Imaginez une entreprise européenne qui confond sauvegarde et corbeille, qui laisse les accès VPN ouverts à tous vents, et pour qui « mise à jour » rime avec « jamais ». Eh bien, cette époque est (bientôt) révolue. Merci NIS2 !
📜 C’est quoi, ce NIS2 ?
NIS2, c’est la petite sœur, bien plus sévère, de la directive NIS (Network and Information Security) adoptée en 2016. Sauf que là, on passe à la vitesse supérieure.
👉 Objectif : renforcer la cybersécurité des entités critiques dans toute l’Union européenne.
Adoptée en janvier 2023, transposition obligatoire dans le droit national d’ici le 17 octobre 2024, elle vise à harmoniser les règles et à élever le niveau général de sécurité numérique sur tout le continent.
En clair : si vous êtes une entreprise « essentielle » ou « importante », vous n’y échapperez pas. Et ce n’est pas une suggestion.
⚖️ Le fondement juridique
Directive UE 2022/2555, dite NIS2, du 14 décembre 2022.
Remplace la directive NIS de 2016.
Oblige les États membres à fixer des règles strictes de cybersécurité pour certaines entreprises et administrations.
Cette directive ne s’applique pas directement : elle doit être transposée dans les lois nationales. En France, c’est l’ANSSI qui pilote l’orchestration.
🏛️ Qui est concerné ?
Les entités sont classées en deux grandes catégories :
1. Essentielles
Exemples :
Énergie (fournisseurs d’électricité, gaz),
Eau,
Transports,
Santé,
Infrastructures numériques (DNS, datacenters),
Administration publique.
2. Importantes
Exemples :
Services postaux et messagerie,
Industrie manufacturière (produits médicaux, chimiques, etc.),
Fournisseurs cloud, éditeurs de logiciels critiques,
Entreprises de gestion des déchets.
👉 Critère de base : plus de 50 employés ou 10 millions d’euros de chiffre d’affaires ET activité dans un secteur critique.
🧠 Astuce : même si vous êtes « petit », si vous êtes jugé systémique (ex. : un prestataire de sauvegarde d’un hôpital), vous pouvez être intégré à la liste !
🧱 Concrètement, qu’est-ce que ça change pour l’entreprise ?
Voici les principales obligations que NIS2 impose :
| Domaine | Obligations concrètes |
|---|---|
| Gouvernance | Le conseil d’administration doit être impliqué. La cybersécurité n’est plus “un truc d’IT”. |
| Gestion des risques | Mise en place de politiques documentées, analyse de risques, PCA/PRA, segmentation réseau, MFA, etc. |
| Sécurité de la chaîne d’approvisionnement | Évaluation et contrôle de vos prestataires. Vous êtes responsable de leurs failles. |
| Détection et réponse aux incidents | Capacité à détecter, réagir et notifier un incident sous 24h à l’ANSSI. |
| Formation et sensibilisation | Des formations régulières pour tous les salariés, pas juste les admins réseau. |
| Audit et sanctions | Contrôles possibles, sanctions jusqu’à 10 M€ ou 2 % du CA mondial. Oui, vous avez bien lu. |
😅 En résumé : ça rigole plus. C’est du RGPD version cyber.
📅 Échéances à retenir
| Date | Événement |
|---|---|
| Janvier 2023 | Entrée en vigueur de la directive au niveau européen |
| Octobre 2024 | Date limite de transposition dans le droit français |
| Fin 2024 – Début 2025 | Désignation officielle des entités soumises, premiers contrôles |
🏢 Exemple concret d’impact en entreprise
Cas fictif : MediClic, PME de télémédecine de 120 employés
📡 Fournit des plateformes de consultation à distance pour les hôpitaux → secteur santé → entité essentielle.
🔐 Devra :
Sécuriser tous les accès VPN (avec MFA),
Documenter ses politiques de gestion des vulnérabilités,
Imposer à ses sous-traitants cloud des clauses de cybersécurité,
Mettre en place un plan de réponse aux incidents,
Alerter l’ANSSI dans les 24h en cas de faille (même mineure),
Former tous ses salariés, même le RH qui pense que « phishing » est un sport.
💼 Que faut-il faire maintenant ?
Faire l’inventaire des obligations applicables à votre structure.
Nommer un référent cybersécurité (ou renforcer votre DPO/RSI existant).
Réviser vos politiques SSI (mises à jour, cloisonnement, sauvegardes, journaux).
Évaluer vos prestataires (audit, contrats, clauses de sécurité).
Former vos équipes (à la cybersécurité, à la détection d’incidents).
Préparer les notifications d’incident (modèles, processus).
🎯 Le mot d’ordre : Anticiper, documenter, sécuriser.
📌 Conclusion : NIS2, un mal pour un bien ?
Si la directive peut sembler lourde, elle pousse enfin les entreprises à prendre la cybersécurité au sérieux. Et vu les vagues de ransomwares, phishing, shadow IT, et erreurs humaines qu’on observe tous les jours, c’est une excellente nouvelle.
Alors, un conseil : commencez maintenant, car en octobre 2024, le couperet tombera. Et contrairement aux ransomwares… l’ANSSI ne négocie pas.
