La directive NIS2 ne concerne plus seulement les grandes entreprises. Depuis son entree en vigueur en octobre 2024, des milliers de PME françaises sont directement visees - et beaucoup l’ignorent encore. Ce guide complet vous donne les cles pour savoir si vous êtes concerne, comprendre vos obligations et vous mettre en conformité.
Si vous avez lu notre article sur la cybersecurite en PME, vous connaissez les 7 mesures essentielles pour protéger votre entreprise et vous avez eu un premier apercu de NIS2. Cet article va beaucoup plus loin : il détaille la directive, ses implications concretes pour les PME, et vous donne une méthode actionnable pour vous mettre en conformité.
A la fin de votre lecture, vous saurez :
- Si votre PME est concernee par NIS2 (arbre de decision)
- Les 10 obligations concretes a respecter
- Les coûts reels de mise en conformité (par taille d’entreprise)
- La méthode en 5 étapes pour se mettre en conformité
- Les sanctions encourues en cas de non-respect
- La checklist complète pour demarrer immediatement
NIS2 en 3 minutes : ce qui change pour les PME
De NIS1 a NIS2 : un changement d’echelle
La première directive NIS (2016) ne concernait que les grandes entreprises et les operateurs d’infrastructures critiques - environ 300 entites en France. NIS2, adoptee en janvier 2023 et applicable depuis octobre 2024, multiplie ce perimetre par 50.
Les chiffres cles :
- 15 000+ entites concernees en France (estimation ANSSI, 2024)
- 18 secteurs d’activite couverts (contre 7 pour NIS1)
- 2 categories d’entites : essentielles et importantes
- Toutes les tailles : y compris les PME de 50+ salariés dans les secteurs vises
Pourquoi les PME sont desormais dans le viseur
Trois raisons expliquent l’elargissement aux PME :
-
Les attaques ciblent la chaine d’approvisionnement. En 2024, 62 % des cyberattaques sur des grands groupes sont passees par un sous-traitant ou fournisseur PME (source : ENISA Threat Landscape 2024). Securiser uniquement les grandes entreprises est inefficace si leurs partenaires PME restent vulnerables.
-
Le tissu économique repose sur les PME. En France, les PME representent 99 % des entreprises et 47 % du PIB (source : INSEE, 2024). Une attaque sur une PME stratégique peut paralyser toute une filiere.
-
La maturité cyber des PME est insuffisante. Selon le barometre CESIN 2024, seules 35 % des PME disposent d’une politique de sécurité formalisee. NIS2 vise a imposer un socle minimum de sécurité.
Le calendrier a retenir
| Date | Étape |
|---|---|
| Janvier 2023 | Directive NIS2 publiee au Journal officiel de l’UE |
| Octobre 2024 | Date limité de transposition en droit national |
| 2025 | Transposition française en cours (projet de loi en discussion) |
| 2026 | Premiers controles ANSSI attendus, sanctions applicables |
| 2027 | Fin de la période transitoire pour les entites “importantes” |
Point important : la France accuse un retard de transposition. Le projet de loi est en discussion parlementaire debut 2026. Cela ne signifie pas que vous avez le temps d’attendre - les obligations sont déjà definies au niveau europeen, et les entreprises qui commencent tot auront un avantage significatif.
Votre PME est-elle concernee par NIS2 ?
C’est LA question que se posent des milliers de dirigeants. Voici un arbre de decision simple pour y répondre.
Les 3 critères de qualification
Pour être soumise a NIS2, votre entreprise doit remplir deux conditions :
Critere 1 : la taille
| Categorie | Effectif | Chiffre d’affaires |
|---|---|---|
| Moyenne entreprise | 50 a 249 salariés | OU 10 à 50 M EUR de CA |
| Grande entreprise | 250+ salariés | OU 50+ M EUR de CA |
Les micro et petites entreprises (moins de 50 salariés ET moins de 10 M EUR de CA) sont généralement exclues, sauf exceptions (voir ci-dessous).
Critere 2 : le secteur d’activite
NIS2 distingue 18 secteurs repartis en deux categories :
Secteurs hautement critiques (entites essentielles)
| # | Secteur | Exemples PME concernees |
|---|---|---|
| 1 | Energie | Fournisseurs locaux, installateurs solaires > 50 salariés |
| 2 | Transports | Entreprises de logistique, transporteurs regionaux |
| 3 | Banque | Etablissements de credit, societes de paiement |
| 4 | Infrastructures financières | Plateformes de trading, systèmes de compensation |
| 5 | Sante | Laboratoires d’analyses, fabricants de dispositifs medicaux |
| 6 | Eau potable | Regies municipales, societes de distribution |
| 7 | Eaux usees | Exploitants de stations d’epuration |
| 8 | Infrastructures numeriques | Hebergeurs, datacenters, fournisseurs DNS |
| 9 | Gestion TIC (B2B) | ESN, integrateurs, infogeurs, MSSP |
| 10 | Espace | Operateurs de satellites, centres de contrôle |
| 11 | Administration publique | Collectivites, etablissements publics |
Secteurs critiques (entites importantes)
| # | Secteur | Exemples PME concernees |
|---|---|---|
| 12 | Services postaux | Transporteurs de colis, operateurs de courrier |
| 13 | Gestion des dechets | Collecteurs, centres de tri, recycleurs |
| 14 | Fabrication | Chimie, dispositifs medicaux, électronique, machines, vehicules |
| 15 | Produits chimiques | Fabricants, distributeurs de substances chimiques |
| 16 | Agroalimentaire | Producteurs, transformateurs, distributeurs alimentaires |
| 17 | Fabrication de dispositifs numeriques | Equipementiers telecom, fabricants de composants |
| 18 | Recherche | Organismes de recherche (hors enseignement superieur) |
Critere 3 : les exceptions pour les petites entreprises
Même avec moins de 50 salariés, votre PME est concernee si :
- Vous êtes fournisseur de services DNS ou registre de noms de domaine
- Vous êtes prestataire de services de confiance (signature électronique)
- Vous êtes le seul fournisseur d’un service essentiel dans un État membre
- Une perturbation de votre service aurait un impact significatif sur la sécurité publique où la sante
- Vous êtes designe par un État membre en raison de votre importance spécifique
Arbre de decision : êtes-vous concerne ?
Votre entreprise à 50+ salariés OU 10+ M EUR de CA ?
|
+-- NON --> Etes-vous dans une des exceptions ci-dessus ?
| |
| +-- NON --> Vous n'êtes PAS concerne par NIS2
| | (mais les bonnes pratiques cyber restent recommandees)
| |
| +-- OUI --> Vous ETES concerne (entite essentielle)
|
+-- OUI --> Votre activite est dans un des 18 secteurs listes ?
|
+-- NON --> Vous n'êtes PAS directement concerne
| (attention : vos clients grands comptes peuvent
| vous imposer des exigences NIS2 contractuellement)
|
+-- OUI --> Secteur 1-11 (hautement critique) ?
|
+-- OUI --> Vous êtes une ENTITE ESSENTIELLE
| (regime de supervision le plus strict)
|
+-- NON --> Vous êtes une ENTITE IMPORTANTE
(regime allegre mais obligations reelles)Le cas critique des sous-traitants
Même si votre PME n’est pas directement soumise a NIS2, vous pouvez être indirectement concerne. L’article 21 impose aux entites soumises de securiser leur chaine d’approvisionnement. En pratique, cela signifie que vos clients grands comptes peuvent :
- Exiger un audit de sécurité de votre SI
- Imposer des clauses cybersecurite dans leurs contrats
- Vous demander de prouver votre conformité à des normes (ISO 27001, par exemple)
- Refuser de travailler avec vous si votre niveau de sécurité est juge insuffisant
C’est souvent par ce biais que NIS2 touche le plus de PME - pas par l’obligation directe, mais par les exigences en cascade de leurs donneurs d’ordres.
Les 10 obligations concretes de NIS2
L’article 21 de la directive definit 10 mesures de gestion des risques que chaque entite doit mettre en oeuvre. Voici ce que cela signifie concretement pour une PME.
Vue d’ensemble
| # | Obligation | Difficulte PME | Priorite |
|---|---|---|---|
| 1 | Politique d’analyse des risques | Moyenne | Haute |
| 2 | Gestion des incidents | Haute | Critique |
| 3 | Continuite d’activite | Moyenne | Haute |
| 4 | Securite de la chaine d’approvisionnement | Haute | Haute |
| 5 | Securite des reseaux et SI | Moyenne | Critique |
| 6 | Évaluation de l’efficacité des mesures | Moyenne | Moyenne |
| 7 | Pratiques de cyber-hygiene et formation | Faible | Haute |
| 8 | Cryptographie et chiffrement | Moyenne | Moyenne |
| 9 | Ressources humaines et contrôle d’acces | Faible | Haute |
| 10 | Authentification multi-facteurs (MFA) | Faible | Critique |
Detail des 10 obligations
1. Politique d’analyse des risques et de sécurité des SI
Ce que NIS2 attend : une demarche formalisee d’identification, d’évaluation et de traitement des risques cyber.
Ce que ça signifie pour une PME :
- Realiser un inventaire de vos actifs informatiques (serveurs, postes, logiciels, données)
- Identifier les menaces principales pour chaque actif
- Evaluer l’impact potentiel (financier, operationnel, reputationnel)
- Documenter les mesures de protection existantes et les lacunes
- Definir un plan de traitement des risques avec des priorites
Livrable attendu : un document d’analyse des risques, revu au minimum une fois par an.
2. Gestion des incidents
Ce que NIS2 attend : une capacité à detecter, signaler et traiter les incidents de sécurité.
Obligations spécifiques :
- Notification à l’ANSSI dans les 24 heures (alerte initiale)
- Rapport intermediaire dans les 72 heures
- Rapport final dans les 30 jours
- Conservation des journaux d’événements pendant 12 mois minimum
Ce que ça signifie pour une PME :
- Mettre en place une surveillance minimale (journalisation des acces, alertes sur les anomalies)
- Designer un responsable de la gestion des incidents (même à temps partiel)
- Documenter une procedure de notification : qui fait quoi, dans quel délai
- Tester la procedure au moins une fois par an
3. Continuite d’activite
Ce que NIS2 attend : la capacité à maintenir ou restaurer rapidement les operations en cas d’incident.
Ce que ça signifie pour une PME :
- Realiser des sauvegardes régulières (au minimum quotidiennes) et les tester
- Documenter un plan de continuite d’activite (PCA) simplifie
- Identifier les processus critiques et leur délai de reprise acceptable
- Tester la restauration des sauvegardes au moins deux fois par an
4. Securite de la chaine d’approvisionnement
Ce que NIS2 attend : évaluer et gérer les risques lies à vos fournisseurs et prestataires.
Ce que ça signifie pour une PME :
- Inventorier vos fournisseurs critiques (hebergeur, editeurs logiciels, prestataires IT)
- Evaluer leur niveau de sécurité (questionnaire, certifications)
- Inclure des clauses de sécurité dans vos contrats
- Surveiller les incidents affectant vos fournisseurs
5. Securite des reseaux et systèmes d’information
Ce que NIS2 attend : des mesures techniques de protection adaptées aux risques identifies.
Ce que ça signifie pour une PME :
- Pare-feu correctement configure et mis a jour
- Segmentation reseau (separer les serveurs critiques du reseau bureautique)
- Mises a jour de sécurité appliquees dans les 30 jours (critiques : 72 heures)
- Protection anti-malware sur tous les postes et serveurs
- Surveillance du trafic reseau pour detecter les anomalies
6. Évaluation de l’efficacité des mesures
Ce que NIS2 attend : vérifier régulièrement que vos mesures de sécurité fonctionnent.
Ce que ça signifie pour une PME :
- Realiser un audit de sécurité annuel (interne ou externe)
- Effectuer des tests de vulnerabilite sur vos systèmes exposes a Internet
- Mesurer les indicateurs de sécurité (nombre d’incidents, délai de correction, taux de patching)
- Ajuster les mesures en fonction des résultats
7. Pratiques de cyber-hygiene et formation
Ce que NIS2 attend : sensibiliser et former l’ensemble du personnel.
Ce que ça signifie pour une PME :
- Former chaque collaborateur au moins une fois par an (phishing, mots de passe, signalement)
- Realiser des campagnes de simulation de phishing
- Etablir une charte informatique signee par tous les salariés
- Former spécifiquement la direction aux enjeux cyber et à leur responsabilite
8. Politiques et procedures relatives à la cryptographie
Ce que NIS2 attend : protéger les données sensibles par le chiffrement.
Ce que ça signifie pour une PME :
- Chiffrer les disques durs des ordinateurs portables (BitLocker, FileVault)
- Utiliser HTTPS pour tous les services web
- Chiffrer les sauvegardes
- Proteger les communications sensibles (VPN pour l’acces distant, chiffrement des emails si données confidentielles)
9. Securite des ressources humaines et contrôle d’acces
Ce que NIS2 attend : gérer les acces selon le principe du moindre privilege.
Ce que ça signifie pour une PME :
- Chaque utilisateur à un compte personnel (pas de comptes partages)
- Acces limités au strict nécessaire pour chaque poste
- Procedure de revocation immediate lors du depart d’un collaborateur
- Revue des droits d’acces au minimum tous les 6 mois
- Comptes administrateurs separes des comptes utilisateurs courants
10. Authentification multi-facteurs (MFA)
Ce que NIS2 attend : protéger les acces critiques par un deuxieme facteur d’authentification.
Ce que ça signifie pour une PME :
- MFA sur tous les acces distants (VPN, bureau à distance)
- MFA sur les comptes d’administration (serveurs, cloud, outils SaaS)
- MFA sur la messagerie professionnelle
- Privilegier les applications d’authentification (TOTP) où les cles physiques aux SMS
Combien coûte la mise en conformité NIS2 ?
La question du coût est legitime - et les réponses qui circulent sont souvent anxiogenes. Voici des fourchettes realistes basees sur les retours de terrain des PME déjà engagees dans la demarche.
Couts par taille d’entreprise
| Poste | PME 50-100 salariés | PME 100-250 salariés |
|---|---|---|
| Audit initial (état des lieux) | 5 000 - 10 000 EUR | 10 000 - 25 000 EUR |
| Analyse des risques formalisee | 3 000 - 8 000 EUR | 8 000 - 15 000 EUR |
| Mise en conformité technique | 10 000 - 30 000 EUR | 25 000 - 80 000 EUR |
| Formation et sensibilisation | 2 000 - 5 000 EUR | 5 000 - 15 000 EUR |
| Documentation (PCA, procedures) | 3 000 - 8 000 EUR | 8 000 - 20 000 EUR |
| Total première annee | 23 000 - 61 000 EUR | 56 000 - 155 000 EUR |
| Cout annuel recurrent | 8 000 - 20 000 EUR | 20 000 - 50 000 EUR |
Ces fourchettes supposent un prestataire externe pour l’accompagnement. Les coûts peuvent être significativement réduits si vous disposez de competences internes.
Ce qui coûte le plus cher (et comment reduire)
Les 3 postes les plus importants :
-
La mise en conformité technique (40-50 % du budget) : mise a jour de l’infrastructure, outils de detection, segmentation reseau. Optimisable en priorisant les mesures par rapport à l’analyse des risques plutot qu’en appliquant une approche “tout acheter”.
-
L’audit et l’analyse des risques (15-20 % du budget) : indispensable, mais l’effort peut être mutualise si vous êtes déjà certifie ISO 27001 ou si vous avez un DPO en poste.
-
La documentation et les procedures (10-15 % du budget) : souvent sous-estime. Automatisable en partie avec des modèles de documents adaptés à votre secteur.
5 leviers pour reduire les coûts :
- Prioriser par l’analyse des risques : traitez d’abord les risques les plus critiques, pas tout en même temps
- Mutualiser avec le RGPD : si vous avez un DPO, une partie du travail NIS2 (registre des traitements, analyse d’impact) est déjà faite
- Utiliser des outils open source : des solutions de surveillance reseau et de gestion de vulnerabilites existent en open source (Wazuh, OpenVAS)
- Former en interne : un collaborateur forme à la cybersecurite peut gérer une grande partie de la conformité au quotidien
- Profiter des aides publiques : le programme France Num propose des diagnostics et accompagnements subventionnes pour les TPE/PME
Les aides disponibles
| Aide | Montant | Eligibilite | Source |
|---|---|---|---|
| Diagnostic France Num | Gratuit | TPE/PME | france-num.gouv.fr |
| Cheque audit cyber (ANSSI) | Jusqu’à 5 000 EUR | PME < 250 salariés | Programme en cours |
| Subvention BPI France | Variable (30-50 % du coût) | PME innovantes | bpifrance.fr |
| Credit d’impot innovation | 30 % des depenses eligibles | PME investissant en cybersecurite | impots.gouv.fr |
Conseil : contactez votre CCI (Chambre de Commerce et d’Industrie) locale - beaucoup proposent des ateliers de sensibilisation NIS2 gratuits.
La méthode en 5 étapes pour se mettre en conformité
Vous n’avez pas besoin de tout faire en une fois. Voici une approche progressive qui permet de repartir l’effort sur 12 à 18 mois.
Étape 1 : Qualifier votre situation (semaines 1-2)
Objectif : savoir si et comment NIS2 s’applique à vous.
Actions :
- Determiner votre categorie (entite essentielle ou importante) avec l’arbre de decision ci-dessus
- Identifier votre autorite de supervision (ANSSI ou autorite sectorielle)
- Verifier si vos clients grands comptes ont déjà des exigences NIS2 dans leurs contrats
- Nommer un referent cybersecurite en interne (même à temps partiel)
Étape 2 : Evaluer votre posture actuelle (semaines 3-6)
Objectif : mesurer l’écart entre votre situation actuelle et les exigences NIS2.
Actions :
- Realiser un inventaire des actifs informatiques (materiels, logiciels, données, fournisseurs)
- Cartographier les flux de données critiques
- Evaluer les mesures de sécurité existantes par rapport aux 10 obligations
- Identifier les lacunes prioritaires (les “quick wins” et les chantiers lourds)
- Documenter les résultats dans un rapport d’état des lieux
Si vous n’avez pas encore réalise de diagnostic cyber, c’est le moment. Notre article sur les mesures essentielles de cybersecurite pour les PME vous donne une base de depart.
Étape 3 : Definir votre plan de traitement (semaines 7-10)
Objectif : prioriser les actions et planifier la mise en oeuvre.
Actions :
- Realiser une analyse des risques formalisee (méthode EBIOS RM recommandee par l’ANSSI)
- Prioriser les mesures par impact et faisabilite
- Definir un budget et un calendrier realiste
- Valider le plan avec la direction (NIS2 engage la responsabilite du dirigeant)
- Identifier les prestataires nécessaires (si competences absentes en interne)
Point critique : NIS2 engage la responsabilite personnelle des dirigeants. L’article 20 impose que la direction approuve les mesures de gestion des risques et supervise leur mise en oeuvre. Un dirigeant qui ne s’implique pas s’expose à des sanctions individuelles.
Étape 4 : Mettre en oeuvre les mesures (mois 3-12)
Objectif : déployer les mesures techniques et organisationnelles.
Phase A - Quick wins (mois 3-4) :
- Activer le MFA sur tous les acces critiques
- Mettre a jour tous les systèmes et appliquer les correctifs en retard
- Mettre en place des sauvegardes testees (règle 3-2-1)
- Deployer une charte informatique signee par tous les collaborateurs
- Configurer la journalisation des événements de sécurité
Phase B - Mesures structurantes (mois 5-9) :
- Formaliser les procedures de gestion des incidents
- Deployer une solution de detection (EDR sur les postes, IDS sur le reseau)
- Segmenter le reseau (isoler les systèmes critiques)
- Chiffrer les données sensibles (au repos et en transit)
- Former l’ensemble du personnel (première session)
Phase C - Maturite (mois 10-12) :
- Formaliser le PCA (plan de continuite d’activite)
- Realiser un premier test de restauration des sauvegardes
- Lancer un test d’intrusion ou un scan de vulnerabilites
- Formaliser la gestion des fournisseurs (questionnaires, clauses contractuelles)
- Documenter l’ensemble des mesures pour l’audit
Étape 5 : Maintenir et améliorer (en continu)
Objectif : inscrire la cybersecurite dans la duree.
Actions recurrentes :
- Revue annuelle de l’analyse des risques
- Audit de sécurité annuel (interne ou externe)
- Tests de sauvegarde semestriels
- Formation annuelle du personnel + simulations de phishing trimestrielles
- Veille reglementaire (évolutions NIS2, nouveaux decrets)
- Revue semestrielle des droits d’acces
- Mise a jour de la documentation
Les sanctions : ce que vous risquez
NIS2 introduit des sanctions significatives, differenciees selon la categorie d’entite.
Amendes administratives
| Categorie | Amende maximale |
|---|---|
| Entite essentielle | 10 M EUR ou 2 % du CA mondial annuel (le plus élevé des deux) |
| Entite importante | 7 M EUR ou 1,4 % du CA mondial annuel (le plus élevé des deux) |
Pour une PME de 100 salariés avec 15 M EUR de CA, l’amende maximale serait de 7 M EUR (entite importante) ou 10 M EUR (entite essentielle). En pratique, les premieres amendes seront probablement plus proportionnees, mais le risque existe.
Sanctions individuelles
NIS2 introduit pour la première fois la possibilite de sanctions personnelles contre les dirigeants :
- Interdiction temporaire d’exercer des fonctions de direction
- Publication de la decision de sanction (name and shame)
- Responsabilite civile en cas de negligence demontree
Au-dela des amendes : les risques concrets
Les sanctions financières ne sont pas le principal risque pour une PME. Voici ce qui coûte le plus cher :
- Perte de contrats : vos clients grands comptes vous ecartent de leurs appels d’offres
- Cout d’un incident non prepare : une PME victime de ransomware sans PCA perd en moyenne 350 000 EUR (source : rapport ANSSI 2024). La mise en conformité NIS2 aurait coûte 5 à 10 fois moins
- Atteinte à la reputation : une violation de données rendue publique peut faire perdre 20 à 30 % du chiffre d’affaires l’annee suivante (source : IBM Cost of a Data Breach 2024)
- Perte de confiance des salariés : un incident mal gère impacte aussi en interne
FAQ : les questions les plus fréquentes sur NIS2 et les PME
Ma PME à 45 salariés. Suis-je concerne ?
En principe non, sauf si vous êtes dans une des exceptions listees dans la directive (fournisseur DNS, registre de noms de domaine, prestataire de confiance, ou fournisseur unique d’un service essentiel). En revanche, si vos clients sont soumis a NIS2, ils peuvent vous imposer des exigences de sécurité contractuelles. Anticipez.
Je suis déjà conforme RGPD. Ca couvre NIS2 ?
Non, mais il y à des synergies. Le RGPD protège les données personnelles ; NIS2 protège les systèmes d’information dans leur ensemble. Certains elements se recoupent (analyse d’impact, registre, DPO), mais NIS2 va beaucoup plus loin sur le volet technique et operationnel (detection d’incidents, PCA, sécurité reseau). Comptez que le RGPD couvre environ 20 % des exigences NIS2.
Je suis certifie ISO 27001. Ca suffit ?
C’est un excellent point de depart. ISO 27001 couvre une grande partie des exigences NIS2 (analyse des risques, politique de sécurité, contrôle d’acces, gestion des incidents). Vous aurez principalement des complements a apporter sur la notification des incidents (délais imposes par NIS2), la sécurité de la chaine d’approvisionnement, et la gouvernance (implication formelle de la direction). Comptez que ISO 27001 couvre environ 70 % des exigences NIS2.
La transposition française n’est pas finalisee. Dois-je attendre ?
Non. Les obligations sont déjà definies au niveau europeen. La transposition française peut ajouter des specificites, mais le socle ne changera pas. Les entreprises qui attendent la transposition pour commencer accumulent un retard technique difficile a rattraper. De plus, certains clients grands comptes exigent déjà la conformité NIS2 dans leurs contrats.
Quel est le premier geste a faire ?
Nommer un referent cybersecurite (même à temps partiel, même sans embauche) et réaliser un inventaire de vos actifs informatiques. Ces deux actions sont gratuites et vous donnent une base pour tout le reste.
Quelles sont les différences entre entite essentielle et importante ?
Les obligations (10 mesures de l’article 21) sont les mêmes. La différence porte sur le regime de supervision :
| Aspect | Entite essentielle | Entite importante |
|---|---|---|
| Supervision | Proactive (controles réguliers ANSSI) | Reactive (contrôle en cas d’incident ou signalement) |
| Amendes max | 10 M EUR ou 2 % CA | 7 M EUR ou 1,4 % CA |
| Delai de mise en conformité | Immediat | Periode transitoire possible |
| Notification incidents | 24h / 72h / 30j | 24h / 72h / 30j (identique) |
Checklist de demarrage NIS2 pour les PME
Voici les 15 actions les plus importantes pour commencer votre mise en conformité, classées par priorite.
Immediat (cette semaine)
- Verifier si votre PME est dans le perimetre NIS2 (arbre de decision ci-dessus)
- Nommer un referent cybersecurite interne
- Activer le MFA sur les comptes d’administration et la messagerie
- Verifier que vos sauvegardes sont fonctionnelles (testez une restauration)
Court terme (ce mois)
- Realiser un inventaire des actifs informatiques
- Appliquer les mises a jour de sécurité en retard
- Deployer une charte informatique et la faire signer
- Contacter votre CCI où le programme France Num pour un diagnostic
Moyen terme (ce trimestre)
- Formaliser une analyse des risques (méthode EBIOS RM ou equivalent)
- Mettre en place une procedure de gestion des incidents
- Former l’ensemble du personnel à la cybersecurite
- Cartographier vos fournisseurs critiques
Long terme (ce semestre)
- Deployer une solution de detection (EDR, journalisation centralisee)
- Formaliser un PCA (plan de continuite d’activite)
- Realiser un test d’intrusion ou un scan de vulnerabilites
Conclusion : NIS2 n’est pas une contrainte, c’est un investissement
Il est tentant de voir NIS2 comme une enieme obligation reglementaire. C’est une erreur.
Les PME qui investissent dans leur cybersecurite gagnent sur trois tableaux :
- Competitivite : vous restez eligible aux marches des grands comptes qui exigent NIS2
- Resilience : vous reduisez le risque d’un incident qui pourrait couter 5 à 10 fois plus que la mise en conformité
- Confiance : clients, partenaires et salariés font davantage confiance à une entreprise qui prend la sécurité au serieux
Le coût de la non-conformité est toujours superieur au coût de la conformité. Et la bonne nouvelle, c’est que la demarche est progressive - vous n’avez pas besoin de tout faire en une fois.
Vous ne savez pas par où commencer ? Contactez-nous pour un diagnostic de votre situation - nous evaluons votre maturité cyber et vous aidons à definir un plan de mise en conformité adapte à votre taille et votre budget.
Sources : Directive (UE) 2022/2555 (NIS2), ANSSI - Guide de mise en oeuvre NIS2 (2024), ENISA Threat Landscape 2024, IBM Cost of a Data Breach Report 2024, Barometre CESIN 2024, France Num.