Lundi matin. Un email de votre plus gros client atterrit dans votre boite de reception. Objet : “Questionnaire sécurité - conformité NIS2 - réponse sous 30 jours”. Vingt pages de questions sur vos pratiques de cybersecurite, votre politique de sauvegarde, votre gestion des acces. Vous n’avez jamais entendu parler de NIS2, et pourtant cette directive vient de frapper à votre porte.
Ce scenario n’est pas hypothetique. Il se joue en ce moment dans des milliers de PME françaises. La directive NIS2, qui elargit les obligations de cybersecurite a plus de 15 000 organisations en France, impose aux entites concernees de securiser l’ensemble de leur chaine d’approvisionnement. Et cette chaine, c’est vous.
Si vous avez lu notre guide complet NIS2, vous connaissez les 10 obligations et la méthode de mise en conformité pour les entites directement soumises. Cet article traite d’un angle different et tout aussi critique : ce qui se passe quand votre PME n’est pas directement concernee par NIS2, mais que vos clients le sont.
A la fin de votre lecture, vous saurez :
- Pourquoi NIS2 concerne les sous-traitants même s’ils ne sont pas directement vises
- Les 5 exigences types que vos clients vont vous imposer
- Les 3 niveaux de maturité attendus et la checklist pour chacun
- Comment vous preparer progressivement sans exploser le budget
- Comment transformer cette contrainte en avantage commercial
- Les aides disponibles pour financer votre mise à niveau
Pourquoi NIS2 concerne les sous-traitants
L’article 21 et la chaine d’approvisionnement
Le coeur du sujet se trouve dans l’article 21 de la directive NIS2. Ce texte impose aux entites soumises de prendre des mesures pour securiser leur chaine d’approvisionnement. En clair : une entreprise soumise a NIS2 ne peut plus se contenter de protéger ses propres systèmes. Elle doit s’assurer que ses fournisseurs, sous-traitants et prestataires atteignent eux aussi un niveau de sécurité suffisant.
Cette obligation n’est pas theorique. Les chiffres le confirment : 62 % des cyberattaques visant des grands groupes en 2024 sont passees par un sous-traitant ou un fournisseur (source : ENISA Threat Landscape 2024). Les attaquants l’ont compris depuis longtemps - pourquoi s’en prendre à une forteresse quand on peut entrer par une porte derobee ?
Le mecanisme de cascade
NIS2 crée un effet de cascade reglementaire. Voici comment il fonctionne :
- Votre client est soumis a NIS2 (il emploie plus de 50 salariés et opere dans un des 18 secteurs couverts)
- L’ANSSI lui impose de securiser sa chaine d’approvisionnement (article 21, mesure 4)
- Votre client vous transmet des exigences de sécurité (questionnaire, clauses contractuelles, audit)
- Vous devez y répondre sous peine de perdre le contrat
Le résultat : même si votre PME compte 15 salariés et n’est pas du tout dans le perimetre direct de NIS2, vous êtes concerne dès que vous travaillez avec un client soumis à la directive. Et avec plus de 15 000 entites concernees en France - contre 300 sous l’ancienne directive NIS1 - la probabilite que l’un de vos clients soit dans le lot est élevée.
Ce n’est pas une menace future, c’est en cours
L’échéance officielle pour la mise en oeuvre des 10 mesures obligatoires est le 17 octobre 2026. Mais de nombreuses grandes entreprises et ETI ont déjà commence a auditer leurs fournisseurs. Les premiers questionnaires circulent depuis fin 2025. Les appels d’offres integrent des clauses de cybersecurite renforcees. Les contrats en renouvellement incluent de nouvelles exigences.
Si vous attendez de recevoir un questionnaire pour commencer à vous preparer, vous aurez 30 jours pour rattraper un retard de plusieurs mois.
Ce que vos clients vont vous demander
Les 5 exigences types
Les grands comptes soumis a NIS2 ne vont pas reinventer la roue. Leurs exigences envers les sous-traitants suivent un schema relativement previsible. Voici les 5 demandes les plus fréquentes, avec ce qu’elles signifient concretement pour votre PME.
| # | Exigence client | Ce qu’on vous demande concretement | Delai de réponse habituel |
|---|---|---|---|
| 1 | Questionnaire de sécurité | Repondre à 50-150 questions sur vos pratiques cyber, votre infrastructure, vos certifications | 15-30 jours |
| 2 | Preuves de conformité | Fournir des documents : politique de sécurité, PCA, registre des incidents, résultats d’audit | 30-60 jours |
| 3 | Clauses contractuelles | Accepter des obligations de sécurité dans le contrat (notification d’incident, droit d’audit, penalites) | A la signature |
| 4 | Plan de remediation | Si vos réponses révèlent dès lacunes, présenter un plan d’action date pour les combler | 30-90 jours |
| 5 | Audit sur site ou à distance | Accepter qu’un auditeur mandante par votre client vérifie vos pratiques reelles | 1-2 jours d’audit |
Le questionnaire de sécurité en detail
Le questionnaire est généralement le premier contact. Il couvre les themes suivants :
Gouvernance et organisation : avez-vous un referent cybersecurite ? La direction est-elle impliquee dans les decisions de sécurité ? Disposez-vous d’une politique de sécurité ecrite ?
Protection technique : vos systèmes sont-ils a jour ? Utilisez-vous l’authentification multifacteur ? Votre reseau est-il segmente ? Vos données sensibles sont-elles chiffrees ?
Gestion des incidents : avez-vous une procedure de notification ? Conservez-vous des journaux d’événements ? Avez-vous déjà subi un incident et comment l’avez-vous gère ?
Continuite d’activite : vos sauvegardes sont-elles testees ? Disposez-vous d’un plan de continuite ? Quel est votre délai de reprise d’activite en cas de sinistre ?
Gestion des tiers : comment evaluez-vous vos propres fournisseurs ? Incluez-vous des clauses de sécurité dans vos contrats avec vos prestataires ?
Le piege le plus courant : répondre “oui” à une question quand la pratique n’est pas formalisee. Si vous dites avoir une politique de sauvegarde mais que personne ne l’à testee depuis 18 mois, un audit le revelera - et votre credibilite en prendra un coup.
Les 3 niveaux de maturité attendus
Tous les clients n’attendent pas le même niveau de sécurité de leurs sous-traitants. L’exigence depend de la criticite de votre prestation. Un fournisseur de fournitures de bureau n’est pas soumis aux mêmes attentes qu’un prestataire qui accede au système d’information de son client.
Niveau 1 : Essentiel
Pour qui : sous-traitants sans acces au SI du client, fournisseurs de produits ou services non critiques.
Ce que le client attend :
- Authentification multifacteur sur les acces critiques (messagerie, outils cloud)
- Mises a jour de sécurité appliquees régulièrement (sous 30 jours)
- Sauvegardes automatiques et testees (au moins trimestriellement)
- Politique de mots de passe robuste (12+ caracteres, gestionnaire de mots de passe)
- Sensibilisation basique des équipes (au moins une session par an)
- Antivirus ou solution de protection des postes a jour sur tous les appareils
- Charte informatique signee par les collaborateurs
Budget estimatif : 2 000 a 8 000 EUR pour la mise en place, 1 000 à 3 000 EUR par an en maintien.
Delai de mise en oeuvre : 1 à 3 mois.
Niveau 2 : Intermediaire
Pour qui : prestataires avec un acces limité au SI du client (VPN, portail fournisseur, echange de données), sous-traitants qui traitent des données sensibles du client.
Ce que le client attend (en plus du niveau 1) :
- Politique de sécurité formalisee et validee par la direction
- Analyse des risques documentee (méthode EBIOS RM ou equivalent)
- Procedure de gestion des incidents ecrite (detection, notification sous 24h, traitement)
- Plan de continuite d’activite (PCA) couvrant les processus lies au client
- Segmentation reseau (separation des environnements de production, bureautique, invites)
- Chiffrement des données sensibles au repos et en transit
- Revue des droits d’acces semestrielle
- Journalisation des événements de sécurité (conservation 12 mois minimum)
- Formation cybersecurite spécifique pour les collaborateurs manipulant des données client
Budget estimatif : 15 000 à 45 000 EUR pour la mise en place, 5 000 à 15 000 EUR par an en maintien.
Delai de mise en oeuvre : 3 a 6 mois.
Niveau 3 : Avance
Pour qui : prestataires avec un acces privilegie au SI du client (administration, infogerance, developpement), sous-traitants critiques dont l’arret impacterait l’activite du client.
Ce que le client attend (en plus des niveaux 1 et 2) :
- Certification ISO 27001 ou qualification PASSI (ou plan d’obtention)
- Tests d’intrusion annuels realises par un tiers independant
- SOC (centre operationnel de sécurité) ou service de surveillance externalise
- Plan de réponse aux incidents teste par exercice au moins annuellement
- Gestion des vulnerabilites avec scan régulier et correction sous 72h pour les critiques
- Clause de notification d’incident au client sous 24 heures
- Droit d’audit contractuel accorde au client
- Sauvegarde hors site avec test de restauration semestriel
Budget estimatif : 35 000 à 180 000 EUR pour la mise en place, 15 000 à 50 000 EUR par an en maintien. Un audit PASSI seul represente 8 000 a 25 000 EUR pour un diagnostic complet.
Delai de mise en oeuvre : 6 à 18 mois.
Comment se preparer sans exploser le budget
Plan d’action progressif par trimestre
La cle est de ne pas tout faire en même temps. Voici un plan realiste reparti sur 6 mois qui vous amene au niveau 2, suffisant pour la grande majorite des sous-traitants.
Trimestre 1 : poser les fondations (budget : 3 000-8 000 EUR)
Mois 1 :
- Nommer un referent cybersecurite (même à temps partiel, pas besoin d’embaucher)
- Activer le MFA sur tous les comptes critiques (messagerie, outils cloud, ERP)
- Verifier que les mises a jour automatiques sont actives partout
- Commander un diagnostic de sécurité initial
Mois 2 :
- Deployer un gestionnaire de mots de passe pour toute l’équipe
- Rediger et faire signer une charte informatique
- Mettre en place des sauvegardes conformes à la règle 3-2-1
- Tester une restauration de sauvegarde
Mois 3 :
- Organiser une première session de sensibilisation (1h, focus hameconnage)
- Rediger la politique de sécurité (5-10 pages maximum)
- Faire valider la politique par la direction
- Repondre au questionnaire client si vous en avez recu un
Trimestre 2 : structurer (budget : 8 000-20 000 EUR)
Mois 4 :
- Realiser l’analyse des risques (utiliser la méthode EBIOS RM simplifiee)
- Segmenter le reseau (au minimum : separer le Wi-Fi invites et les postes de travail)
- Activer le chiffrement des disques sur les ordinateurs portables
Mois 5 :
- Rediger la procedure de gestion des incidents
- Configurer la journalisation des événements de sécurité
- Deployer une solution de detection sur les postes (EDR)
- Realiser une revue des droits d’acces
Mois 6 :
- Rediger le plan de continuite d’activite (PCA) simplifie
- Organiser un exercice de simulation d’incident
- Lancer un premier scan de vulnerabilites
- Constituer un dossier de preuves pour vos clients (politique, procedures, rapports)
Les économies intelligentes
Vous n’avez pas le budget d’une grande entreprise. Voici 5 leviers pour reduire les coûts sans reduire la sécurité.
1. Mutualisez avec le RGPD. Si vous avez un DPO ou un referent RGPD, une partie du travail est déjà faite : registre des traitements, analyse d’impact, procedures de notification. NIS2 et RGPD partagent environ 20 % de leurs exigences.
2. Privilegiez les solutions open source. Des outils de surveillance et de detection existent en open source avec un niveau de qualité professionnel. Le coût se limité alors à la mise en place et à la maintenance.
3. Factorisez la documentation. Un seul document d’analyse des risques, un seul PCA, une seule politique de sécurité - adaptez-les selon les clients plutot que de repartir de zero pour chacun.
4. Formez un collaborateur en interne. Un investissement de 2 000 à 5 000 EUR en formation peut vous eviter de recourir systematiquement à un prestataire externe pour le suivi quotidien.
5. Echelonnez les depenses. Commencez par les mesures gratuites ou quasi gratuites (MFA, mises a jour, charte informatique), puis investissez progressivement. Le plan trimestriel ci-dessus repartit l’effort pour eviter un pic budgetaire insupportable.
Pour un panorama complet des coûts d’un projet de transformation digitale et des aides disponibles, consultez notre article sur le coût d’un projet IA et automatisation pour une PME.
Transformer la contrainte en avantage commercial
La differenciation par la confiance
Voici l’angle que la plupart des PME ne voient pas : NIS2 va créer une ligne de partage nette entre les sous-traitants conformes et les autres. D’un cote, les PME capables de répondre à un questionnaire de sécurité en 48 heures, preuves à l’appui. De l’autre, celles qui demandent 3 mois et bricolent des réponses approximatives.
Dans un marche où les grands comptes sont obliges par la loi de securiser leur chaine d’approvisionnement, la conformité devient un critère de selection au même titre que le prix où la qualité technique.
Les 3 avantages concurrentiels
1. Acces aux marches grands comptes. Les appels d’offres des entreprises soumises a NIS2 incluent desormais des critères de cybersecurite eliminatoires. Etre conforme, c’est rester eligible. Ne pas l’être, c’est être ecarte avant même que votre offre soit lue.
2. Fidelisation des clients existants. Un client qui a investi du temps pour auditer votre sécurité et valider votre conformité n’a aucun intérêt à changer de fournisseur - le coût de re-qualification d’un nouveau sous-traitant est significatif. Votre conformité renforce le lien commercial.
3. Argument de vente quantifiable. “Nous sommes conformes aux exigences NIS2 de la chaine d’approvisionnement” est un argument qui se place en tete de proposition commerciale. Il rassure le decideur et simplifie le processus d’achat de votre client - moins de questionnaires, moins d’allers-retours, moins de risque pour lui.
Comment valoriser votre conformité
- Mentionnez votre niveau de conformité dans vos propositions commerciales et sur votre site web
- Preparez un dossier de preuves prêt à l’emploi (politique de sécurité, résultats d’audit, attestations de formation)
- Proposez proactivement le questionnaire de sécurité à vos prospects grands comptes - avant qu’ils ne le demandent
- Si vous visez le niveau 3, la certification ISO 27001 est un signal fort reconnu internationalement
Les aides disponibles pour financer votre mise à niveau
Les PME ne sont pas seules face a NIS2. Plusieurs dispositifs publics permettent de financer une partie de la mise en conformité.
| Aide | Montant | Eligibilite | Comment en bénéficier |
|---|---|---|---|
| Diagnostic France Num | Gratuit | TPE/PME (toutes) | france-num.gouv.fr - demande en ligne |
| Cheque audit cybersecurite (ANSSI) | Jusqu’à 5 000 EUR | PME < 250 salariés | Programme en cours - contacter l’ANSSI |
| Subvention BPI France | 30 à 50 % du coût du projet | PME innovantes | bpifrance.fr - dossier avec devis |
| Credit d’impot innovation | 30 % des depenses eligibles | PME investissant en cybersecurite | Declaration via impots.gouv.fr |
| Aides regionales | Variable selon region | TPE/PME locales | Contacter votre CCI ou conseil regional |
Conseil pratique : commencez par le diagnostic gratuit France Num. Il vous donne un état des lieux structure qui facilité ensuite les demandes de financement aupres de BPI ou de votre region. Les CCI (Chambres de Commerce et d’Industrie) proposent egalement des ateliers de sensibilisation NIS2 gratuits - renseignez-vous aupres de votre chambre locale.
Pour aller plus loin sur les financements, notre article sur la cybersecurite en PME détaille les mesures essentielles et les ressources publiques disponibles.
Timeline : que faire dans les 6 prochains mois
Voici une feuille de route actionnable, mois par mois, pour que votre PME soit prête a répondre aux exigences de ses clients soumis a NIS2 avant l’échéance du 17 octobre 2026.
| Mois | Actions prioritaires | Livrable | Budget indicatif |
|---|---|---|---|
| Mois 1 (avril 2026) | Nommer un referent cyber, activer le MFA partout, inventorier les actifs | Liste des actifs, MFA deploye | 0 - 500 EUR |
| Mois 2 (mai 2026) | Deployer un gestionnaire de mots de passe, mettre en place les sauvegardes 3-2-1, rédiger la charte informatique | Charte signee, sauvegardes testees | 500 - 2 000 EUR |
| Mois 3 (juin 2026) | Realiser un diagnostic de sécurité, rédiger la politique de sécurité, former les équipes | Politique validee, diagnostic réalise | 3 000 - 8 000 EUR |
| Mois 4 (juillet 2026) | Mener l’analyse des risques, segmenter le reseau, chiffrer les portables | Analyse des risques documentee | 3 000 - 8 000 EUR |
| Mois 5 (aout 2026) | Rediger les procedures (incidents, PCA), configurer la journalisation, déployer un EDR | Procedures ecrites, EDR operationnel | 3 000 - 10 000 EUR |
| Mois 6 (septembre 2026) | Simuler un incident, constituer le dossier de preuves, scanner les vulnerabilites | Dossier de conformité complet | 2 000 - 5 000 EUR |
Total sur 6 mois : 11 500 à 33 500 EUR pour atteindre le niveau 2 (intermediaire).
Ce calendrier est calibre pour une PME de 15 a 80 salariés avec un SI de taille standard. Adaptez-le à votre situation : si vous partez de zero, concentrez les efforts sur le niveau 1 les 3 premiers mois avant de passer aux mesures du niveau 2.
Les erreurs a eviter
Cinq erreurs reviennent frequemment chez les PME qui decouvrent NIS2 par le questionnaire d’un client.
1. Attendre d’être oblige. Chaque mois de retard est un mois pendant lequel vous risquez de perdre un contrat ou de decouvrir trop tard une vulnerabilite exploitable. Les PME qui anticipent ont un avantage decisif sur celles qui reagissent dans l’urgence.
2. Repondre au questionnaire sans corriger les failles. Cocher “oui” partout pour rassurer le client est tentant. Mais un audit - ou pire, un incident - revelera la realite. La credibilite perdue ne se recupere pas facilement.
3. Viser trop haut trop vite. Inutile de lancer une certification ISO 27001 si vous n’avez pas encore de politique de mots de passe. Progressez niveau par niveau, en commencant par les fondamentaux du niveau 1.
4. Confier le sujet uniquement à l’informatique. NIS2 est un sujet de direction. L’article 20 de la directive engage la responsabilite personnelle des dirigeants. La cybersecurite n’est plus une affaire de techniciens - c’est une affaire de gouvernance.
5. Traiter chaque client separement. Si trois clients vous envoient trois questionnaires differents, ne redigez pas trois réponses independantes. Constituez un dossier de sécurité unique, exhaustif, que vous adaptez ensuite à chaque demande. Le travail fait pour un client sert à tous les autres.
Conclusion : NIS2 n’attend pas, et vos clients non plus
La directive NIS2 redessine les règles du jeu pour les sous-traitants. Ce n’est pas une question de taille d’entreprise ou de secteur d’activite. C’est une question de relation commerciale : si votre client est soumis a NIS2, vous êtes concerne. Et les sanctions pour les entites soumises - jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial - les incitent fortement à ne prendre aucun risque avec leurs fournisseurs.
Mais cette contrainte porte aussi une opportunité. Les PME qui se preparent maintenant gagnent sur trois tableaux : elles conservent leurs contrats existants, elles se qualifient pour de nouveaux marches, et elles renforcent leur resilience face aux cybermenaces qui ne cessent de progresser.
Le premier pas est simple : nommez un referent, activez le MFA, et identifiez lesquels de vos clients sont soumis a NIS2. Ce travail prend une demi-journee. Les 6 mois suivants transformeront votre posture de sécurité.
Vous ne savez pas par où commencer, où vous avez recu un questionnaire de sécurité et vous avez besoin d’aide pour y répondre ? Nous accompagnons les PME sous-traitantes dans leur mise en conformité avec les exigences NIS2 de la chaine d’approvisionnement - du diagnostic initial à la constitution du dossier de preuves.
Sources : Directive (UE) 2022/2555 (NIS2), article 21 - sécurité de la chaine d’approvisionnement, ANSSI - Guide de mise en oeuvre NIS2 (2024), ENISA Threat Landscape 2024, France Num, BPI France.