Une mauvaise prise en compte de NIS2 peut coûter jusqu'à 2 % du chiffre d'affaires en amendes, mais aussi un risque bien plus insidieux : des mois de contrôles administratifs, d'audits et de demandes de justificatifs.
Résultat : une mobilisation durable de la DSI, de la DAF et des équipes métiers, au détriment des projets stratégiques et de la performance opérationnelle, avec un impact important sur votre image de marque. Nous vous proposons 5 points essentiels à vérifier pour vous assurer que vous êtes bien préparé.
Vérification #1 : êtes-vous soumis à NIS2 et quel est le calendrier ?
Vous devez impérativement vous positionner par rapport à cette nouvelle réglementation, à deux niveaux : taille de l'entreprise (le plus simple mais attention aux effets groupe) et activité (plus compliqué mais à prendre en compte).
La sécurité des données concerne 100% de la population française. Lorsque La Poste subit une cyberattaque, ce sont des millions de citoyens qui ne peuvent plus accéder à leurs services. Lorsque la FFTIR se fait pirater, ce sont les données personnelles et la localisation potentielle des armes de 1 million d'adhérents qui se retrouvent dans la nature. In fine, c’est potentiellement des agressions de propriétaires mais aussi des armes qui peuvent de se retrouver au main du crime organisé.
La directive NIS2 vise à renforcer la cybersécurité des acteurs essentiels et importants de notre économie. En France, plusieurs milliers d'entreprises sont concernées par cette réglementation.
Pour savoir si votre entreprise fait partie du périmètre, consultez le simulateur officiel et les ressources de l'ANSSI
La réalité : NIS2 s'applique dès 50 salariés OU 10 millions d'euros de chiffre d'affaires
Si vous êtes dans l'un des 18 secteurs listés (numérique, cloud, santé, transport, énergie, télécoms...), vous êtes probablement concerné.
Le test en 2 minutes : Simulateur officiel sur monespacenis2.cyber.gouv.fr/simulateur
Si le simulateur dit "non concerné" mais que vos clients vous achètent des services infogérés, vous devez réfléchir à votre positionnement stratégique par rapport à NIS2.
Point de vigilance : le simulateur peut ne pas couvrir 100% des cas et il peut être intéressant de faire une analyse complète.
Les subtilités : Vous êtes une ESN de 80 personnes. Dans vos propositions commerciales, vous vous positionnez comme "infogérant". Sur votre site, vous parlez de "services de cybersécurité managés".
Résultat : vous risquez d'être dans le scope NIS2 en tant que "fournisseur de services gérés" (à réfléchir par rapport au coût, complexité, revenus attendus pour vous).
Points de vigilance complémentaires
Les groupes : Une filiale de 10 personnes d'un groupe de 5000 collaborateurs entre dans le périmètre NIS2 si le groupe dépasse les seuils. L'appréciation se fait au niveau consolidé, pas au niveau de l'entité juridique isolée. Vérifiez votre position dans l'organigramme groupe.
La sous-traitance : Sous-traiter une activité ne vous exonère pas de vos obligations NIS2. Vous restez responsable de l'alignement de la chaîne d'approvisionnement. En revanche, vous pouvez contractuellement transférer certaines obligations techniques à votre prestataire (sauvegarde, EDR, SOC...), à condition de maintenir une supervision et une gouvernance de ces services. Obligation résiduelle : vous devez pouvoir prouver que votre sous-traitant respecte les exigences et vous devez auditer cette mise en œuvre.
Anticiper le calendrier
Les décrets d'application ne sont pas encore publiés. Le sujet risque d'accélérer à partir de 2026-2027 pour une application (concrète?) en 2028.
Checklist d'anticipation :
- Mesurer votre maturité : Réalisez un diagnostic pour évaluer l'écart entre votre situation actuelle et les exigences NIS2. Durée estimée d'un projet de mise en œuvre : 6 mois pour une entreprise mature en SSI, 12 à 18 mois pour un chantier complet.
- Anticiper NIS2 dans vos projets SSI : Intégrez dès maintenant les critères NIS2 dans vos nouveaux projets infrastructure et sécurité. Le surcoût est faible (5-10%) mais l'intérêt à terme est considérable.
- Maintenir un calendrier multi-pays : Si vous êtes présents dans plusieurs pays européens, chaque État membre transpose la directive avec des nuances. Suivez l'évolution par pays et identifiez les exigences les plus strictes.
- Revoir le périmètre de vos activités : Pour les ESN et fournisseurs de services numériques, reformulez certaines prestations pour clarifier votre positionnement. Par exemple, remplacer "infogérance" par "assistance technique" peut vous faire sortir du scope (à condition que cela reflète la réalité de vos prestations).
Vérification #2 : êtes-vous conformes à NIS2 ?
NIS2 comporte une dizaine de points principaux à valider. Si vous avez une bonne maturité SSI, vous pouvez répondre aux exigences sans trop de difficultés. Inversement, si vous ne savez pas évaluer rapidement votre situation, c'est que vous allez probablement devoir travailler beaucoup pour vous mettre en ordre.
Les 10 mesures de cybersécurité obligatoires
-
Politique de gestion des risques : Analyse de risque annuelle documentée, PSSI validée par la direction, cartographie des actifs critiques
-
Gestion des incidents : Procédure de détection et de réponse aux incidents, registre tenu à jour, solutions de détection déployées
-
Continuité d'activité et gestion de crise : Plan de continuité testé annuellement, plan de reprise avec RTO/RPO définis, exercice de crise cyber au moins une fois par an
-
Sécurité de la chaîne d'approvisionnement : Évaluation de la sécurité des fournisseurs critiques, clauses de sécurité dans les contrats, audit des sous-traitants
-
Mesures de sécurité : Segmentation réseau, chiffrement des données sensibles, gestion des vulnérabilités et patch management
-
Contrôle d'accès et authentification : Authentification multi-facteurs pour les accès critiques, gestion des droits d'accès, revue trimestrielle des comptes à privilèges
-
Sécurité des ressources humaines : Charte informatique signée, sensibilisation cybersécurité annuelle obligatoire, procédure de départ
-
Cryptographie et chiffrement : Politique de gestion des clés cryptographiques, certificats SSL/TLS, chiffrement des sauvegardes
-
Sauvegarde et restauration : Sauvegardes automatisées quotidiennes, règle 3-2-1, test de restauration trimestriel documenté
-
Sensibilisation et formation : Programme de formation continue, simulations de phishing trimestrielles, formation spécifique pour le personnel IT
Critères d'évaluation : Pour chaque mesure, vous devez pouvoir présenter la documentation, les preuves de déploiement (logs, rapports d'audit, factures fournisseurs), et démontrer un suivi régulier.
Ressource officielle : Liste détaillée des obligations sur monespacenis2.cyber.gouv.fr/directive/#obligations
Vérification #3 : processus déclaratif
Souvenez-vous du RGPD. Au moindre incident mineur, vous déclariez tout par peur de l'amende. Résultat : semaines de paperasse, audits, justifications.
Le mode de fonctionnement de NIS2 est assez similaire, avec deux déclarations :
-
Un enregistrement préalable
-
Une déclaration des incidents (voir ci-dessous)
Obligation de déclarer les incidents "importants" — mais qu'est-ce qu'un impact "important" ?
Plusieurs questions à se poser avant de déclarer :
-
L'incident impacte-t-il la continuité de service de vos clients ?
-
Y a-t-il eu compromission de données sensibles (santé, finances, authentification) ?
-
Le système touché est-il critique pour votre activité ?
Le plus simple consiste à prévoir une grille d'évaluation à appliquer à tout incident pour ensuite définir de manière relativement standardisée si l'incident doit être déclaré ou pas. Avantages à cela :
-
En cas de défaut de déclaration, vous pourrez le justifier par cette procédure interne
-
En cas de contrôle, vous pourrez faire valider cette grille par les autorités compétentes
-
Vos équipes auront une base de travail stable qui évitera les initiatives non réfléchies et inappropriées
Pourquoi cette prudence ?
-
Ne pas surcharger une administration qui n'est pas si bien dotée en moyens que cela
-
Une déclaration lance automatiquement un processus de contrôle
Notre recommandation : Gardez un registre interne de TOUS vos incidents. Mais ne déclarez que ceux qui cochent la case "à déclarer" selon le processus que vous aurez défini ci-dessous. Traçabilité sans fausses alertes.
Vérification #4 : Veiller à l'implication de l'ensemble des parties prenantes
La DSI ne peut pas gérer cela seule.
NIS2 n'est pas qu'un sujet technique. C'est un enjeu d'organisation, de gouvernance, et de risque d'entreprise.
Quels sont les acteurs à impliquer dans le processus ?
La Direction Générale, qui est le dernier recours, possiblement pénalement responsable en cas de manquement
Le RSI ou le RSSI sont mandatés par la DG et le DSI pour piloter le projet
Le DPO, un incident pouvant être associé à une fuite de données et donc un processus RGPD/CNIL
Le DAF : moyens nécessaires, intégration de critères NIS2 dans les audits financiers et le scoring crédit de l'entreprise, impact potentiel des amendes, culture de l'audit et de la réponse aux contrôles administratifs.
Le DAF peut budgéter correctement les investissements, arbitrer entre interne et externe, et comprendre l'impact d'une amende à 2% du CA mondial.
Le Directeur des achats : gestion de la police de cyber-assurance, évaluation NIS2 des fournisseurs. Il peut renégocier vos contrats IT avec des clauses NIS2.
Le DRH : contrat de travail, charte informatique. Il va gérer la désignation du responsable cybersécurité, la formation des équipes, et la charge de travail pendant la période de mise en œuvre.
Exemple concret : Un de nos clients ETI a obtenu en 3 semaines des SLA renforcés, une documentation complète, et une baisse de 12% du tarif annuel — simplement en demandant "Êtes-vous conformes NIS2 ?"
Le comité NIS2 qui fonctionne
Nous observons que les entreprises qui réussissent créent un comité de pilotage transverse :
-
Composition : DSI + DAF + Achats + RH
-
Rythme : Réunion mensuelle pendant 6-12 mois
-
Livrables : Reporting à la direction générale
Ceux qui gèrent en silo DSI ? Ils rament encore 6 mois plus tard.
Vérification #5 : Transformez la contrainte en levier de négociation avec vos fournisseurs
Si vous êtes concerné par NIS2, vos fournisseurs IT le sont aussi. Hébergeur, ESN, infogérant, cloud.
L'article 21 de la directive NIS2 vous oblige à sécuriser votre chaîne d'approvisionnement numérique. Ce n'est pas une option, c'est un devoir. Autant en tirer parti.
1. Identifiez vos fournisseurs critiques
-
Qui héberge vos données ?
-
Qui a accès à vos systèmes de production ?
2. Posez les bonnes questions
-
"Êtes-vous concerné par NIS2 ? Catégorie ?"
-
"Documentation de mise en œuvre ?"
-
"Plan d'alignement avec échéancier ?"
3. Négociez
Deux options :
-
Exiger un respect des exigences avec SLA renforcés
-
Renégocier votre contrat à la baisse (10-15% réaliste)
Le retour de bâton à anticiper
Par ailleurs, vos fournisseurs vont devoir aligner leurs contrats avec la réglementation, amenant donc une réduction mécanique des risques pour vous. C'est une bonne nouvelle.
Attention toutefois : certains pourraient argumenter concernant des surcoûts liés à cette nouvelle directive pour augmenter leurs tarifs.
Notre recommandation : demandez des justificatifs détaillés. Dans 80% des cas, les mesures NIS2 sont déjà incluses dans les bonnes pratiques d'un prestataire sérieux. Un hébergeur qui vous réclame +20% "pour NIS2" n'a probablement pas fait ses devoirs depuis des années. C'est un signal pour renégocier ou changer de fournisseur.
En conclusion
NIS2 arrive. Les décrets ne sont pas encore publiés, mais l'anticipation est votre meilleur atout. Une préparation bien menée coûte 3 à 5 fois moins cher qu'une mise en œuvre sous la pression d'un contrôle.
Nous sommes à votre disposition pour analyser vos besoins NIS2. Vous trouverez dans la fiche produit des éléments concernant notre démarche.
À propos des auteurs
Mikael Dautrey est co-fondateur et dirigeant d'ISITIX, société de conseil spécialisée en infrastructures informatiques et cybersécurité depuis 2002. Diplômé de l'École Polytechnique et de Télécom Paris, il accompagne les ETI dans la conception, le déploiement et la sécurisation de leurs systèmes informatiques critiques.
Cet article a été co-rédigé avec Adel Boulahrouf, consultant en stratégie de contenu et ghostwriter spécialisé dans les domaines techniques (cloud, IA, cybersécurité).
