Le blog  cybersécurité des PME

  • Blog
  • Retour d'expérience NIS 2
Retour d'expérience NIS 2

Retour d'expérience NIS 2

Vendredi, Novembre 14, 2025 NIS2

Le premier bilan après quelques projets

Ceux qui me connaissent ou me suivent savent que j'ai une appétence particulière pour le sujet NIS 2. Ce qui m'a amené à piloter déjà plusieurs projets de mise en conformité pour des clients à Dijon et Besançon.

Il est donc temps de faire un état des lieux, et de revenir au passage sur certaines idées préconçues que j'entends régulièrement.

On va parler des raisons d'y aller, des erreurs à éviter, des limites d'une approche trop orientée sur la technique, ou encore de budget !

***

Pourquoi se lancer sur NIS 2 ?

C'est fondamentalement la première question, celle qui va permettre de démarrer (ou pas) un projet de mise en conformité.

Pour les projets que je suis, la réponse a été assez proche de "on n'a pas vraiment le choix". Parce que l'impulsion n'est pas venue des premiers concernés, mais de leurs clients donneurs d'ordres.

Pour rappel, une entreprise NIS 2 est responsable de ses sous-traitants, et doit vérifier que ses partenaires appliquent des règles d'hygiène en cybersécurité. Ce qui a un effet sur tout l’écosystème des fournisseurs ...

Certains ont donc reçu de jolis questionnaires à remplir rapidement pour expliquer à leurs donneurs d'ordre leur niveau d'engagement en sécurité informatique. De manière intéressante, pas un seul ne mentionnait explicitement "NIS 2". Jamais. Pour autant il n'y avait pas un seul doute à avoir en parcourant le document. C'était bien une liste d'exigence tirées de NIS 2 et de l'état de l'art en matière de cybersécurité.

Surtout, le questionnaire ne faisait pas que mentionner une liste en mode "on fait / on ne fait pas". Il mentionnait des exigences, en spécifiant bien que c'était des critères à remplir qui seraient évalués et annexés lors du prochain renouvellement de contrat. 

En gros, ces clients ont reçu de manière plus ou moins subtile le message suivant : "soyez conforme aux exigences NIS 2 si vous souhaitez continuer à travailler avec nous". Autant dire que ça réveille les consciences et déclenche des craintes pour un dirigeant de PME souvent bien seul face à ces problématiques.

Rassurez-vous, je travaille aussi avec des directions qui sont conscientes de la nécessité de renforcer leur posture de sécurité sans attendre.

D'abord pour assurer la résilience de l'entreprise face à de nouvelles menaces mais aussi pour saisir une opportunité : montrer au marché que leur fiabilité est forte et se positionner en partenaire de confiance

Mais pour être totalement honnête c'est aussi parce qu'elles sont passées par un moment difficile, après un incident cyber qui a marqué les esprits ...

NIS 2 a un objectif : garantir un niveau de maturité qui va rendre l'entreprise encore plus solide et apte à tenir ses engagements, même après une attaque informatique. Dit autrement, survivre aux attaques et garantir son activité.

C'est très exactement ce que vos clients et le marché attendent de vous !

L'objectif n'est pas la perfection immédiate, c'est la mise en mouvement. Et le coût de ce mouvement est dérisoire par rapport au coût de l'immobilité, quand l'attaque survient.

S'assurer de l'engagement de la direction

La première étape vaut pour la totalité des projets qui ont un impact sur une large population d'utilisateurs ou sur de nombreuses fonctions transverses : l'engagement de la direction !

Ceux qui pratiquent l'ISO connaissent bien cet aspect. Sans engagement (réel !) de la direction, les projets ont beaucoup de mal à avancer. Ils peuvent même avoir beaucoup de mal à passer le cap de la certification.

Et ça vaut aussi pour NIS 2 : il faut que la direction soit impliquée, pas seulement pour dire "il faut y aller", mais en montrant un soutien, en participant aux décisions et en s'intéressant aux avancées du projet. 

C'est d'autant plus vrai avec NIS 2 : la directive prévoit que les dirigeants sont les responsables de la conformité et peuvent faire l'objet de sanctions. Mais c'est avant tout une question de bon sens qui s'applique à tous les domaines de la sécurité.

Bien comprendre les exigences NIS 2

C'est le point sur lequel je passe peut-être le plus de temps au départ.

Parce que la liste des exigences NIS 2 est finalement assez simple. Presque générique. Il faut donc savoir traduire ces exigences en y appliquant la notion d'état de l'art (un rappel dans ce document).

C'est cette approche qui permet de traduire une formulation assez basique en une liste d'objectifs et de tâches qui ne laissent pas de place au doute.

Ne démarrez pas en vous disant que vous allez apprendre doucement et ajuster les priorités au fil de l'eau : prenez le temps nécessaire pour avoir une vision claire de votre feuille de route et des dépendances entre les tâches avant d'aller trop loin.

Intégrer que ce n'est pas juste un projet technique

On associe encore trop souvent cybersécurité et solutions techniques. Or c'est une vision totalement dépassée. La cybersécurité est avant tout un sujet de gouvernance.

Les fournisseurs de solutions ont une grande part de responsabilité ici. Ils passent leur temps à mettre en avant des logiciels, des boitiers, des outils en expliquant que leurs solutions vont garantir la sécurité. C'est faux et on le sait depuis des années.

Pourtant j'en ai croisé et j'en croise toujours autant. Et ça m'agace...

Pour être bien clair : vous devez fuir une entreprise qui vous explique que ses solutions techniques vont vous permettre à elles seules d'obtenir une conformité NIS 2. Parce que cela veut dire que cette entreprise n'a juste rien compris à la directive. 

Ne pas négliger l'organisationnel et le juridique

En lieu avec le point précédent, la conformité NIS 2 s'appuie sur 3 grands axes : Un axe organisationnel, un axe technique, et un axe juridique. Les 3 sont importants, mais je vois une tendance à sous-estimer les efforts nécessaires pour l'organisationnel, en particulier.

Les termes exactes de la directive sont : "des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées". Mais je préfère utiliser les 3 dénominations précédentes qui semblent plus parlantes pour mes interlocuteurs.

L'organisationnel, c'est une partie très consommatrice de temps, qui implique la mise en place et la documentation de nombreux aspects. On peut citer : la Politique de Sécurité du Système d'Information, le Plan d'Assurance Sécurité, le Plan de Continuité et de Reprise d'Activité (PCA/PRA), l'approche par les risques, la formation des collaborateurs (y compris les dirigeants), le recensement des fournisseurs et des obligations règlementaires (pensez par exemple RGPD), procédures d'arrivée et de départ, ...

Le juridique, c'est une portion différente car elle implique moins de travail en interne. Par contre elle oblige à faire appel à un expert du droit numérique pour gérer au mieux les aspects associés : charte informatique opposable, annexes aux contrats avec les fournisseurs, clauses d'inspection, clarification des pouvoirs étendus des administrateurs, ...

NIS 2 c'est une prise en compte de l'ensemble des mesures dans 3 grandes catégories. Aucune ne prévaut sur les autres : il faut s'assurer de couvrir l'ensemble des aspects sur l'ensemble du système d'information.

Documenter (beaucoup)

Ça peut sembler évident, mais c'est un sujet qui nécessite de nombreuses rappels tout au long du projet. Parce que personne n'aime écrire des documents et s'imposer un calendrier et des procédures de mise à jour.

Pour autant, il faut absolument maintenir une documentation rigoureuse et complète de toutes les actions entreprises (évaluations des risques, décisions prises, contrôles mis en place, configurations, tests de restaurations, formations, ...).

Et n'oubliez pas, les plans ne sont pas juste faits pour dormir dans un classeur. Il faut régulièrement les tester puis tenir compte du résultat des exercices pour les améliorer.

Sans documentation, pas de preuve. 
Sans preuve, pas de conformité.
Sans test, un plan n'est qu'un bout de papier sans valeur.

Ne pas viser la conformité NIS 2 pour la forme

Assurez-vous que les acteurs comprennent la réelle valeur ajoutée pour l'entreprise en termes de gestion des risques et d'efficacité opérationnelle : communiquez et sensibilisez !

La conformité n'a pas un objectif règlementaire ou contractuel avant toute chose. L’objectif est bien plus important : la résilience de l’entreprise et sa capacité à assurer la continuité d'activité en cas d'attaque.

Là encore, ça demande pas mal de pédagogie, surtout quand l'entreprise n'a pas choisi d'y aller mais s'est mise en route sous l'impulsion d'un donneur d'ordre. 

On ne mène pas un projet de conformité NIS 2 pour « cocher des cases ».
On mène un projet NIS 2 pour sécuriser la continuité de ses activités.

Anticiper et planifier, dans la durée

Attention à se hâter lentement pour atteindre la conformité. L'urgence est toujours relative. A partir du moment où vous savez montrer que vous êtes conscient des enjeux, que vous disposez d'un plan et de moyens, personne ne vous reprochera de ne pas être à l'optimum en un claquement de doigts. 

J'ai eu l'occasion de défendre un plan devant des représentants d'un grand groupe. On était encore loin de nos objectifs et pourtant on a obtenu toutes les validations sans la moindre objection. 

Parce qu'on savait ce qu'on faisait et qu'on pouvait le montrer clairement.

Pour autant, il faut anticiper, pour disposer de ce plan. N'attendez pas !

Pour ne rien gâcher, le temps permet de lisser les efforts, et donc le budget.

Enfin, la cybersécurité est un processus continu qui nécessite des ajustements réguliers en fonction des nouvelles menaces, des nouvelles exigences et des évolutions de l’état de l’art. Ne vous endormez pas parce que vous avez atteint votre objectif premier.

Il s'agit de faire rapidement l'état des lieux, de définir un plan et d'appliquer le principe de l'amélioration continue sur la durée, surtout dans un monde changeant comme celui de la cybersécurité.

Accompagner le changement

NIS 2 n'est pas l'affaire de quelques personnes qui travaillent dans un bureau sans fenêtre au second sous-sol de l'entreprise.

NIS 2 peut impliquer des changements importants dans les processus, les outils ou la culture organisationnelle. Et au final venir impacter le quotidien de la majorité des utilisateurs.

Ne pas gérer ces changements de manière adéquate peut créer de la résistance ou des perturbations. Il est donc essentiel d'expliquer tôt, de faire rapidement des opérations de sensibilisation et de ne jamais perdre de vue le point de vue des utilisateurs quand on fait le choix de certains outils ou processus.

Les utilisateurs sont le maillon fort de la cybersécurité. Les embarquer rapidement, c'est aussi valoriser leur rôle dans la défense des intérêts de l'entreprise. 

Anticiper un budget

Oui, la mise en conformité prend du temps. Et ce temps va être consommé sur la disponibilité des équipes. C'est le poste d'investissement qu'on a tendance à ne pas bien anticiper, surtout pour la partie organisationnelle.

Oui, la portion technique va aussi nécessiter un budget, en fonction du degré de maturité dont vous disposez en début de projet. Si vous ne disposez pas d'une segmentation réseau, d'un EDR, de MFA ou de solution de gestion des mots de passe, ça va demander plus d'efforts. Et à nouveau du temps en plus des solutions.

Oui, la partie juridique va aussi impliquer de faire appel à des spécialistes du droit. 

Alors tout cela à évidemment un coût, mais il existe des approches qui permettent de limiter le poids de l'investissement et de le ventiler sur un temps assez long.

D'abord en anticipant, pour lisser intelligemment les efforts. Plus tôt on commence à réfléchir au sujet NIS 2 et mieux c'est.

Ensuite en choisissant les mesures les plus adaptées à son environnement et à ses risques. A nouveau, on ne vise pas la sécurisation ultime, mais le meilleur compromis coût/sécurité.

Enfin, il est important de bien travailler sur les modèles de consommation des produits et services : achat ou abonnement ? compétence interne ou externalisation ? Durée d'engagement courte ou longue ?

De nombreuses approches permettent de limiter l'impact sur la trésorerie.

Finalement, ça coûte combien ? Difficile de répondre car tout dépend du contexte et de la maturité initiale, mais souvent moins cher qu'on ne le croit.

Pour être transparent, mon point de vue a changé avec le temps. Moi aussi je me disais "ça va être une énorme contrainte", mais je me rends compte qu'on peut faire beaucoup avec des moyens raisonnables.

NIS 2 ne vous oblige pas à acheter des produits hors de prix. Elle vous oblige surtout à écrire des procédures et à faire de la configuration fine d'outils parfois existants. A condition qu'il existe un socle minimum ...

En bref, l'essentiel du coût de mise en œuvre, c'est du temps humain, pas de l'achat matériel. Et en priorisant bien, on peut voir des gains rapides.

Il est parfaitement possible d'augmenter très significativement le niveau de sécurité et de viser la conformité NIS 2 sans perturber l'équilibre financier de l'entreprise !

N'oubliez pas que NIS 2 insiste fortement sur la notion de proportionnalité : on n'attend pas d'une PME de 15 personnes qu'elle atteigne le niveau de sécurité d'un acteur majeur du nucléaire militaire. Soyez réaliste dans votre approche.

***

L'apport réel de NIS 2

L'enjeu est simple : passer d'une posture réactive (en mode autruche, parfois) à une posture proactive.

NIS 2, c’est d'abord l'opportunité de s'asseoir autour d'une table et répondre à des questions basiques que l'on repousse depuis toujours pour de mauvaises raisons :

  • Si notre ERP tombe, on fait quoi ? (Plan de Continuité)
  • Qui a vraiment les droits administrateur sur le réseau ? (Gestion des accès)
  • Comment est-ce que les systèmes sont connectées ? (Segmentation)
  • A quand remonte la dernière information des utilisateurs ? (Formation)
  • Si on se fait pirater, on appelle qui ? Et qui est responsable de quoi ? (Gestion de crise)
  • Et de nombreuses autres, aussi pertinentes !

Devoir répondre à ces questions est en général un véritable électrochoc. Se rendre compte qu'on ne sait pas y répondre avec précision, surtout. Posez-les très rapidement, pour déclencher une prise de conscience et faire en sorte que les différents acteurs comprennent l'importance du projet.

Avec NIS 2, on prend conscience que l'attaque arrivera un jour, et on met en place les cloisons étanches qui permettront de ne pas chavirer. On passe de l'attente à l'action pour la sécurité (voir la survie) de l'entreprise.

Vos clients et le marché attendent quelque chose de très pragmatique : montrer votre capacité à se positionner comme un interlocuteur fiable, qui ne va pas disparaitre et mettre en péril toute une chaine de valeur par négligence. NIS 2 permet aussi cela.

NIS 2, c'est aussi l'occasion de se poser la question de l'adéquation des solutions en place, pour remettre les choses à plat en profitant de nouveaux outils plus efficaces et finalement moins chers.

En conclusion

Non, le grand méchant NIS 2 ne va pas tuer les entreprises. Les attaques cyber, par contre, font des dégâts irrémédiables. Chaque jour. Et la tendance ne va pas exactement dans le bon sens ...

NIS 2, c'est une opportunité énorme de rendre les entités plus résilientes et de montrer à ses partenaires qu'on est un acteur digne de confiance.

Devoir passer par une directive Européenne pour ça, c'est peut-être dommage, mais c'est le seul moyen de faire enfin bouger les lignes (de défense). L'histoire ne manque pas d'exemples d'obligations pour faire avancer la sécurité.

Ça implique une approche méthodique, un engagement au plus haut niveau et un pilotage au plus fin pour faire les meilleurs choix en termes d'implémentation, de priorisation et de budget.

Si vous désirez en savoir plus et profiter de mon expérience sur le sujet, n'hésitez pas à parcourir ma page dédiée ! Ne restez pas seul face à la directive.

Et pour rappel, mon support de présentation NIS 2 utilisé pendant le CyberSec'Day de Besançon est toujours disponible ici.

***
Article écrit par un artisan de la cybersécurité, sans aide de l'IA 

Recherche
Ce site peut utiliser des cookies et des scripts externes. Plus d'informations