47 % des directeurs GRC interrogés dans le baromètre Gartner 2025 déclarent que leur objectif prioritaire est « atteindre la conformité réglementaire ». Seulement 31 % citent « réduire l'exposition au risque réel ». Ce décalage n'est pas sémantique. Il explique pourquoi des organisations certifiées ISO 27001, conformes NIS2, auditées DORA, subissent encore des incidents matériels que leur dispositif de gouvernance n'a ni anticipés ni détectés à temps.
Le contexte : une pression réglementaire qui réoriente les équipes
Depuis 2024, la convergence de NIS2, DORA, du RGPD renforcé et de l'EU AI Act a créé une pression réglementaire sans précédent sur les équipes GRC des organisations européennes. Entre 2022 et 2025, les budgets conformité des entités de taille intermédiaire ont progressé en moyenne de 34 % (PwC European Compliance Survey, 2025). Cette augmentation est nécessaire. Elle peut aussi devenir pathologique.
Quand une équipe GRC consacre 70 % de son temps à préparer des audits, rédiger des politiques et documenter des contrôles, elle ne consacre plus que 30 % à identifier les risques réels auxquels l'organisation est exposée. La conformité n'est plus un moyen — elle devient la finalité. Et c'est là que le piège se referme.
NIS2 définit des obligations. Elle ne cartographie pas vos risques opérationnels réels.
La conformité comme tunnel cognitif
Lorsque la conformité devient le principal indicateur de performance d'une équipe GRC, un biais cognitif s'installe : les équipes optimisent pour le contrôle documenté, pas pour le risque couvert. Le résultat est prévisible — et documenté.
En 2024, un acteur financier de taille intermédiaire opérant en Europe centrale — anonymisé, données issues d'un post-mortem publié par l'autorité de supervision nationale — a subi une compromission de son infrastructure de paiement. L'organisation était conforme DORA et certifiée ISO 27001. Le vecteur d'attaque ? Une API tierce utilisée pour l'authentification des transactions B2B, évaluée « acceptable » dans le registre TPRM parce qu'elle ne correspondait pas aux critères de criticité réglementaire — mais massivement exposée dans l'architecture réelle.
L'erreur courante à éviter : traiter le registre réglementaire des risques comme la cartographie réelle des risques. Ce sont deux objets différents. Le premier nourrit vos auditeurs. Le second protège votre organisation.
Autre exemple : une organisation de services professionnels ayant atteint un score de 91 % lors de son audit ISO 27001 en 2025, et découvert lors d'un red team exercise conduit six mois plus tard un accès persistant sur une infrastructure legacy que le référentiel n'avait pas catégorisée dans son périmètre. L'audit avait vérifié les contrôles déclarés — pas la surface d'attaque réelle.
Les risques que les référentiels ne cartographient pas
Les référentiels réglementaires définissent des périmètres. Ces périmètres sont utiles pour les régulateurs — ils permettent d'harmoniser les obligations à l'échelle d'un secteur. Mais ils ne correspondent pas à la géographie réelle de votre exposition.
NIS2 s'applique à vos « entités essentielles ou importantes ». Elle définit des obligations pour vos tiers TIC « critiques » — notion fondée sur des seuils de concentration et d'interdépendance systémique. Un outil SaaS de gestion de projets utilisé par 80 % de vos équipes, non classifié « critique » au sens NIS2, peut paralyser vos opérations pendant 72 heures s'il devient indisponible.
Ce que les organisations avancées font différemment : elles maintiennent deux registres. Le registre réglementaire, pour les obligations d'audit et de reporting. Et un registre opérationnel — cartographiant toutes les dépendances avec un impact potentiel supérieur à 4 heures d'interruption, indépendamment de leur classification réglementaire. L'écart entre les deux révèle votre surface de risque invisible.
Dans les missions d'évaluation de posture GRC conduites par Valtieri, cet écart se situe en moyenne entre 35 et 60 entités non couvertes par les référentiels formels — pour des organisations ayant entre 150 et 500 collaborateurs.
Conformité et résilience : deux programmes distincts
La conclusion opérationnelle n'est pas d'abandonner la conformité — c'est de la traiter comme ce qu'elle est : un plancher réglementaire minimum, pas un programme de sécurité complet.
Les organisations qui gèrent le mieux l'écart entre conformité et résilience opèrent avec une gouvernance à deux niveaux. Le premier niveau est centré sur la conformité : audits, documentation, certifications, reporting aux régulateurs. Il est orienté vers les référentiels. Le second niveau est centré sur le risque réel : cartographie des dépendances, tests offensifs, simulations de continuité, veille sur les nouvelles menaces. Il est orienté vers les adversaires et les scénarios.
Ces deux niveaux utilisent des outils différents, produisent des livrables différents, répondent à des audiences différentes. Les confondre — et c'est ce que fait l'approche compliance-first — revient à piloter votre résilience avec les instruments d'un auditeur.
Évaluer votre posture au-delà du référentiel
Trois questions pour qualifier l'écart entre conformité déclarée et résilience réelle.
Périmètre des dépendances : combien de systèmes tiers ont un impact opérationnel significatif (> 4 h d'interruption) mais ne figurent pas dans votre registre réglementaire TPRM ?
Test de réalité : votre dernier exercice de simulation a-t-il été conçu à partir d'un scénario d'adversaire réel — ou a-t-il été conçu pour valider vos contrôles existants ?
Allocation GRC : quelle proportion du temps de votre équipe est consacrée à des activités de documentation et reporting réglementaires vs. à l'identification de nouveaux risques non encore catégorisés ? Si cette proportion dépasse 60 % en faveur du reporting, votre programme GRC optimise pour les auditeurs.
Presidio intègre ces deux niveaux dans un workflow unifié : gestion réglementaire NIS2/DORA/RGPD d'un côté, cartographie opérationnelle des risques et suivi de la remédiation de l'autre. Pour évaluer comment structurer cette architecture dans votre contexte, consultez nos cas d'usage ou prenez contact avec l'équipe.
Conclusion
La conformité est nécessaire. Elle ne suffit pas. Les organisations qui naviguent le mieux dans la complexité réglementaire actuelle ont compris que les référentiels définissent un périmètre d'obligations — pas un programme de sécurité. Construire la résilience, c'est cartographier l'espace entre ce que les régulateurs demandent et ce que vos adversaires ciblent. Cet espace est rarement vide.
Les organisations qui émergent de cette période avec une posture solide ne seront pas celles qui ont atteint 100 % sur leur audit. Ce seront celles qui auront compris la différence entre conformité et résilience — et qui auront investi dans les deux. Pour aller plus loin : DORA et le paradoxe de la résilience opérationnelle.