NIS2 : ce que les PME françaises doivent savoir avant octobre 2024
La directive NIS2 étend les obligations de cybersécurité aux PME de secteurs critiques. Découvrez si vous êtes concerné et comment vous préparer concrètement.
Mis à jour le 15 June 2024
Le 16 janvier 2023, la directive NIS2 est entrée en vigueur au niveau européen. Chaque État membre a jusqu’au 17 octobre 2024 pour la transposer en droit national. Pour les PME françaises, c’est un changement de paradigme : là où NIS1 ne concernait que quelques centaines d’opérateurs d’importance vitale, NIS2 élargit le périmètre à des milliers d’entreprises de taille intermédiaire.
Chez LCMH, nous accompagnons des PME alsaciennes dans leur transformation numérique. Beaucoup découvrent qu’elles tombent dans le périmètre NIS2 sans le savoir — parce qu’elles fournissent des services à une entreprise elle-même classée essentielle.
Qui est concerné par NIS2 ?
NIS2 définit deux catégories d’entités :
Entités essentielles : énergie, transport, banque, infrastructures numériques, santé, eau potable, espace. Critère : plus de 250 salariés ou plus de 50M€ de CA.
Entités importantes : services postaux, gestion des déchets, fabrication, chimie, alimentation, fournisseurs numériques. Critère : plus de 50 salariés ou plus de 10M€ de CA.
Le piège pour les PME : même si vous êtes sous les seuils, vous pouvez être dans le périmètre si votre activité est critique pour la chaîne d’approvisionnement d’une entité essentielle. Un prestataire IT de 30 personnes qui gère l’infrastructure d’un hôpital est potentiellement concerné.
Les obligations concrètes pour les PME
NIS2 impose quatre piliers de conformité :
1. Gouvernance des risques
Les dirigeants doivent personnellement approuver les mesures de cybersécurité et suivre une formation. Ce n’est plus un sujet qu’on peut déléguer entièrement au DSI.
2. Mesures de sécurité techniques
- Analyse de risques documentée
- Gestion des incidents (détection, réponse, récupération)
- Continuité d’activité et reprise après sinistre
- Sécurité de la chaîne d’approvisionnement
- Chiffrement et contrôle d’accès
- Authentification multi-facteur
3. Notification d’incidents
Alerte initiale sous 24 heures, notification complète sous 72 heures, rapport final sous un mois. C’est un calendrier serré qui nécessite des processus préétablis.
4. Gestion de la supply chain
Vous devez évaluer la cybersécurité de vos fournisseurs. Si vous utilisez des services cloud, c’est votre responsabilité de vérifier que votre configuration est sécurisée — pas seulement que le fournisseur l’est.
Comment le cloud aide à la conformité NIS2
Paradoxalement, migrer vers le cloud bien configuré simplifie considérablement la conformité NIS2 :
Chiffrement natif : AWS chiffre les données au repos et en transit par défaut. KMS centralise la gestion des clés.
Traçabilité : CloudTrail enregistre chaque action API. C’est exactement ce que NIS2 demande pour la détection d’incidents.
Continuité d’activité : les architectures multi-AZ et la reprise après sinistre sur AWS répondent directement aux exigences de résilience.
Détection automatisée : GuardDuty, Security Hub et Config fournissent la détection d’incidents en temps réel.
Plan d’action en 5 étapes pour les PME
Déterminer votre classification : vérifiez si votre secteur et votre taille vous placent dans le périmètre NIS2.
Cartographier vos actifs : identifiez vos systèmes critiques, vos flux de données, et vos dépendances à des tiers.
Évaluer vos lacunes : comparez votre posture actuelle aux exigences. L’ANSSI propose un guide d’auto-évaluation.
Mettre en place la détection : activez les services de monitoring et définissez un processus de notification en 24h.
Documenter : NIS2 exige des politiques écrites. Pas de conformité sans documentation.
Ce que LCMH recommande
Pour nos clients PME, nous préconisons une approche pragmatique : commencer par les mesures de cybersécurité essentielles qui couvrent 80% des exigences NIS2, puis affiner en fonction de votre classification exacte.
La conformité NIS2 n’est pas un projet ponctuel — c’est un processus continu. Mais les entreprises qui utilisent déjà les bonnes pratiques cloud (chiffrement, MFA, monitoring, sauvegardes) sont déjà à mi-chemin.
À lire aussi
- AI Act : le 3ème pilier réglementaire — RGPD + NIS2 + AI Act = triptyque 2026
- Souveraineté numérique — Où héberger pour être conforme
Vous ne savez pas si votre PME est dans le périmètre NIS2 ? Réponse en 15 minutes. Nous cartographions vos obligations et construisons votre feuille de route de conformité. Diagnostic gratuit →
Questions fréquentes
- Ma PME de 40 salariés est-elle concernée par NIS2 ?
- Si votre activité relève d'un des 18 secteurs définis (énergie, transport, santé, numérique, fabrication, alimentation, etc.) et que vous dépassez 50 salariés ou 10M€ de CA, vous êtes une entité essentielle ou importante. Certaines PME plus petites peuvent être concernées si elles sont sous-traitantes d'infrastructures critiques.
- Quelles sanctions en cas de non-conformité NIS2 ?
- Les entités essentielles risquent jusqu'à 10M€ ou 2% du CA mondial. Les entités importantes jusqu'à 7M€ ou 1,4% du CA. Les dirigeants peuvent être personnellement tenus responsables.
- Quel est le calendrier de transposition en France ?
- La directive doit être transposée en droit national avant le 17 octobre 2024. L'ANSSI est l'autorité compétente en France et publie régulièrement des guides d'accompagnement.
- NIS2 s'applique-t-elle aux hébergeurs cloud ?
- Oui. Les fournisseurs de services numériques (cloud, DNS, datacenters) sont explicitement dans le périmètre. AWS, Google Cloud et Azure sont déjà conformes — c'est votre usage et votre configuration qui doivent l'être aussi.
- Par quoi commencer concrètement pour se préparer à NIS2 ?
- Trois actions immédiates : (1) cartographier vos actifs critiques et flux de données, (2) mettre en place la détection d'incidents avec notification sous 24h, (3) documenter vos politiques de gestion des risques et de la chaîne d'approvisionnement.
- Mon prestataire cloud m'aide-t-il à être conforme NIS2 ?
- Partiellement. Le modèle de responsabilité partagée s'applique : AWS sécurise l'infrastructure, mais vous restez responsable de la configuration, du chiffrement, des accès et de la détection d'incidents dans votre périmètre.
Articles similaires
AWS Security Hub : un SOC automatisé pour les PME à 50€/mois
Remplacez un SOC externalisé à 3-5K€/mois par Security Hub + GuardDuty + Config. Détection automatique, scoring de conformité NIS2/PCI-DSS, et remédiation Lambda — le tout déployé en 30 minutes.
RGPD et outils cloud : ce que les PME doivent savoir
Guide pratique de conformité RGPD pour les PME qui utilisent des outils cloud : Google Workspace, AWS et Shopify. Obligations, bonnes pratiques et pièges à éviter.
Serverless sur AWS : pourquoi les PME s'y mettent
Comment l'architecture serverless sur AWS permet aux PME de réduire leurs coûts d'infrastructure et de se concentrer sur leur métier.
Google Workspace : migrer vos données vers les data centers européens pas-à-pas
Guide technique pour activer les régions de données européennes dans Google Workspace. Procédure, limitations et impact sur vos utilisateurs.
Reprise après sinistre sur AWS : stratégies pour les PME
Comment concevoir un plan de reprise après sinistre sur AWS adapté à votre budget et à vos exigences de disponibilité.
Amazon Bedrock pour les PME : 5 cas d'usage concrets de l'IA générative
Amazon Bedrock rend l'IA générative accessible aux PME sans expertise ML. Voici 5 cas d'usage concrets avec estimations de coûts et guide de démarrage.