Vous avez lu notre premier article et la conclusion s’impose : votre entreprise est dans le périmètre de NIS2. Ou elle le sera indirectement, via ses donneurs d’ordre. La question n’est plus « suis-je concerné ? » mais « qu’est-ce que ça change, concrètement, dans mon organisation ? » C’est là que beaucoup de dirigeants décrochent — noyés sous les textes juridiques, les acronymes techniques et les consultants. Securite Off fait le point sur 4 obligations NIS2.
Pas de blabla, mais un article simple axé sur les décisions de management. NIS2 repose sur quatre piliers. Chacun implique des actions précises, un budget, et — point souvent négligé — un engagement personnel de la direction.
1. La gouvernance : vous êtes personnellement responsable
C’est sans doute la rupture la plus significative de NIS2 par rapport aux réglementations précédentes. La directive ne se contente pas d’imposer des mesures techniques à votre DSI ou à votre RSSI. Elle engage la responsabilité personnelle des membres de la direction en cas de manquement grave aux obligations de sécurité.
Concrètement, cela signifie plusieurs choses. Les organes dirigeants doivent approuver les mesures de gestion des risques cyber — et ne peuvent plus déléguer cette approbation sans en conserver la responsabilité. Ils doivent suivre une formation minimale pour être en mesure d’évaluer les risques et d’en mesurer l’impact business. Et en cas de cyberattaque majeure consécutive à un défaut de gouvernance avéré, les autorités pourront se retourner contre les personnes physiques à la tête de l’organisation.
Pour un dirigeant de PME habituée à traiter la cybersécurité comme un poste budgétaire parmi d’autres, le changement de paradigme est total. La cyber n’est plus l’affaire de l’IT. C’est un risque d’entreprise, au même titre que le risque juridique ou financier, qui doit figurer à l’agenda du COMEX.
Ce que ça implique : désigner un responsable cybersécurité avec un accès direct à la direction, intégrer la cyber dans les tableaux de bord dirigeants, et prévoir au moins une revue stratégique annuelle des risques numériques.
2. La gestion des risques : cartographier pour prioriser
NIS2 impose la mise en place d’une démarche structurée d’identification et de traitement des risques cyber. Pas une déclaration d’intention : une cartographie documentée, revue régulièrement, avec des mesures de sécurité proportionnées aux risques identifiés.
Le texte liste les domaines obligatoirement couverts : sécurité des systèmes et réseaux, gestion des incidents, continuité d’activité (sauvegardes, reprise après sinistre), sécurité de la chaîne d’approvisionnement, politiques de contrôle d’accès, utilisation de la cryptographie, sécurité des ressources humaines.
Prenons l’exemple d’une ETI de 200 personnes dans la fabrication industrielle. Elle utilise des automates de production connectés, un ERP cloud, et une dizaine de sous-traitants qui accèdent à distance à ses systèmes. Sa cartographie des risques devra couvrir chacun de ces vecteurs, identifier les scénarios d’attaque les plus probables — ransomware sur l’ERP, intrusion via un accès distant mal sécurisé, compromission d’un fournisseur — et documenter les mesures en place ou à mettre en place pour les traiter.
Ce que ça implique : prévoir un budget pour réaliser cette cartographie (souvent entre 15 000 et 40 000 € en accompagnement externe pour une PME-ETI), puis un plan d’action pluriannuel pour combler les écarts identifiés.
3. La notification d’incident : 24 heures pour réagir
C’est l’obligation qui concentre le plus d’inquiétudes — et pour cause. NIS2 impose un délai de 24 heures pour notifier une « alerte précoce » à l’autorité compétente (l’ANSSI en France) dès qu’un incident significatif est détecté. Un rapport d’incident complet doit suivre dans les 72 heures. Un rapport final est attendu sous un mois.
Ce calendrier est exigeant. Une cyberattaque est par nature un moment de chaos : les équipes sont débordées, les systèmes partiellement indisponibles, l’étendue de la compromission souvent inconnue dans les premières heures. Notifier l’ANSSI dans ce contexte, avec des éléments factuels et structurés, suppose d’avoir préparé les procédures bien en amont.
Un cabinet de conseil en ingénierie qui subit un ransomware un vendredi soir n’a aucune chance de respecter ces délais s’il n’a pas, au préalable, désigné un responsable de la gestion de crise, documenté un plan de réponse à incident, et testé ses procédures de notification.
Ce que ça implique : rédiger et tester un plan de réponse à incident, identifier qui notifie quoi à qui, et s’assurer que les contacts ANSSI sont connus de l’équipe dirigeante — pas seulement du DSI.
4. La sécurité de la chaîne d’approvisionnement : auditer ses prestataires
Quatrième pilier, souvent le plus complexe à opérationnaliser : NIS2 vous oblige à évaluer le niveau de sécurité de vos fournisseurs et prestataires critiques. Hébergeur cloud, éditeur de logiciel, prestataire de maintenance industrielle avec accès à distance, sous-traitant qui traite vos données RH — tous doivent faire l’objet d’une évaluation.
L’idée n’est pas de transformer chaque dirigeant en auditeur technique. Mais de s’assurer, par des questionnaires, des clauses contractuelles adaptées, voire des audits ponctuels, que vos partenaires clés n’introduisent pas de vulnérabilités dans votre système d’information.
Un prestataire logistique qui interconnecte ses systèmes avec ceux de son client grande distribution doit pouvoir démontrer qu’il applique des standards de sécurité minimaux. Faute de quoi, il sera progressivement écarté des partenariats — ou se retrouvera dans la position inconfortable du maillon faible d’une attaque réussie contre son client.
Ce que ça implique : établir une liste de vos fournisseurs critiques, introduire des clauses de cybersécurité dans les nouveaux contrats, et mettre en place un processus d’évaluation annuel.
Le bon cadrage pour ne pas se noyer
Face à ces quatre obligations, la tentation du perfectionnisme est contre-productive. Aucune entreprise ne passe de zéro à la conformité totale en six mois. La bonne approche est celle du chantier phasé : identifier les risques les plus critiques, traiter les vulnérabilités les plus exposées en priorité, documenter la démarche pour prouver la bonne foi en cas de contrôle.
Ce que les autorités de supervision sanctionneront en priorité, ce n’est pas l’imperfection. C’est l’absence totale de démarche.
Êtes-vous prêt ?
Parlons-en pour vous accompagner sans stress mais avec méthodologie.