NIS2 (directive (UE) 2022/2555) élargit le périmètre des organisations visées et renforce les attentes en matière de sécurité et de gouvernance. Dans la pratique, la question « suis-je concerné ? » se traite à deux niveaux : direct (vous êtes une entité visée après transposition nationale) et indirect (vos clients, donneurs d’ordre ou partenaires vous imposent des exigences alignées NIS2).

Même sans être une entité « essentielle/importante », une PME/ETI peut subir un effet d’entraînement :

• Pression contractuelle : clauses cybersécurité, exigences de notification d’incident, exigences de continuité, audits fournisseurs.
• Appels d’offres : demandes de preuves (politiques, procédures, journaux, tests, PRA/PCA) et de maturité (gouvernance, gestion des accès, sauvegardes).
• Chaîne de sous-traitance : vous êtes fournisseur d’un acteur régulé, donc vous devenez un maillon à sécuriser.
• Assurance et financement : questionnaires de sécurité, attentes sur les mesures minimales et la gestion des incidents.

Le bon réflexe est d’éviter une approche purement « juridique » au départ. Commencez par une approche risque et continuité orientée métiers : quels services numériques, quelles données, quelles dépendances (SaaS, infogérance, hébergement) et quelles conséquences en cas d’indisponibilité ou de compromission.

Enfin, gardez en tête que NIS2 s’inscrit dans un écosystème (ANSSI, recommandations sectorielles, exigences clients). Votre objectif : être capable de démontrer un pilotage raisonnable et des contrôles essentiels, même si votre mise en conformité NIS2 n’est pas formellement exigée à ce stade.

Pour une PME/ETI, NIS2 se résume utilement à quatre blocs opérationnels : gérer les risques, détecter et traiter les incidents, assurer la continuité, sécuriser la chaîne de sous-traitance. Plutôt que de viser une conformité « documentaire », visez une capacité réelle à prévenir, encaisser et rétablir.

Gestion des risques (pragmatique)

• Identifier les actifs critiques (applications, serveurs, comptes, données, postes, réseaux).
• Évaluer les scénarios de risque les plus probables et les plus dommageables (indisponibilité, ransomware, fuite, fraude au virement, compromission d’identités).
• Décider des mesures proportionnées : réduire, transférer, accepter, ou éviter.

Gestion des incidents

• Définir un processus simple : signalement, qualification, containment, éradication, restauration, communication.
• Prévoir les rôles : direction, IT, métiers, juridique, communication, prestataires.
• S’assurer que les informations nécessaires existent (journaux, inventaire, contacts, procédures).

Continuité (PCA/PRA)

• Déterminer les activités prioritaires et les dépendances IT.
• Prévoir des modes dégradés, une restauration contrôlée, et des tests.

Chaîne fournisseurs

• Cartographier les prestataires critiques : infogérance, hébergeur, sauvegarde, SOC, éditeurs SaaS.
• Fixer des exigences minimales : sécurité, délais de prise en charge, notification d’incident, droit d’audit, réversibilité.

Le fil conducteur : la gouvernance. Même avec une petite équipe, il faut un responsable (interne ou externalisé) capable d’arbitrer, prioriser et rendre des comptes. Cela répond aux attentes « NIS2 PME » sans transformer votre organisation en usine à gaz.

Le « socle minimum » vise des mesures à fort impact, applicables rapidement et défendables face à des exigences clients cybersécurité. L’idée : réduire les risques dominants (intrusion via identités, ransomware, erreurs de configuration, perte de données) avec une exécution disciplinée.

Identités et accès (souvent le meilleur ROI)

• MFA sur les comptes sensibles et l’accès distant (administration, messagerie, VPN, consoles cloud).
• Comptes admin séparés, suppression des comptes partagés.
• Revue périodique des droits (entrées/sorties, prestataires, comptes dormants).

Sauvegardes et restauration

• Sauvegardes protégées contre l’effacement (séparation logique, droits limités).
• Test de restauration documenté (au moins sur les systèmes critiques).
• Sauvegarde des configurations clés (pare-feu, M365/Google Workspace, annuaires, serveurs).

Hygiène poste de travail et serveur

• Gestion des correctifs (priorité aux composants exposés : VPN, accès distant, messagerie, navigateurs, systèmes).
• Antimalware/EDR adapté et correctement supervisé.
• Chiffrement des postes portables si pertinent.

Réseau et exposition

• Inventaire des services exposés Internet, suppression du non nécessaire.
• Segmentation minimale : séparer postes, serveurs, sauvegardes, administration.

Sensibilisation ciblée

• Procédures simples contre l’hameçonnage, la fraude au dirigeant, et la manipulation.
• Canal de remontée rapide des soupçons.

Ce socle est compatible avec une mise en conformité NIS2 progressive : il produit des résultats concrets et prépare la phase « preuves et pilotage ». Le piège à éviter : multiplier les outils sans clarifier les responsabilités et sans capacité de supervision.

Ce qui fait la différence dans une approche NIS2, c’est la capacité à prouver : prouver que vous avez décidé, mis en œuvre, contrôlé, corrigé. Inutile de viser un référentiel complet dès le départ ; visez un noyau documentaire et des traces techniques cohérentes.

Politiques et procédures (format court)

• Politique de sécurité (principes, rôles, exceptions).
• Gestion des accès (création, suppression, privilèges, MFA).
• Gestion des incidents (qui fait quoi, quand escalader, comment communiquer).
• Sauvegardes et restauration (périmètre, fréquence, responsabilités, tests).
• Continuité (PCA/PRA : priorités, dépendances, stratégie de reprise).

Journaux et traçabilité (utile, pas exhaustive)

Concentrez-vous sur : authentifications, élévations de privilèges, accès distants, modifications de configuration, alertes EDR, événements de messagerie.

KPI simples (pour piloter)

Suivre peu d’indicateurs, mais régulièrement :

Audits légers et revues

• Revue trimestrielle des droits.
• Revue des sauvegardes (succès/échecs, tests).
• Revue des incidents et des presque-incidents.

L’objectif : un pilotage « gouvernance cybersécurité » compréhensible par la direction, avec des preuves actionnables en cas de demande client, d’audit fournisseur ou d’investigation après incident.

NIS2 met fortement l’accent sur la cybersécurité de la chaîne de sous-traitance. Pour une PME/ETI, cela signifie : choisir des prestataires capables, clarifier les responsabilités, et contractualiser des exigences vérifiables. Le but n’est pas de produire un contrat « parfait », mais de réduire les angles morts : qui fait quoi, avec quel délai, et avec quelles preuves.

Clarifier le modèle de responsabilité

Avant les clauses, posez noir sur blanc :

• Qui administre quoi (poste, serveur, réseau, cloud, sauvegarde, EDR) ?
• Qui surveille et qui reçoit les alertes ?
• Qui décide en cas d’incident (isolement poste, coupure VPN, restauration) ?
• Qui parle aux utilisateurs, clients, assureur ?

Clauses utiles (à adapter)

• Périmètre de service et exclusions.
• SLA : disponibilité, délais de prise en charge, délais de rétablissement, astreinte.
• Gestion des incidents : procédure, escalade, obligations de coopération, conservation des preuves.
• Notification : modalités et délais de notification d’incident affectant vos services.
• Mesures de sécurité minimales : MFA, sauvegardes, durcissement, segmentation, journalisation.
• Droit d’audit ou a minima droit de recevoir des éléments de preuve (attestations, rapports de tests, comptes rendus).
• Sous-traitance en cascade : obligation de déclarer les sous-traitants critiques.
• Réversibilité : récupération des données, formats, délais, assistance à la migration.

Évaluer un prestataire d’infogérance (sans usine à gaz)

• Demander une description de l’architecture (accès admin, bastion, VPN, outils RMM).
• Vérifier la capacité de restauration (pas seulement la sauvegarde).
• Confirmer la supervision (qui regarde, quand, comment les alertes sont traitées).
• Exiger un plan d’amélioration : correctifs, durcissement, documentation.

Une bonne contractualisation réduit votre risque et facilite la mise en conformité NIS2, car elle rend la sécurité opérationnelle et vérifiable, y compris quand une partie du SI est externalisée.

Le piège le plus fréquent est de démarrer par des documents, ou par l’achat d’outils, sans priorisation. Un plan 30/60/90 jours efficace commence par le concret : savoir ce que vous avez, ce qui est critique, et renforcer rapidement les points d’entrée les plus exploités.

0–30 jours : cadrer et réduire le risque immédiat

• Nommer un pilote (interne ou externalisé) et valider un périmètre (sites, filiales, services critiques).
• Faire une cartographie « légère » : actifs, comptes critiques, applications essentielles, prestataires clés.
• Activer/renforcer le MFA sur messagerie, accès distant, comptes admin.
• Vérifier les sauvegardes : périmètre, accès, séparation, et lancer un premier test de restauration.
• Établir la procédure d’incident (contacts, décision de coupure, prestataires, assureur).

31–60 jours : structurer et fiabiliser

• Réduire l’exposition Internet et durcir les accès d’administration.
• Mettre en place la revue des droits (processus entrées/sorties, prestataires, comptes dormants).
• Définir un PCA/PRA minimal : priorités métiers, dépendances, stratégie de reprise.
• Mettre sous contrôle les prestataires : clauses de notification, SLA, réversibilité, responsabilités.

61–90 jours : industrialiser et prouver

• Formaliser le noyau de politiques (accès, sauvegarde, incident, continuité) en format court.
• Mettre en place un suivi KPI mensuel et une revue direction.
• Organiser un exercice incident (table-top) et un test PRA sur un service critique.
• Lancer un plan d’amélioration (patching, segmentation, journalisation, EDR) selon les risques.

Ce plan répond à l’esprit NIS2 : priorisation, gouvernance, résilience, chaîne fournisseurs. Il est aussi très utile pour répondre à des exigences clients cybersécurité avec des preuves simples et des actions déjà engagées.

Cette checklist vous aide à vérifier, en une passe, si vous êtes sur une trajectoire compatible avec des attentes NIS2 côté clients et partenaires.

Gouvernance et périmètre

• Responsable identifié (même à temps partiel) et sponsor direction.
• Liste des services numériques critiques et de leurs propriétaires métiers.
• Liste des prestataires critiques (infogérance, hébergement, sauvegarde, SOC, SaaS).

Socle technique

• MFA activé sur messagerie, accès distant et comptes administrateurs.
• Inventaire des comptes à privilèges et suppression des comptes partagés.
• Sauvegardes protégées (droits limités) et restauration testée sur périmètre critique.
• Correctifs : processus défini, priorités claires, suivi des exceptions.
• Exposition Internet connue (services publiés) et surface réduite.

Incidents et continuité

• Procédure d’incident écrite et testable (contacts, escalade, décisions rapides).
• Journalisation minimale disponible (authentification, admin, EDR, messagerie).
• PCA/PRA minimal : priorités métiers, dépendances, stratégie de reprise.
• Exercice de gestion d’incident réalisé (même sur table) et compte rendu conservé.

Sous-traitants et contrats

• Clauses de notification d’incident et de coopération.
• SLA/engagements de prise en charge et rétablissement définis.
• Réversibilité prévue (données, délais, assistance).
• Responsabilités clarifiées (qui surveille, qui intervient, qui décide).

Preuves et pilotage

• Dossier « preuves » centralisé : politiques courtes, comptes rendus de tests, revues d’accès.
• KPI suivis régulièrement (MFA, restauration, patching, incidents).

Si plusieurs points sont « non » : ce n’est pas un échec, c’est une priorisation à faire. L’important est d’engager un plan court, avec des livrables concrets et des preuves conservées.