NIS 2 en retard, fournisseurs américains en avance : le piège que nos ETI n'ont pas vu venir

# NIS 2 en retard, fournisseurs américains en avance : le piège que nos ETI n'ont pas vu venir

Nous sommes en 2026. La directive NIS 2 aurait dû être transposée dans les droits nationaux des États membres depuis octobre 2024. La France accuse toujours un retard significatif dans sa mise en œuvre effective. Sur le terrain, ce délai n'est pas vécu comme un répit. C'est une zone grise qui profite rarement aux organisations européennes.

Ce que « en cours de transposition » signifie vraiment pour une ETI

Une ETI industrielle de 800 salariés, sous-traitante de rang 2 dans le secteur de l'équipement énergétique, a entamé son chantier NIS 2 voici dix-huit mois. La direction informatique, épaulée d'une équipe de quatre personnes, a rapidement identifié le périmètre concerné : l'entreprise répond aux critères d'entité importante au sens de la directive. Ses systèmes de supervision industrielle, ses flux EDI avec les donneurs d'ordre, ses environnements de sauvegarde — tout cela entre dans le champ.

Le premier réflexe a été pragmatique : cartographier les fournisseurs critiques et évaluer leur niveau de conformité. C'est là que le tableau s'est compliqué.

Sur les douze fournisseurs logiciels ou services cloud identifiés comme critiques pour la continuité opérationnelle, la majorité des contrats en place avec des acteurs américains ne comportaient aucune clause d'alignement NIS 2, aucune garantie de localisation des données en Europe, et des clauses de responsabilité limitée rédigées selon le droit de l'État du Delaware ou de l'État de Washington. Certains contrats avaient été signés plusieurs années auparavant, à une époque où NIS 2 n'existait pas encore. Mais les renouvellements tacites avaient reconduit ces conditions sans modification.

Le DSI résume la situation sans détour : *« On a découvert qu'on avait externalisé des fonctions critiques à des prestataires sur lesquels on n'avait aucune visibilité réelle en matière de sécurité, et aucun levier contractuel sérieux. »*

L'extraterritorialité américaine, angle mort des cartographies de risque

La question du Cloud Act est souvent traitée comme un sujet théorique dans les analyses de risque des PME/ETI. Sur ce terrain, elle est apparue très concrètement lors de l'audit préparatoire NIS 2.

L'un des services cloud utilisés pour la gestion documentaire technique — plans, spécifications, comptes-rendus d'incidents — était hébergé par une filiale européenne d'un acteur américain. La filiale est établie en Allemagne. Les données sont physiquement en Europe. Mais la maison mère est soumise au Cloud Act américain, qui permet aux autorités fédérales américaines d'exiger l'accès à des données détenues par des entreprises américaines, indépendamment du lieu de stockage.

NIS 2 impose, de son côté, des exigences de sécurité des chaînes d'approvisionnement et de gestion des risques fournisseurs. La combinaison des deux crée une tension que les équipes IT de cette ETI n'avaient pas anticipée : comment qualifier un fournisseur comme « sécurisé » au sens NIS 2 quand son architecture juridique expose les données à une juridiction étrangère ?

Cette question n'est pas tranchée par les textes européens actuels. Elle l'est encore moins dans le droit français en cours de transposition. Mais elle est posée — et la réponse que chaque ETI y apportera conditionnera en partie sa posture de conformité à long terme.

Le retard français comme variable d'ajustement involontaire

Le calendrier de transposition français a créé une situation paradoxale. Les donneurs d'ordre de cette ETI — des groupes industriels de taille intermédiaire eux-mêmes concernés par NIS 2 — ont commencé à intégrer des exigences de sécurité dans leurs cahiers des charges fournisseurs. Ces exigences s'inspirent directement de NIS 2, même si le cadre réglementaire national n'est pas encore pleinement opérationnel.

En pratique, l'ETI se trouve donc soumise à une double pression : celle, formelle mais floue, de la réglementation en cours de transposition, et celle, contractuelle et immédiate, de ses clients. La seconde est plus contraignante à court terme que la première.

Cela a eu une conséquence inattendue : les fournisseurs américains bien positionnés commercialement ont proposé, rapidement, des « add-ons de conformité NIS 2 » — des modules ou des certifications supplémentaires, facturés à part, présentés comme la réponse au problème. Certaines équipes IT, sous pression de délais, ont été tentées d'y voir une solution rapide. L'audit a montré que ces modules répondaient à certains critères techniques de la directive, mais laissaient entière la question de la gouvernance des données et de la chaîne de responsabilité juridique.

La conformité réglementaire européenne ne s'achète pas en cochant une case dans un tableau de bord américain.

Ce que le terrain enseigne sur la gestion de la transition

L'ETI a finalement structuré son chantier NIS 2 autour de trois axes qui méritent d'être documentés, non comme un modèle universel, mais comme une illustration des arbitrages réels.

Premier axe : la qualification des fournisseurs critiques. L'équipe a établi une grille d'évaluation distinguant les fournisseurs selon leur régime juridique applicable, leur localisation effective des données, et leur capacité à produire des preuves de conformité opposables. Ce travail a mis en lumière des dépendances que personne n'avait formalisées jusqu'ici. Certaines ont été réduites, d'autres ont fait l'objet de renégociations contractuelles. Quelques-unes ont conduit à des migrations vers des alternatives européennes — non par idéologie, mais parce que le risque juridique était objectivement supérieur.

Deuxième axe : la gestion des incidents et la traçabilité. NIS 2 impose des obligations de notification des incidents significatifs dans des délais stricts. L'ETI a constaté que ses outils de supervision actuels ne permettaient pas de produire la documentation requise dans les délais imposés. La refonte partielle du dispositif de journalisation et de corrélation d'événements a été prioritaire — indépendamment des questions de fournisseurs.

Troisième axe : la gouvernance. La directive impose une responsabilisation explicite des organes de direction. Le COMEX de cette ETI n'avait, jusqu'alors, aucun cadre formel de gouvernance cybersécurité. La mise en place d'un tableau de bord cyber présenté trimestriellement à la direction générale a modifié structurellement la façon dont les décisions d'investissement IT sont instruites. Ce n'est pas un effet secondaire de NIS 2 : c'est l'un de ses objectifs centraux.

Ce que les DSI et RSSI doivent retenir

Le retard de transposition français ne suspend pas les obligations. Les donneurs d'ordre, les partenaires européens et les autorités de supervision anticipent déjà. L'argument « la loi n'est pas encore en vigueur » sera difficile à tenir face à un incident ou à une mise en demeure.

La dépendance à des acteurs soumis à des juridictions extra-européennes n'est pas, en elle-même, une infraction. Mais elle constitue un risque documenté dans toute analyse NIS 2 sérieuse. L'ignorer dans une cartographie des risques fournisseurs, c'est produire une conformité de façade.

Enfin, les offres de « conformité packagée » proposées par des acteurs américains méritent une lecture critique. Elles peuvent répondre à des exigences techniques réelles. Elles ne résolvent pas les questions de gouvernance des données, de droit applicable, ni d'alignement avec les valeurs et exigences de la régulation européenne.

Cette ETI industrielle a mis dix-huit mois pour cartographier, prioriser et engager les premières actions structurantes. Elle n'a pas encore terminé. Ce calendrier, pour une organisation de taille intermédiaire sans RSSI dédié à plein temps, est probablement représentatif. Les organisations qui n'ont pas encore commencé accumulent un retard que ni la lenteur de la transposition française ni les promesses commerciales des fournisseurs ne pourront compenser.