SOC managé - surveillance continue  ·  veille cyber : CERT-FR / CISA / NVD  ·  réponse à incident en priorité
Toutes les actualités

Conformité · Guide

NIS2 pour les PME : par où commencer concrètement.

Longtemps, la réglementation cyber ne concernait qu'une poignée de grands opérateurs. Avec NIS2, la donne change : en France, le nombre d'entités soumises à des obligations passe d'environ 300 à 15 000 à 18 000. Beaucoup de PME et d'ETI vont découvrir qu'elles sont concernées. Voici comment le vérifier, et par quoi commencer.

Suis-je concerné ?

NIS2 vise des secteurs jugés essentiels ou importants (énergie, santé, transports, eau, numérique, agroalimentaire, fabrication, etc.) au-delà d'une certaine taille. Deux catégories :

  • Entités essentielles (EE) : à partir de 250 salariés, ou 50 M€ de chiffre d'affaires, ou 43 M€ de bilan.
  • Entités importantes (EI) : entre 50 et 249 salariés, ou 10 à 50 M€ de chiffre d'affaires.

Beaucoup de PME entreront dans la catégorie des entités importantes. Et même sans être directement concernée, une petite structure peut se voir imposer des exigences par un client soumis à NIS2, au titre de la sécurité de la chaîne d'approvisionnement.

Le réflexe utile

Si vous travaillez pour des grands comptes ou des opérateurs de secteurs régulés, attendez-vous à recevoir des questionnaires de sécurité. Anticiper NIS2, c'est aussi sécuriser ces relations commerciales.

Un cadre pour agir : le ReCyF

Pas besoin d'attendre la promulgation de la loi pour démarrer. L'ANSSI a publié le Référentiel Cyber France (ReCyF), qui structure la mise en conformité en 20 objectifs, avec un principe de proportionnalité adapté à votre maturité. Nous l'avons détaillé dans notre article NIS2 en France : ce que le ReCyF de l'ANSSI change pour vous.

Cinq premières actions concrètes

Sans mobiliser un budget démesuré, ces chantiers posent des bases solides et cochent une grande partie des attentes :

  • Nommer un responsable et impliquer la direction. NIS2 engage la responsabilité des dirigeants : la sécurité doit être un sujet de comité, pas seulement d'IT.
  • Généraliser l'authentification multifacteur. Le meilleur rapport effort/protection : voir notre guide sur le MFA.
  • Fiabiliser les sauvegardes. Règle 3-2-1 et restaurations testées, notre article dédié aux sauvegardes en détaille la méthode.
  • Savoir déclarer un incident. NIS2 impose des délais de notification : préparez le processus à froid, comme décrit dans que faire dans les premières heures d'une cyberattaque.
  • Cartographier ses fournisseurs sensibles. Qui accède à quoi, avec quel niveau de risque ? C'est le point de départ de la sécurité de la chaîne d'approvisionnement.

Transformer la contrainte en avantage

NIS2 peut se vivre comme une charge, ou comme une occasion de structurer enfin sa cybersécurité. Les entités qui s'y prennent tôt lissent l'effort, évitent la précipitation, et gagnent un argument de confiance vis-à-vis de leurs clients. La conformité n'est pas une fin en soi : c'est un moyen d'être réellement plus résilient.

Situer votre PME face à NIS2

Kenawek évalue votre écart avec les objectifs du ReCyF et construit une feuille de route réaliste, proportionnée à votre taille. Parlons-en.

Sources