NIS2 pour les PME : checklist pratique de mise en conformité

Selon les derniers chiffres de l'ANSSI, la France passera d'environ 500 entités régulées sous NIS1 à plus de 15 000 sous NIS2. Parmi elles, des milliers de PME qui n'ont jamais eu affaire à une directive européenne de cybersécurité. La Loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité est en cours de finalisation. Les décrets d'application sont attendus au second trimestre 2026.

L'enquête révèle que la plupart des PME concernées n'ont pas encore entamé leur mise en conformité. Le coût moyen d'une cyberattaque sur une PME est estimé à 466 000 euros selon le cabinet Asteres. Face à des sanctions pouvant atteindre 7 millions d'euros pour les entités importantes, l'immobilisme n'est plus une option.

• Qui est concerné par NIS2 ?
• Ce que la directive impose concrètement
• Le calendrier réel pour les PME françaises
• Les sanctions : ce que risquent les dirigeants
• Checklist technique de conformité
• Le rôle du MSP dans la mise en conformité
• Ce que les chiffres ne disent pas

NIS2 élargit considérablement le périmètre par rapport à NIS1. Deux catégories d'entités sont définies :

Entités essentielles :

• Entreprises de 250 salariés ou plus, ou chiffre d'affaires supérieur à 50 millions d'euros
• Secteurs : énergie, transports, santé, eau potable, infrastructures numériques, administration publique

Entités importantes :

• Entreprises à partir de 50 salariés et 10 millions d'euros de chiffre d'affaires
• Secteurs : services postaux, gestion des déchets, fabrication, distribution alimentaire, services numériques, recherche

Ce que les chiffres ne disent pas : la directive vise aussi les sous-traitants et fournisseurs des entités régulées. Une PME de 30 salariés qui fournit des services IT à un hôpital ou un opérateur d'énergie peut se retrouver dans le périmètre par effet de cascade. L'ANSSI a mis en place la plateforme MonEspaceNIS2 pour permettre aux organisations de vérifier leur éligibilité.

L'article 21 de NIS2 définit dix mesures de cybersécurité obligatoires. En clair, voici ce que cela signifie pour une PME :

Gouvernance et responsabilité

• Formation obligatoire des dirigeants : la direction doit comprendre les risques cyber et valider la politique de sécurité. Ce n'est plus uniquement l'affaire du responsable IT.
• Nomination d'un responsable sécurité : RSSI interne ou prestataire externe dédié.
• Responsabilité personnelle : les dirigeants peuvent être tenus personnellement responsables en cas de manquement grave.

Mesures techniques

• Analyse de risques : cartographie des actifs, identification des menaces, évaluation des vulnérabilités. Un audit de sécurité Linux constitue un bon point de départ pour les infrastructures serveur.
• Gestion des incidents : procédures documentées de détection, réponse et notification. La mise en place d'un plan de réponse aux incidents n'est plus un luxe.
• Continuité d'activité : PCA/PRA testés et documentés. Un plan de reprise après sinistre solide devient une obligation réglementaire.
• Sécurité de la chaîne d'approvisionnement : évaluation et suivi des fournisseurs IT.
• Chiffrement : données sensibles chiffrées au repos et en transit.
• Authentification multifacteur (MFA) : obligatoire sur les accès critiques.
• Gestion des vulnérabilités : patching régulier, veille sécurité active.

Notification des incidents

Les délais de notification à l'ANSSI sont stricts et non négociables :

Ces délais supposent une capacité de détection en temps réel. Sans outil de supervision centralisé comme un SIEM type Wazuh, respecter le délai de 24 heures relève du vœu pieux.

La transposition de NIS2 en droit français passe par la Loi relative à la résilience des infrastructures critiques. Voici le calendrier tel qu'il se dessine :

• T1 2026 : promulgation de la Loi Résilience (signature et publication au Journal Officiel)
• T2 2026 : publication des décrets et arrêtés par l''ANSSI (standards techniques précis)
• 17 octobre 2024 : date butoir de transposition européenne (non respectée par la France)
• 3 ans après promulgation : période de transition pour la mise en conformité complète

L'obligation de notification des incidents dans les 24 heures s'appliquera dès la promulgation de la loi. Les PME n'auront pas le luxe d'attendre 2029.

Le régime de sanctions est calqué sur le RGPD, avec une particularité : la responsabilité personnelle des dirigeants.

Pour les entités essentielles :

• Amendes jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial
• Suspension temporaire des fonctions de direction

Pour les entités importantes :

• Amendes jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial

Dans tous les cas :

• Publication des sanctions (name and shame)
• Mises en demeure avec délais contraignants
• Contrôles et audits imposés par l'ANSSI

La conformité RGPD avait déjà introduit ce type de sanctions financières. NIS2 y ajoute la dimension personnelle pour les dirigeants, ce qui change fondamentalement la donne.

Voici une checklist pragmatique pour une PME accompagnée par son MSP. Elle couvre les exigences de l'article 21 sans verser dans la théorie :

Phase 1 : diagnostic (mois 1 à 2)

• Vérifier l'éligibilité sur MonEspaceNIS2
• Cartographier les actifs IT (serveurs, réseaux, applications, données)
• Identifier les données sensibles et leur localisation
• Réaliser un audit CIS Benchmark sur les systèmes critiques
• Évaluer la maturité actuelle (ISO 27001, RGPD existant)

Phase 2 : fondations (mois 3 à 6)

• Nommer un responsable sécurité (interne ou MSP)
• Rédiger la politique de sécurité des systèmes d'information (PSSI)
• Déployer le MFA sur tous les accès privilégiés
• Mettre en place un SIEM pour la journalisation centralisée
• Documenter les procédures de gestion des incidents
• Chiffrer les données sensibles (au repos et en transit)

Phase 3 : continuité et tests (mois 7 à 12)

• Élaborer et tester le PCA/PRA
• Mettre en place un programme de gestion des vulnérabilités
• Auditer la chaîne d'approvisionnement IT
• Former les dirigeants et les collaborateurs
• Réaliser un exercice de simulation d''incident
• Documenter la conformité (preuves pour audit ANSSI)

Phase 4 : maintien (continu)

• Superviser en temps réel (détection d''incidents)
• Patcher dans les 72 heures (vulnérabilités critiques)
• Auditer annuellement
• Mettre à jour la PSSI et les procédures

Pour une PME de 50 à 250 salariés, internaliser l''ensemble de ces compétences est rarement réaliste. Le coût d''un RSSI à temps plein dépasse largement le budget sécurité de la plupart des PME. C''est précisément là qu''un MSP (Managed Service Provider) intervient.

Ce qu''un MSP apporte dans le contexte NIS2 :

• RSSI externalisé : pilotage de la conformité, interface avec l''ANSSI
• SOC mutualisé : supervision 24/7, détection et réponse aux incidents
• Gestion des vulnérabilités : veille, priorisation, patching
• PCA/PRA managé : tests réguliers, restauration garantie
• Audit et reporting : documentation continue pour démontrer la conformité

L'approche Zero Trust s'intègre naturellement dans cette démarche. Elle impose de vérifier chaque accès, chaque flux, indépendamment de la position dans le réseau. Pour un MSP qui gère l'infrastructure de plusieurs clients PME, c'est la seule architecture qui tient la route face aux exigences NIS2.

Chez SHPV, l''accompagnement NIS2 s''inscrit dans une logique d''infogérance globale. La supervision, la sauvegarde, le patching et la réponse aux incidents font partie d''un socle intégré, pas de briques vendues séparément.

Le référentiel ISO 27001 constitue un excellent socle pour structurer la démarche. Les entreprises déjà certifiées couvrent une partie significative des exigences NIS2.

NIS2 n''est pas qu''une contrainte réglementaire de plus. C''est un signal clair : la cybersécurité des PME est devenue un enjeu de souveraineté nationale. Les attaques par rebond, où un attaquant compromet un sous-traitant pour atteindre sa cible finale, représentent désormais une part croissante des incidents.

Le vrai coût de la non-conformité dépasse largement les amendes. Une PME victime d''un ransomware sans PRA testé, sans journalisation centralisée, sans procédure de notification, c''est potentiellement une entreprise qui ne se relève pas. Les 466 000 euros de coût moyen d''une cyberattaque ne comptent pas la perte de clients, la dégradation de la réputation et le temps de reconstruction.

La directive NIS2 impose un changement de paradigme. La sécurité n''est plus un centre de coût optionnel ; c''est une obligation légale portée personnellement par les dirigeants. Les PME qui prennent le sujet au sérieux dès maintenant auront un avantage concurrentiel. Les autres découvriront les sanctions.

• ANSSI, La directive NIS 2
• MonEspaceNIS2, Plateforme de l''ANSSI
• Sénat, Rapport sur le projet de loi résilience et cybersécurité
• Vie-publique.fr, Projet de loi résilience infrastructures critiques
• Hyperconnecté, NIS2 en France : obligations clés