La directive NIS2 redéfinit la manière dont les entreprises françaises abordent la cybersécurité et la gestion des risques à l’échelle opérationnelle et stratégique. Les obligations élargies imposées par NIS2 transforment des pratiques techniques en exigences de gouvernance démontrables, avec des contrôles et des sanctions renforcés.
Pour préparer la conformité, il faut prioriser l’identification des actifs, la mise en place d’une gouvernance et la preuve continue des mesures. Vous trouverez ci-après les points essentiels à retenir.
A retenir :
- Identification des actifs critiques, registre des risques cyber
- Authentification forte sur accès administrateur et services externes
- Procédures de gestion d’incident, notification rapide et documentation
- Gouvernance prouvée, implication de la direction et revues périodiques
NIS2 et obligations pour les entreprises françaises
Après ces éléments synthétiques, il faut entrer dans le détail des obligations que NIS2 impose aux entreprises françaises afin d’évaluer l’effort requis. Selon la directive et les communications de l’ANSSI, ces obligations couvrent des mesures techniques, organisationnelles et de gouvernance adaptées au niveau de criticité.
Exigences techniques et organisationnelles selon l’article 21
Ce point se rattache directement aux exigences minimales listées par la directive et attendues en audit par l’ANSSI. Selon la directive (UE) 2022/2555, dix domaines doivent être traités, du registre des actifs à la cryptographie, de manière proportionnée et documentée.
Exigence (article 21.2)
Illustration opérationnelle pour une PME
Politique de sécurité
Évaluation annuelle des risques, registre des actifs critiques
Gestion des incidents
Procédure de réaction, canal de signalement identifié
Continuité d’activité
Plan de reprise informatique, test de restauration de sauvegardes
Sécurité de la chaîne d’approvisionnement
Évaluation des prestataires, clauses cyber dans les contrats
Actions pratiques pour démarrer la mise en conformité
Cette rubrique se rattache aux exigences précédentes et vise à rendre la conformité opérationnelle et progressive pour une PME. Selon l’ANSSI, il convient de cartographier les actifs exposés, d’activer l’authentification multifacteur et de formaliser un registre des incidents.
Mesures prioritaires NIS2 :
- Cartographie des services exposés et inventaire des prestataires
- Activation du MFA sur comptes administrateurs et services critiques
- Mise en place d’un registre des incidents avec procédures d’escalade
- Tests réguliers de restauration des sauvegardes et exercices de crise
« J’ai dû revoir toute notre politique de sauvegarde après un incident, ce travail a transformé notre résilience »
Alice N.
Gouvernance et responsabilité des dirigeants selon NIS2
Ce volet technique entraîne une exigence forte de gouvernance et de responsabilité des dirigeants pour preuve et pilotage continus. Selon l’article 20 de la directive, les organes de direction doivent valider les politiques, suivre les budgets et prouver leur implication.
Implication des dirigeants et devoirs de pilotage
Ce point s’inscrit dans le cadre de gouvernance renforcée exigée par NIS2 et observée par l’ANSSI lors des contrôles. Les dirigeants doivent être capables d’expliquer les choix, d’approuver les plans et d’engager des revues régulières pour démontrer le suivi.
Gouvernance et preuves :
- Registre des incidents avec rapports datés et actions correctives
- Revues semestrielles documentées et preuves de formation des dirigeants
- Plans d’action hiérarchisés et calendrier de mise en œuvre
« En tant que dirigeant, j’ai instauré des revues trimestrielles pour suivre nos progrès et responsabiliser les équipes »
Bruno N.
Contrôles, notifications et régime de sanctions
Ce paragraphe complète les attentes précédentes en décrivant les obligations de notification et l’action des autorités. Selon la directive et les pratiques nationales, les incidents significatifs doivent être notifiés selon des délais stricts et documentés pour toute enquête.
Élément
Délai ou montant
Notification initiale d’incident
24 heures pour signaler un incident majeur
Complément d’information
72 heures pour fournir des éléments complémentaires
Rapport final
Rapport détaillé à fournir sous un mois
Sanctions maximales
Jusqu’à 10 millions d’euros ou 2 % du CA mondial
« L’équipe de sécurité a validé les changements et constaté moins d’incidents depuis l’application des nouvelles règles »
Claire N.
Mise en œuvre et maintien de la conformité NIS2
Le passage à une conformité durable découle des obligations et de la gouvernance, il nécessite un plan continu et des outils adaptés pour la surveillance. Selon l’ANSSI, la conformité se gagne par la répétition de contrôles, la gestion des vulnérabilités et la preuve documentaire permanente.
Pratiques opérationnelles continues et erreurs à éviter
Ce volet pratique s’appuie sur le constat des audits et des incidents observés par les autorités de supervision. Les erreurs fréquentes incluent l’absence de MFA, des sauvegardes non testées et l’absence de registre des prestataires, défauts fréquemment relevés.
Suivi et vérification :
- Plan de vérification semestriel incluant revues et tests
- Veille des vulnérabilités et inventaire des dépendances
- Tableau de bord de maturité avec indicateurs et échéances
« Après un audit externe, nous avons instauré un tableau de bord mensuel pour suivre les risques connus »
Marc N.
Outils, audits réguliers et culture de sécurité
Cette partie illustre les actions techniques et humaines nécessaires pour maintenir la conformité sur la durée et répondre aux contrôles. L’usage d’outils d’analyse d’exposition, l’audit régulier et la sensibilisation continue renforcent la résilience et la confiance des partenaires.
« La conformité continue donnera un avantage concurrentiel mesurable pour les offres techniques et commerciales »
Luc N.
Source : Journal officiel de l’Union européenne, « Directive (UE) 2022/2555 », 2022.