/ Audit & conformité / Directive NIS 2 : votre entreprise est-elle devenue une « entité essentielle » sans que vous le sachiez ?
Vue d'une salle de contrôle moderne avec écrans de monitoring éteints, professionnels en discussion stratégique autour d'une table, architecture européenne contemporaine en arrière-plan
Publié le 12 mars 2024

Contrairement à une idée reçue, NIS 2 n’est pas une simple mise à jour technique : c’est un changement de paradigme qui rend le dirigeant personnellement responsable en cas de négligence cyber.

  • La directive étend massivement son périmètre, incluant des milliers de PME qui s’estimaient jusqu’ici à l’abri.
  • La responsabilité s’étend à toute votre chaîne de valeur, vous obligeant à auditer la sécurité de vos fournisseurs critiques.
  • Le non-respect n’est plus une option, avec des sanctions financières lourdes et une possible mise en cause directe des dirigeants.

Recommandation : L’urgence n’est plus à la question « suis-je concerné ? », mais à l’action. Commencez par utiliser le simulateur de l’ANSSI pour valider votre statut et cartographier immédiatement vos actifs et fournisseurs les plus critiques.

Si la directive « NIS 2 » évoque pour vous un jargon réglementaire lointain, réservé aux grands groupes et aux opérateurs d’importance vitale (OIV), il est urgent de revoir votre position. Avec l’entrée en vigueur imminente de cette nouvelle législation européenne, des milliers de PME, notamment dans les secteurs industriels et de services, basculent du jour au lendemain dans la catégorie des « entités essentielles » ou « importantes ». Ce changement de statut n’est pas anodin : il vous impose un niveau d’exigence en cybersécurité drastiquement relevé et, fait nouveau et majeur, il peut engager directement votre responsabilité personnelle de dirigeant.

Les approches habituelles de la cybersécurité, souvent réactives et perçues comme un centre de coût technique, sont désormais obsolètes. Penser que votre assurance cyber ou votre prestataire informatique suffit à couvrir le risque est une erreur stratégique. NIS 2 exige une preuve de diligence, une culture de la sécurité infusée à tous les niveaux de l’entreprise et une maîtrise de votre écosystème, y compris vos fournisseurs. La question n’est plus de savoir si vous serez attaqué, mais si vous pourrez prouver que vous aviez mis en place une gouvernance robuste pour y faire face.

Cet article n’est pas une simple checklist de conformité. Il est conçu comme un briefing stratégique pour vous, dirigeant de PME. Nous allons décrypter les implications concrètes de NIS 2 sur votre rôle, vos responsabilités et la survie de votre entreprise. De la responsabilité pénale à la gestion de crise en 24 heures, en passant par l’audit de vos partenaires, vous découvrirez comment transformer cette contrainte réglementaire en un véritable levier de résilience et de confiance pour votre activité.

Pour vous guider à travers ces enjeux complexes, cet article est structuré pour répondre aux questions les plus critiques qu’un dirigeant doit se poser face à cette nouvelle donne réglementaire. Le sommaire ci-dessous vous permettra de naviguer directement vers les points qui vous concernent le plus.

Sommaire : Comprendre et maîtriser les enjeux de la directive NIS 2 pour votre entreprise

Pourquoi le PDG peut désormais être tenu personnellement responsable en cas de négligence cyber ?

Le changement le plus radical introduit par NIS 2 est la fin de l’anonymat pour la direction. Là où la responsabilité était diffuse, la nouvelle directive désigne explicitement les « organes de direction » comme garants de la conformité. Concrètement, cela signifie qu’en cas d’incident majeur résultant d’une négligence avérée, votre responsabilité personnelle peut être engagée. Cette négligence peut se caractériser par un manque de supervision, une validation insuffisante des politiques de sécurité ou une allocation budgétaire notoirement insuffisante. L’esprit de la loi est clair : la cybersécurité n’est plus une simple affaire technique déléguée au DSI, mais une composante essentielle de la gouvernance d’entreprise, au même titre que la gestion financière ou sociale.

Les conséquences ne sont pas que théoriques. La directive prévoit des sanctions administratives sévères, avec des amendes pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial pour les entités essentielles. Plus encore, les États membres peuvent prévoir des sanctions pénales et la possibilité d’interdire temporairement à un dirigeant d’exercer ses fonctions. Comme le résume Christian Daviot, ancien conseiller à l’ANSSI, le changement de philosophie est total :

NIS 1 était dans l’accompagnement et la régulation minimale. NIS 2 est dans la sanction.

– Christian Daviot, Senior Advisor Le Cyber Cercle, ancien conseiller stratégie du directeur général de l’ANSSI

Face à ce risque, la seule défense viable est la « diligence raisonnable documentée ». Il s’agit de pouvoir prouver, à tout moment, que vous avez pris des mesures proportionnées et informées pour gérer le risque cyber. Cela passe par une documentation rigoureuse de vos décisions, de vos investissements et de vos processus de contrôle.

Votre plan d’action : la checklist de la diligence raisonnable documentée

  1. Procès-verbaux : Assurez-vous que la cybersécurité est un point à l’ordre du jour régulier des comités de direction et que les décisions et validations de politiques sont actées.
  2. Budgets : Conservez les preuves des allocations budgétaires dédiées à la sécurité (outils, formations, audits, personnel).
  3. Audits et Rapports : Documentez tous les audits techniques et organisationnels, ainsi que les plans d’action qui en découlent.
  4. Choix des prestataires : Formalisez le processus d’évaluation et de sélection de vos fournisseurs de sécurité, en justifiant vos choix.
  5. Formations : Conservez les attestations de formation à la cybersécurité suivies par les membres de la direction.

Comment auditer la cybersécurité de vos fournisseurs critiques comme l’exige la directive ?

L’une des avancées majeures de NIS 2 est la reconnaissance que le risque ne s’arrête pas aux portes de votre entreprise. La directive vous tient responsable de la sécurité de votre chaîne d’approvisionnement (supply chain). Cela signifie que vous devez évaluer et gérer les risques liés à vos fournisseurs et prestataires de services, en particulier ceux qui ont un accès à vos systèmes ou qui fournissent un service critique pour votre activité. Un éditeur de logiciel métier, un hébergeur cloud ou même un cabinet comptable connecté à votre SI sont désormais des maillons de votre propre périmètre de sécurité.

L’attaque spectaculaire contre la société Kaseya en 2021, où la compromission d’un seul logiciel de supervision a permis d’infecter des milliers d’entreprises clientes, est l’exemple parfait de ce risque. Comme le souligne une analyse des « supply chain attacks », un prestataire vulnérable peut devenir le cheval de Troie qui met à terre toute votre organisation. NIS 2 impose donc de mettre fin à la confiance aveugle.

L’audit de vos fournisseurs ne doit pas être une démarche unique mais un processus continu, adapté à leur criticité. Il ne s’agit pas de réaliser un test d’intrusion chez chacun de vos partenaires, mais d’adopter une approche graduée. L’objectif est d’obtenir un niveau d’assurance raisonnable sur leur posture de sécurité, en fonction de leur rôle dans votre activité.

Pour structurer cette démarche, vous pouvez classer vos audits en plusieurs niveaux, allant d’une simple auto-évaluation déclarative pour les fournisseurs à faible risque à un audit complet sur site pour les partenaires les plus stratégiques, dont une défaillance paralyserait votre entreprise.

Le tableau suivant propose une matrice simple pour classifier vos actions d’audit en fonction de la criticité du fournisseur et de son niveau d’accès à votre système d’information.

Matrice de classification des niveaux d’audit fournisseurs
Niveau d’audit Criticité du service Accès au SI Méthodes d’évaluation
Niveau 1 – Déclaratif Mineur Aucun accès direct Questionnaire d’auto-évaluation
Niveau 2 – Documentaire Majeur Accès limité Revue des certifications et politiques
Niveau 3 – Sur site Bloquant/Critique Accès privilégié Audit complet sur site + tests techniques

Supervision proactive ou ex-post : quelles différences de régime selon votre classification ?

La directive NIS 2 a considérablement élargi le filet réglementaire. Alors que NIS 1 ne concernait qu’une poignée d’acteurs, la nouvelle mouture a fait bondir le nombre d’organisations régulées, passant de 500 à près de 15 000 rien qu’en France. Cette extension massive explique pourquoi votre PME, hier hors du radar, est aujourd’hui probablement concernée. La directive distingue deux grandes catégories d’entités, avec des régimes de supervision différents : les Entités Essentielles (EE) et les Entités Importantes (EI). Votre classification dépend de votre secteur d’activité et de seuils de taille (généralement, plus de 250 employés ou 50 M€ de CA pour les EE, et plus de 50 employés ou 10 M€ de CA pour les EI).

La principale différence réside dans l’intensité du contrôle exercé par les autorités nationales, comme l’ANSSI en France.

  • Les Entités Essentielles (EE) sont soumises à une supervision proactive. Cela signifie qu’elles feront l’objet de contrôles réguliers, d’audits et d’inspections planifiés par l’autorité, qui viendra vérifier sur pièce la mise en œuvre effective des mesures de sécurité. L’autorité n’attend pas un incident pour agir.
  • Les Entités Importantes (EI) sont, quant à elles, soumises à une supervision ex-post. Le contrôle n’interviendra qu’a posteriori, c’est-à-dire après qu’un incident de sécurité a été signalé. Si l’enquête révèle des manquements, des sanctions seront appliquées.

Bien que le régime « ex-post » puisse paraître moins contraignant, c’est un piège. Attendre un incident pour découvrir ses failles de conformité est la pire des stratégies. En réalité, les obligations de sécurité à mettre en place sont quasiment identiques pour les deux catégories. Une Entité Importante a donc tout intérêt à adopter volontairement une démarche proactive, en menant des auto-audits et en préparant ses dossiers de conformité comme si elle pouvait être contrôlée à tout moment. Cette posture non seulement réduit le risque de sanction en cas de problème, mais renforce surtout la résilience réelle de l’entreprise.

Le piège des 24 heures : comment structurer votre processus pour signaler une attaque aussi vite ?

L’un des défis les plus opérationnels de NIS 2 est l’obligation de notification des incidents. La directive impose un calendrier extrêmement serré pour communiquer avec l’autorité compétente (l’ANSSI en France). En cas d’incident « important » – c’est-à-dire causant une perturbation grave du service ou des pertes financières –, vous devez soumettre une alerte précoce dans les 24 heures suivant la prise de connaissance. Ce délai ne laisse aucune place à l’improvisation. Il ne s’agit pas d’avoir un rapport complet, mais de signaler l’existence de l’incident.

Ce premier signalement doit être suivi d’une notification plus détaillée sous 72 heures, présentant une première évaluation de l’incident (gravité, impacts, indicateurs de compromission). Enfin, un rapport final, avec une analyse complète des causes profondes et des mesures correctives prises, doit être transmis dans un délai d’un mois. Ce processus échelonné vise à permettre une réaction rapide des autorités pour contenir la menace et partager l’information au niveau européen, mais il met une pression immense sur l’organisation victime.

Pour une PME, respecter ce délai de 24 heures est un véritable challenge. Cela suppose d’avoir en amont :

  • Un Plan de Réponse à Incident (PRI) clair, testé et connu de tous.
  • Une cellule de crise pré-identifiée, avec des rôles et responsabilités définis (qui prend la décision de notifier ? qui contacte l’ANSSI ?).
  • Des outils de détection et de journalisation performants pour qualifier rapidement la nature de l’incident.
  • Des modèles de communication pré-rédigés pour ne pas perdre de temps sur la forme.

Sans cette préparation, le risque est de paniquer, de mal évaluer la situation et soit de notifier trop tard, s’exposant à une sanction pour non-respect de la procédure, soit de notifier à tort, mobilisant inutilement des ressources. La clé est de transformer la gestion d’incident d’un mode « pompier » réactif à un processus structuré et maîtrisé.

Par où commencer le chantier NIS 2 pour être prêt avant l’entrée en vigueur des sanctions ?

Face à l’ampleur des exigences, le dirigeant d’une PME peut se sentir dépassé. La tentation de la procrastination est grande, mais elle serait une grave erreur. Le chantier de mise en conformité est conséquent et nécessite d’être planifié. La première étape, non-négociable, est de déterminer avec certitude si votre entreprise est concernée. L’ANSSI met à disposition des outils, comme le simulateur en ligne « MonEspaceNIS2 », pour vous aider à le savoir. Ne vous fiez pas à une simple intuition.

Une fois votre statut confirmé (Entité Essentielle ou Importante), il faut prioriser les actions. Tenter de tout faire en même temps est le meilleur moyen de ne rien faire de bien. Une approche pragmatique consiste à se concentrer sur des « quick wins » qui démontrent une prise en main immédiate du sujet tout en construisant les fondations de votre programme de conformité. Selon les estimations, avec plus de 10 000 entités concernées en France, sans compter leurs prestataires, les autorités seront attentives aux preuves d’un engagement sérieux.

Voici quelques actions prioritaires à lancer sans tarder :

  • Cartographie des actifs critiques : Identifiez les systèmes, données et processus absolument vitaux pour votre activité. C’est sur eux que vous devrez concentrer vos efforts de protection.
  • Revue des comptes à privilèges : Faites l’inventaire de tous les comptes « administrateur » et limitez-les au strict nécessaire. C’est souvent par là que les attaquants entrent.
  • Déploiement du Multi-Factor Authentication (MFA) : Activez l’authentification à double facteur sur tous les accès sensibles (messagerie, VPN, applications cloud). C’est l’une des mesures les plus efficaces pour un coût modéré.
  • Vérification des sauvegardes : Assurez-vous que vos sauvegardes sont non seulement automatisées mais aussi testées régulièrement. Une sauvegarde qui ne se restaure pas est inutile.

Pour vous aider à visualiser les différences d’enjeux, le tableau ci-dessous synthétise les principales distinctions entre les deux statuts définis par la directive.

Comparaison des obligations entre Entités Essentielles et Importantes
Critère Entités Essentielles (EE) Entités Importantes (EI)
Sanctions maximales 10 millions € ou 2% CA mondial 7 millions € ou 1,4% CA mondial
Supervision Proactive (contrôles réguliers) Ex-post (après incident)
Responsabilité dirigeants Pénale possible Administrative principalement
Seuils d’éligibilité 250 salariés ou 50M€ CA 50 salariés ou 10M€ CA

OIV et OSE : quelles contraintes spécifiques impose la Loi de Programmation Militaire sur vos systèmes ?

Pour comprendre la philosophie de NIS 2, il est utile de regarder son ancêtre français : la Loi de Programmation Militaire (LPM). Dès 2013, la France a été pionnière en imposant des règles de cybersécurité strictes aux Opérateurs d’Importance Vitale (OIV), ces entreprises jugées indispensables au fonctionnement de la nation (énergie, transports, santé…). Ces OIV devaient déjà appliquer un ensemble de mesures de sécurité, signaler leurs incidents et se soumettre à des contrôles de l’ANSSI. Cette approche a largement inspiré la première directive NIS (NIS 1) en 2016, qui a étendu le concept aux Opérateurs de Services Essentiels (OSE) à l’échelle européenne.

Cependant, comme le souligne Jérôme Derouvroy, expert en cybersécurité, l’application de NIS 1 a été très hétérogène en Europe.

La France a inspiré la 1ère version de NIS avec sa Loi de Programmation Militaire qui imposait des exigences de cybersécurité aux OIV, mais l’adoption de NIS 1 a été libre pour chaque pays. La France a plutôt limité le nombre d’entités concernées par rapport à d’autres pays européens.

– Jérôme Derouvroy, Directeur Technique GRC, Nomios

En effet, là où l’Allemagne ou l’Italie désignaient plus de 500 OSE, la France en a reconnu environ 300, adoptant une approche plus restrictive. Paradoxalement, cette frilosité initiale place aujourd’hui de nombreuses entreprises françaises face à un saut réglementaire plus important avec NIS 2, car elles n’ont pas bénéficié de l’acculturation progressive de NIS 1. NIS 2 vient donc harmoniser et surtout durcir les règles pour tout le monde, en s’inspirant du niveau d’exigence initialement réservé aux OIV français. Pour une PME aujourd’hui classée « Entité Essentielle », les contraintes se rapprochent de celles qui pesaient sur un grand groupe du secteur de l’énergie il y a quelques années : analyse de risques formalisée, protection des systèmes d’information critiques, et capacité de détection et de réponse aux incidents.

L’héritage de la LPM offre une perspective éclairante sur l’esprit de la nouvelle directive. Pour mieux saisir cette filiation, il est pertinent de se pencher sur les contraintes qui ont façonné la régulation française.

Évaluer votre maturité cyber : comment passer du mode « Pompier » au mode « Stratège » grâce au CMMI ?

La conformité à NIS 2 ne doit pas être vue comme une ligne d’arrivée à franchir, mais comme un niveau de maturité à atteindre et à maintenir. Pour un dirigeant, l’enjeu est de faire passer son organisation d’un mode « Pompier », où l’on réagit aux incidents après coup, à un mode « Stratège », où le risque est anticipé, mesuré et géré proactivement. Le temps presse, car le couperet tombera vite : la transposition en droit français est attendue pour le second semestre 2025. Pour évaluer où vous vous situez, le modèle de maturité CMMI (Capability Maturity Model Integration), bien que venant du monde du développement logiciel, offre une grille de lecture très pertinente pour la cybersécurité.

Ce modèle décompose la maturité en cinq niveaux, qui peuvent être traduits pour la conformité NIS 2 :

  • Niveau 1 (Initial) : Les processus sont imprévisibles, réactifs et mal contrôlés. La sécurité est gérée au cas par cas, souvent dans la panique. C’est le mode « Pompier » par excellence, et la non-conformité assurée à NIS 2.
  • Niveau 2 (Géré) : Des processus de sécurité sont définis, mais projet par projet. Il y a une planification, mais pas de standardisation au niveau de l’entreprise. La conformité est partielle et risquée.
  • Niveau 3 (Défini) : L’organisation a standardisé ses processus de sécurité. Tout le monde suit les mêmes procédures. C’est le premier niveau où la conformité devient démontrable et où l’on commence à passer en mode « Stratège ».
  • Niveau 4 (Quantitativement géré) : L’organisation mesure la performance de ses processus de sécurité avec des indicateurs clés (KPIs). Les décisions sont basées sur des données objectives. La conformité est optimisée.
  • Niveau 5 (Optimisé) : L’organisation est dans une logique d’amélioration continue. Elle apprend de chaque incident (interne ou externe) pour affiner ses processus. La sécurité n’est plus une contrainte, mais un avantage concurrentiel qui rassure clients et partenaires.

L’objectif de NIS 2 est de forcer toutes les entités concernées à atteindre, au minimum, le Niveau 3. Réaliser une auto-évaluation honnête de votre position sur cette échelle est un excellent point de départ pour construire une feuille de route réaliste et priorisée.

Mesurer votre point de départ est fondamental. Pour construire votre plan de progression, il est essentiel de comprendre les différents paliers de maturité en cybersécurité.

À retenir

  • La responsabilité personnelle du dirigeant est une réalité : la négligence cyber peut entraîner des sanctions financières et une interdiction d’exercer.
  • Le périmètre de sécurité s’étend à la chaîne de valeur : vous êtes responsable de la cybersécurité de vos fournisseurs critiques.
  • La conformité exige un changement culturel : passer d’un mode réactif « pompier » à un mode proactif « stratège » est indispensable pour survivre à la régulation.

Comment garantir la survie de l’entreprise si le système d’information est hors service pendant 72h ?

Au-delà des sanctions et des audits, la question la plus fondamentale que pose NIS 2 à un dirigeant est celle de la survie. Que se passe-t-il si, malgré toutes vos protections, une attaque réussit et paralyse votre système d’information pendant 24, 48, ou 72 heures ? Pouvez-vous continuer à produire, à facturer, à communiquer avec vos clients et fournisseurs ? Cette question n’est pas théorique. Une étude récente a montré qu’en 2022, 39 % des structures de santé ont été contraintes de fonctionner en mode dégradé, affectant directement la prise en charge des patients. Pour une PME industrielle, cela pourrait signifier un arrêt complet des lignes de production.

La directive impose explicitement la mise en place de mesures de gestion de crise et de continuité d’activité. Le fameux Plan de Continuité d’Activité (PCA) ne doit plus être un document poussiéreux sur une étagère, mais un ensemble de procédures vivantes et testées. Il doit répondre à des questions très concrètes :

  • Quels sont les processus manuels de substitution pour chaque fonction vitale de l’entreprise ?
  • Comment émettre une facture, passer une commande ou payer un fournisseur sans accès à l’ERP ?
  • Quels sont les moyens de communication alternatifs (téléphones satellites, listes de contacts papier…) si la messagerie et la téléphonie IP sont hors service ?
  • Comment gérer la fatigue des équipes en cas de crise prolongée sur 72 heures ?

L’élaboration de ce plan est un exercice stratégique qui doit impliquer toutes les directions de l’entreprise, et pas seulement l’informatique. La seule façon de s’assurer de son efficacité est de le tester régulièrement, via des exercices de simulation « blackout » où l’on coupe volontairement l’accès à certains systèmes pour voir comment les équipes réagissent. C’est à ce prix que la résilience devient une réalité opérationnelle et non plus un simple concept.

Le chantier NIS 2 est un marathon, pas un sprint. En tant que dirigeant, votre rôle est d’impulser la dynamique, d’allouer les ressources nécessaires et de porter cette culture de la sécurité au plus haut niveau de l’entreprise. La première étape consiste à obtenir une analyse claire de votre niveau de maturité et à définir une feuille de route pragmatique. Engagez dès maintenant cette démarche pour transformer la contrainte réglementaire en un avantage stratégique durable.

Rédigé par Valérie Dumont, Directrice Cybersécurité & Gouvernance (CISO) et experte en gestion de crise, certifiée CISM et CISA. Avec plus de 18 ans d'expérience, elle accompagne les CODIR des ETI et grands groupes français dans la stratégie de résilience, la conformité (NIS 2, RGPD, LPM) et la traduction des risques techniques en enjeux business.
Maintenir le durcissement système des serveurs Windows face aux mises à jour automatiques : une approche d’ingénieur
Supervision continue : comment vaincre la fatigue de l’alerte et ne traiter que les incidents critiques
Fraîchement publiés
Alignement business : comment intégrer le risque cyber dans la stratégie globale de gestion des risques de l’entreprise ?
CISO moderne : comment parler de risque cyber au comité exécutif sans utiliser de jargon technique ?
Quand faire appel à un cabinet de conseil cyber pour valider votre feuille de route sécurité ?
Évaluer votre maturité cyber : comment passer du mode « Pompier » au mode « Stratège » grâce au CMMI ?
CISSP : est-ce vraiment le sésame indispensable pour devenir directeur cybersécurité ou consultant senior ?
Articles similaires
Réussir son analyse EBIOS RM : comment définir des scénarios de risque qui parlent vraiment au métier ?
OIV et OSE : quelles contraintes spécifiques impose la Loi de Programmation Militaire sur vos systèmes ?
Comment traduire l’article 32 du RGPD en mesures techniques concrètes pour votre infrastructure ?
Comment collecter les preuves numériques sur un disque dur sans invalider leur valeur juridique ?