## NIS2 : la directive qui va changer la cybersécurité des PME françaises
La directive européenne NIS2 (Network and Information Systems 2) est entrée en vigueur en octobre 2024. Sa transposition en droit français via la loi de transposition et les décrets d'application impose de nouvelles obligations contraignantes à un périmètre d'entreprises considérablement élargi par rapport à NIS1.
Si vous dirigez une PME ou ETI dans un secteur "essentiel" ou "important", il y a de fortes chances que cette réglementation vous concerne directement.
Qui est concerné ? Le test en 3 questions
Question 1 : Quelle est la taille de votre entreprise ?
| Catégorie | Seuil |
|---|---|
| Grande entité essentielle | +250 salariés OU +50M€ CA ET +43M€ bilan |
| Entité essentielle | +50 salariés OU +10M€ CA ET +10M€ bilan |
| Entité importante | Petite entité dans secteur critique |
Question 2 : Quel est votre secteur d'activité ?
Secteurs essentiels (Annexe I NIS2) : - Énergie (électricité, gaz, pétrole, chaleur, hydrogène) - Transports (aérien, ferroviaire, maritime, routier) - Banques et marchés financiers - Santé (hôpitaux, laboratoires, R&D pharmaceutique) - Eau potable et eaux usées - Infrastructure numérique (IXP, DNS, TLD, cloud, datacenters, réseaux CDN) - Services ICT managés (MSP, MSSP) - Espace - Administration publique
Secteurs importants (Annexe II NIS2) : - Services postaux et de livraison - Gestion des déchets - Fabrication (dispositifs médicaux, électronique, machines, automobiles, chimie) - Alimentation (production, transformation, distribution à grande échelle) - Recherche - Fournisseurs de services numériques (marketplaces, moteurs de recherche, réseaux sociaux)
Question 3 : Êtes-vous un prestataire critique ?
Même si votre entreprise ne remplit pas les critères de taille, vous pouvez être concerné si vous êtes un fournisseur critique d'une entité soumise à NIS2 (ce qu'on appelle la propagation via la chaîne d'approvisionnement).
Les 10 obligations clés de NIS2
1. Politique de sécurité formalisée Vous devez disposer d'une politique de sécurité documentée, validée par la direction, et révisée régulièrement.
2. Gestion des risques Analyse de risques formelle (méthode EBIOS RM recommandée par l'ANSSI), cartographie des actifs, traitement documenté des risques résiduels.
3. Gestion des incidents - Délai de notification à l'ANSSI : 24h après détection - Rapport intermédiaire : 72h - Rapport final : 1 mois
4. Continuité d'activité Plan de continuité et de reprise d'activité (PCA/PRA) documenté et testé. ShadGramers couvre cela avec le stack backup-dr (Restic + Borg + MinIO).
5. Sécurité de la chaîne d'approvisionnement Audit de vos fournisseurs numériques. Clause contractuelle de sécurité avec vos prestataires. C'est ici que l'utilisation de SaaS américains crée un risque mesurable.
6. Authentification forte (MFA) Multi-factor authentication obligatoire sur tous les accès critiques. Notre stack _core-tenant intègre Keycloak avec 2FA obligatoire sur toutes les interfaces.
7. Chiffrement des données Chiffrement au repos et en transit. Gestion des clés maîtrisée (Vaultwarden pour les secrets, TLS/mTLS entre services).
8. Sécurité des ressources humaines Formation cybersécurité pour tous les collaborateurs. Gestion des habilitations et des départs.
9. Tests de sécurité Audits de sécurité réguliers, tests d'intrusion, revue du code des applications critiques.
10. Supervision et journalisation SIEM, centralisation des logs, alertes sur comportements anormaux. Notre stack pack-entreprise-360 intègre une solution de monitoring avec VictoriaLogs.
Les sanctions : ce qui change vraiment
NIS2 introduit des sanctions directes et personnelles :
| Catégorie | Amende maximale |
|---|---|
| Entités essentielles | 10 M€ ou 2% du CA mondial |
| Entités importantes | 7 M€ ou 1,4% du CA mondial |
Nouveauté critique : les dirigeants peuvent être personnellement responsables si la non-conformité résulte d'une négligence de leur part.
L'ANSSI dispose de nouveaux pouvoirs d'inspection, de mise en demeure et de suspension temporaire de services.
Comment ShadGramers répond aux exigences NIS2
Hébergement souverain → Article 21.2.d (sécurité de la chaîne d'approvisionnement)
En hébergeant vos données chez Hetzner DE ou OVH FR avec des outils 100% open-source, vous éliminez la dépendance à des prestataires extra-européens soumis au Cloud Act. La contractualisation avec ShadGramers inclut un Data Processing Agreement (DPA) complet.
Architecture zéro-trust → Article 21.2.b (contrôle d'accès)
Le stack ztna-vpn implémente une architecture réseau segmentée où chaque utilisateur n'accède qu'aux ressources auxquelles il a droit. Headscale + WireGuard remplace les VPN legacy sans client propriétaire.
MFA obligatoire → Article 21.2.j (authentification)
Keycloak (intégré à _core-tenant) impose le second facteur sur tous les accès. TOTP, WebAuthn, SMS comme fallback. Administration centralisée des politiques d'authentification.
Journalisation → Article 21.2.c (détection et réponse)
VictoriaMetrics + VictoriaLogs collectent les métriques et logs de tous vos services. Grafana expose des tableaux de bord avec alerting. Rétention configurable de 90 jours minimum.
Sauvegarde 3-2-1 → Article 21.2.c (continuité d'activité)
Le stack backup-dr implémente la règle 3-2-1 : 3 copies, 2 médias différents, 1 hors-site. Restic chiffre les sauvegardes avec des clés que vous maîtrisez. Vérification mensuelle automatisée de l'intégrité.
Votre checklist de mise en conformité NIS2
□ Auto-identification dans le registre NIS2 ANSSI (si applicable)
□ Analyse de risques formalisée (EBIOS RM)
□ MFA activé sur tous les accès critiques
□ Politique de gestion des incidents documentée
□ Plan de continuité testé (au moins 1x/an)
□ Audit fournisseurs numériques (chaîne d'approvisionnement)
□ Formation cybersécurité collaborateurs
□ Sauvegardes 3-2-1 avec tests de restauration
□ Centralisation des logs avec rétention 90j minimum
□ Contrat DPA avec vos prestataires
Prochaines étapes
L'ANSSI a ouvert son portail d'enregistrement NIS2 pour permettre aux entreprises concernées de s'auto-déclarer. La première étape est de déterminer si vous êtes dans le périmètre.
ShadGramers propose un audit NIS2 initial gratuit de 30 minutes : nous parcourons votre situation avec vous et nous identifions les actions prioritaires.