
Non, la cyber-assurance n'est pas obligatoire en droit français. En revanche, la loi LOPMI de janvier 2023 conditionne l'indemnisation d'une cyberattaque au dépôt d'une plainte dans les 72 heures. Les assureurs exigent par ailleurs des mesures de prévention documentées (MFA, sauvegardes, segmentation réseau) comme condition de souscription.
Comment un DSI peut-il structurer un vocabulaire cyber commun avec la direction juridique ?
Le DSI peut s'appuyer sur les référentiels de l'ANSSI et sur les définitions de la directive NIS2 pour établir un glossaire partagé. Ce glossaire doit distinguer clairement cybersécurité, cyber-risque, cyberattaque et cyber-gouvernance. Il sert de base aux politiques internes, aux contrats fournisseurs et aux échanges avec les assureurs, garantissant que chaque interlocuteur utilise les mêmes termes avec le même sens.
Pour aller plus loin
CyberDico : dictionnaire des termes de cybersécurité - ANSSI
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
