Vous dirigez une PME de 60 personnes dans la logistique. Ou une ETI familiale de 180 salariés dans la chimie de spécialité. Ou encore un cabinet d’ingénierie qui travaille pour des collectivités locales. Vous pensez, légitimement, que les grandes directives européennes sur la cybersécurité ne vous concernent pas. Que c’est l’affaire des opérateurs d’importance vitale, des grandes banques, des hôpitaux. Vous avez tort — et cette erreur pourrait coûter cher. Securite Off vous explique pourquoi dans une série d’articles.
La directive NIS2, entrée en vigueur en janvier 2023 et dont la transposition française est en cours d’achèvement, étend considérablement le périmètre de son prédécesseur. Là où NIS1 ne touchait qu’un millier d’organisations en France, NIS2 vise potentiellement plusieurs dizaines de milliers d’entités. Le changement d’échelle est brutal. Et la plupart des dirigeants concernés ne le savent pas encore.
Les seuils qui changent tout
La directive établit deux catégories d’entités soumises à obligation. Les entités essentielles — les plus critiques — sont celles qui dépassent 250 salariés ou 50 millions d’euros de chiffre d’affaires, dans des secteurs jugés hautement sensibles : énergie, transports, santé, eau, infrastructures numériques, secteur bancaire. Les entités importantes descendent le curseur à 50 salariés ou 10 millions d’euros de CA, dans une liste de secteurs élargie qui inclut désormais la chimie, l’agroalimentaire, les services postaux, la fabrication de dispositifs médicaux, ou encore la gestion des déchets.
Concrètement : si votre entreprise dépasse l’un de ces deux seuils et opère dans l’un des 18 secteurs listés par la directive, vous êtes dans le périmètre. Pas peut-être. Certainement.
L’effet de chaîne : le piège des sous-traitants
Mais le vrai angle mort, c’est la notion de chaîne d’approvisionnement. NIS2 ne se contente pas de réguler les grandes organisations : elle les oblige à sécuriser leurs fournisseurs et prestataires critiques. Ce qui signifie que si vous êtes sous-traitant d’une entité soumise à NIS2 — un équipementier automobile qui fournit un constructeur, un prestataire IT qui héberge les données d’un hôpital, un cabinet de conseil qui audite une infrastructure critique — vous serez très probablement soumis à des exigences contractuelles équivalentes.
Le mécanisme est simple et redoutable : votre client grand compte, lui-même sous pression réglementaire, va répercuter ses obligations vers vous sous forme de clauses contractuelles, d’audits, de questionnaires de maturité cyber. Ne pas être en mesure d’y répondre, c’est risquer d’être écarté des appels d’offres. La conformité NIS2 devient ainsi un critère de référencement fournisseur, même pour des entreprises techniquement hors périmètre direct.
Dix-huit secteurs, et des surprises
L’élargissement sectoriel de NIS2 surprend souvent les dirigeants qui découvrent la directive. On comprend intuitivement pourquoi les opérateurs télécoms ou les fournisseurs d’électricité sont concernés. On comprend moins spontanément pourquoi une usine de transformation agroalimentaire dépassant 50 M€ de CA l’est aussi. Ou pourquoi un fabricant de matériel médical de 80 salariés entre dans le champ.
La logique de la Commission européenne est pourtant cohérente : après les cyberattaques massives qui ont paralysé des hôpitaux, perturbé des chaînes logistiques et compromis des infrastructures industrielles ces dernières années, l’Europe a décidé de traiter la résilience numérique comme un enjeu systémique — pas seulement sectoriel.
L’ignorance ne protège pas
La tentation est grande, face à une réglementation complexe, d’adopter une posture attentiste. De se dire que les autorités de contrôle commenceront par les grands acteurs. Que les sanctions mettront du temps à tomber. C’est oublier deux choses essentielles.
D’abord, en cas de cyberattaque avérée, les autorités — en France, l’ANSSI — examineront si l’entreprise avait mis en place des mesures de sécurité proportionnées. L’absence de démarche de conformité constituera une circonstance aggravante, pas une excuse. Ensuite, NIS2 prévoit une responsabilité personnelle des dirigeants : les membres de la direction peuvent être tenus responsables en cas de manquement grave, indépendamment de la responsabilité de la personne morale.
Cinq questions pour savoir où vous en êtes
Avant toute chose, posez-vous ces cinq questions :
- Mon entreprise dépasse-t-elle 50 salariés ou 10 M€ de CA ?
- Mon secteur d’activité figure-t-il dans les 18 secteurs listés par NIS2 ?
- Suis-je fournisseur critique d’une organisation elle-même soumise à NIS2 ?
- Ai-je un responsable identifié pour piloter la cybersécurité dans mon organisation ?
- Ai-je un plan de réponse à incident documenté et testé ?
Si vous répondez oui aux questions 1 et 2, ou oui à la question 3, vous êtes concerné. Si vous répondez non aux questions 4 et 5, vous avez du travail devant vous — et pas de temps à perdre.
NIS2 n’est pas une contrainte venue d’ailleurs. C’est le reflet d’une réalité que les cyberattaquants, eux, ont déjà intégrée : dans une économie hyperconnectée, la sécurité d’un écosystème vaut ce que vaut son maillon le plus faible.