Avec l’entrée en vigueur de la directive NIS2 en octobre 2024 et la transposition progressive dans les États membres, de nombreuses organisations se demandent : par où commencer ? Entre exigences techniques, gouvernance renforcée et responsabilité de la direction, le chantier peut sembler insurmontable. Voici une approche pragmatique en 5 étapes pour structurer votre démarche.
Étape 1 : Évaluer votre périmètre d’application
Avant tout, déterminez si vous êtes concerné.
Critères de taille :
- Moyenne entreprise : ≥ 50 salariés ET ≥ 10 M€ de CA
- Grande entreprise : ≥ 250 salariés OU ≥ 50 M€ de CA
Secteurs concernés :
- Entités Essentielles (EE) : Énergie, santé, transports, banques, eau, infrastructure numérique, administration publique
- Entités Importantes (EI) : Services postaux, chimie, agroalimentaire, fournisseurs numériques (cloud, réseaux sociaux, places de marché)
Action immédiate :
- Identifiez vos activités principales et comparez-les à la liste des secteurs NIS2
- Évaluez votre taille d’entreprise (effectifs, chiffre d’affaires)
- Consultez l’ANSSI ou votre autorité nationale pour confirmation si doute
Conseil pratique : Même si vous n’êtes pas directement concerné, vos clients (banques, opérateurs télécoms, etc.) pourraient vous imposer NIS2 via leurs exigences de sécurité de la chaîne d’approvisionnement.
Étape 2 : Réaliser un diagnostic de maturité cyber
Objectif : Mesurer l’écart entre votre situation actuelle et les exigences NIS2.
Les 10 piliers à évaluer :
-
Gouvernance et responsabilité
- La direction est-elle impliquée dans la cybersécurité ?
- Existe-t-il un responsable cybersécurité (RSSI) ?
- Budget cyber défini et suivi ?
-
Gestion des risques
- Cartographie des actifs critiques réalisée ?
- Analyse de risques cyber documentée ?
- Revue annuelle des risques ?
-
Sécurité de la chaîne d’approvisionnement
- Évaluation cyber de vos fournisseurs critiques ?
- Clauses contractuelles de sécurité ?
- Audit de vos prestataires IT ?
-
Gestion des vulnérabilités
- Inventaire à jour des systèmes et logiciels ?
- Processus de patch management formalisé ?
- Veille sur les vulnérabilités critiques ?
-
Contrôle d’accès et authentification
- MFA (authentification multi-facteurs) déployée ?
- Gestion des comptes à privilèges ?
- Revue régulière des droits d’accès ?
-
Chiffrement des données
- Données sensibles chiffrées au repos ?
- Chiffrement des communications (VPN, TLS) ?
- Gestion sécurisée des clés de chiffrement ?
-
Continuité d’activité et sauvegardes
- Plan de continuité d’activité (PCA) testé ?
- Sauvegardes régulières et vérifiées ?
- Capacité de restauration < 24h ?
-
Gestion des incidents
- Procédure de réponse aux incidents formalisée ?
- Équipe dédiée (CSIRT/SOC) ?
- Exercices de crise cyber organisés ?
-
Formation et sensibilisation
- Sensibilisation cyber annuelle obligatoire ?
- Formation spécifique pour les équipes IT ?
- Tests de phishing réguliers ?
-
Notification d’incidents
- Procédure de notification < 24h définie ?
- Contact avec le CERT-FR / autorité nationale ?
- Outils de détection et d’alerte configurés ?
Étape 3 : Prioriser vos actions (Roadmap 18 mois)
Ne cherchez pas la perfection immédiate. Priorisez selon l’impact et l’urgence.
Phase 1 : Quick Wins (Mois 1-3)
- Déployer MFA sur tous les comptes administrateurs
- Formaliser la procédure d’incidents interne
- Organiser une réunion de sensibilisation CODIR/COMEX
- Mettre à jour l’inventaire des actifs critiques
- Activer les sauvegardes automatiques et les tester
Phase 2 : Fondations (Mois 4-9)
- Conduire une analyse de risques cyber formelle
- Rédiger la politique de sécurité des systèmes d’information (PSSI)
- Mettre en place un processus de patch management
- Évaluer les fournisseurs critiques (questionnaire sécurité)
- Former l’ensemble des collaborateurs à la cybersécurité
Phase 3 : Consolidation (Mois 10-18)
- Déployer un SOC (Security Operations Center) ou externaliser
- Mettre en œuvre le chiffrement des données sensibles
- Réaliser un exercice de gestion de crise cyber
- Auditer la conformité NIS2 (audit blanc)
- Préparer la documentation pour l’autorité de contrôle
Étape 4 : Mobiliser la direction (obligation NIS2)
NIS2 impose une responsabilité directe de la direction. Voici comment l’engager :
1. Organiser un COMEX/CODIR dédié NIS2
- Présenter les enjeux : sanctions jusqu’à 10 M€ ou 2% du CA mondial
- Exposer les risques cyber spécifiques à votre secteur
- Proposer un budget et une roadmap claire
2. Désigner un sponsor exécutif
- Idéalement : DSI, CFO ou membre du COMEX
- Rôle : Arbitrage budgétaire, décisions stratégiques, reporting
3. Créer un comité de pilotage NIS2
- Membres : RSSI, DSI, Juridique, DRH, Métiers
- Fréquence : Mensuelle pendant la phase projet
- Objectif : Suivi de la roadmap, levée des blocages
4. Former la direction
- Session de 2h minimum sur NIS2 et cyber-risques
- Simulation d’incident cyber (tabletop exercise)
- Revue trimestrielle des indicateurs cyber
Attention : En cas d’incident grave, la direction peut être tenue personnellement responsable si elle n’a pas pris les mesures appropriées. La formation et l’engagement sont donc cruciaux.
Étape 5 : Mettre en place l’amélioration continue
NIS2 n’est pas un projet ponctuel, mais un processus continu.
Indicateurs clés à suivre (KPI cyber) :
- Nombre de vulnérabilités critiques non patchées
- Délai moyen de détection d’un incident (MTTD)
- Taux de collaborateurs formés à la cybersécurité
- Nombre d’incidents de sécurité par trimestre
- Taux de couverture MFA (objectif : 100%)
- Temps de restauration après incident (RTO)
Revues régulières :
- Mensuelle : Comité de pilotage NIS2 (pendant la phase projet)
- Trimestrielle : Présentation au COMEX/CODIR des indicateurs cyber
- Annuelle : Audit de conformité NIS2 + révision de l’analyse de risques
Veille réglementaire :
- Suivre les publications de l’ANSSI et du CERT-FR
- Participer aux webinaires et formations NIS2
- Adhérer à des communautés sectorielles (CLUSIR ROI, CESIN, etc.)
Les erreurs à éviter
❌ Attendre la dernière minute : La conformité NIS2 nécessite 12 à 18 mois pour une organisation moyenne
❌ Déléguer 100% à l’IT : NIS2 est un sujet de gouvernance qui implique toute l’organisation
❌ Négliger la chaîne d’approvisionnement : Vos fournisseurs cloud, SaaS et prestataires doivent aussi être conformes
❌ Sous-estimer le budget : Comptez 50K€ à 500K€ selon la taille et la maturité initiale
❌ Oublier la formation : 75% des attaques cyber sont opportunistes, ciblant des vulnérabilités connues et des erreurs de configuration
Sources : Chiffres issus des rapports annuels de l’ANSSI et d’Intercert France sur l’état de la menace cyber.
Budget indicatif NIS2
Petite structure (50-100 salariés) : 50K€ à 150K€
- Audit initial : 10K€
- Outils de sécurité (MFA, EDR, backup) : 20K€/an
- Formation : 5K€
- Accompagnement externe : 15K€
Moyenne structure (100-500 salariés) : 150K€ à 300K€
- Audit + analyse de risques : 25K€
- RSSI temps partiel : 50K€/an
- SOC externalisé : 40K€/an
- Outils + licences : 50K€/an
- Formation + sensibilisation : 15K€
Grande structure (500+ salariés) : 300K€ à 1M€+
- RSSI + équipe cyber dédiée : 200K€/an
- SOC interne ou hybride : 150K€/an
- Outils avancés (SIEM, EDR, DLP) : 100K€/an
- Audits et certifications : 50K€
NIS2 peut sembler intimidante, mais c’est avant tout une opportunité de structurer votre cybersécurité de manière professionnelle. En suivant cette approche par étapes — diagnostic, priorisation, mobilisation de la direction, amélioration continue — vous transformez une obligation réglementaire en véritable levier de compétitivité et de résilience.
Prochaines étapes concrètes :
- ✅ Téléchargez le guide NIS2 de l’ANSSI
- ✅ Organisez un atelier de cadrage avec votre DSI/RSSI
- ✅ Planifiez un audit de maturité cyber (interne ou externe)
- ✅ Présentez une roadmap NIS2 à votre direction
Besoin d’accompagnement ? Kodetis peut vous aider à structurer votre démarche NIS2, de l’audit initial à la mise en conformité complète.
Ressources utiles :
