NIS2 : pendant que vos équipes attendent, la dépendance numérique, elle, n'attend pas

# NIS2 : pendant que vos équipes attendent, la dépendance numérique, elle, n'attend pas

On vous a dit d'attendre. D'attendre la transposition définitive dans votre pays, les décrets d'application, les listes officielles d'entités concernées. Et en attendant, vous avez attendu. Peut-être même que votre prestataire habituel — celui qui revend des licences Microsoft ou des services AWS — vous a glissé que «tout ça se ferait naturellement dans vos outils actuels».

C'est précisément là que commence le problème.

Nous sommes en 2026. NIS2 est officiellement en vigueur dans l'Union européenne depuis octobre 2024, mais son application effective reste hétérogène selon les États membres. En France, comme dans plusieurs pays, les PME et ETI concernées naviguent encore dans le flou réglementaire. Ce flou est confortable pour certains acteurs. Pas pour vous.

Ce guide ne va pas vous promettre que se conformer à NIS2 est simple. Ce serait vous mentir. Il va vous dire ce que personne ne dit franchement : la conformité NIS2, si elle est construite sur des outils dont vous n'avez pas la maîtrise réelle, ne vous protège ni réglementairement ni stratégiquement.

Étape 1 — Arrêtez de traiter NIS2 comme un projet IT. C'est un projet de gouvernance.

Première erreur organisationnelle, et la plus fréquente : confier NIS2 au seul RSSI, voire à un prestataire externe, avec une feuille de route PowerPoint et des cases à cocher.

NIS2 impose une responsabilité explicite des organes de direction. Ce n'est pas une clause de style. En cas d'incident, c'est le dirigeant qui peut être mis en cause personnellement. Ce point change tout à la structure de gouvernance que vous devez mettre en place.

Ce que ça implique concrètement :

• Le COMEX ou la direction générale doit être formé aux enjeux de cybersécurité, pas déléguer sa compréhension. Une formation annuelle d'une demi-journée sur les risques cyber n'est pas optionnelle.
• Un responsable NIS2 interne nommé doit exister, avec un mandat clair, un budget propre et un accès direct à la direction. Ce ne peut pas être le stagiaire ou le responsable IT déjà débordé.
• La cartographie des actifs critiques — données, processus, fournisseurs — doit être produite et mise à jour en interne, pas sous-traitée à un cabinet qui repart avec le fichier.

La question qui dérange : si votre prestataire cybersécurité actuel est américain, qui détient réellement la connaissance de votre système d'information critique ? Vous, ou lui ?

Étape 2 — Cartographiez vos dépendances avant de cartographier vos risques

Les guides NIS2 classiques commencent par l'analyse de risques. C'est légitime. Mais avant ça, une question préalable s'impose : sur quoi repose votre SI ?

Dans la majorité des PME/ETI européennes, la réponse est embarrassante. Les outils de collaboration, de messagerie, de stockage, de gestion de projet, parfois même de sauvegarde, sont hébergés chez des acteurs soumis au droit américain — Cloud Act, FISA, ou autres dispositifs extraterritoriaux. Or NIS2 exige une maîtrise réelle de vos chaînes de dépendance, y compris fournisseurs et sous-traitants.

Ce que ça implique concrètement :

• Listez exhaustivement vos SaaS actifs. Pas ceux que vous connaissez : tous, y compris ceux achetés en dehors de la DSI. Le shadow IT est votre premier angle mort.
• Pour chaque outil critique, identifiez : le pays d'hébergement réel des données, la juridiction applicable au contrat, et votre capacité à exporter vos données en cas de rupture de contrat.
• Distinguez ce qui est réellement critique (ce dont l'indisponibilité arrête votre activité) de ce qui est seulement confortable. NIS2 ne vous demande pas de tout sécuriser à l'identique : il vous demande de savoir où sont vos actifs vitaux.

Un outil comme **Cegid** pour la gestion financière, ou **Whaller** pour la collaboration interne sécurisée, sont des exemples d'acteurs européens dont les contrats et l'hébergement restent soumis au droit européen. Ce n'est pas une recommandation de stack : c'est un rappel que des alternatives existent, et qu'elles ont des certifications vérifiables (SecNumCloud, ISO 27001 sur sol européen).

La question qui dérange : votre assurance cyber a-t-elle audité réellement votre dépendance aux infrastructures américaines ? Ou s'est-elle contentée d'un questionnaire auto-déclaratif ?

Étape 3 — Construisez les compétences en interne, pas seulement les contrats

C'est le point le plus inconfortable de ce guide, et le plus souvent esquivé.

Beaucoup de PME/ETI vont «se conformer à NIS2» en signant un contrat avec un MSSP (Managed Security Service Provider), en cochant les cases de l'audit, et en se déclarant conformes. Si ce MSSP est un acteur américain ou une filiale d'un groupe américain, vous avez transféré votre conformité ET votre connaissance à un tiers sur lequel vous n'avez aucune visibilité réelle.

Ce que ça implique concrètement en termes RH et organisationnels :

• Recrutez ou formez un profil cyber interne, même à mi-temps. Pas pour tout faire, mais pour comprendre ce que font vos prestataires et être capable de les challenger. Un RSSI qui ne comprend pas ce qu'il achète est un RSSI qui subit.
• Définissez ce qui ne peut jamais être externalisé : la connaissance de votre plan de réponse aux incidents, la maîtrise de vos processus de reprise d'activité, la relation avec l'ANSSI ou votre CERT national. Ces éléments doivent rester dans l'entreprise.
• Intégrez la cybersécurité dans les processus RH : onboarding, offboarding, gestion des accès, politique BYOD. NIS2 exige des processus documentés. Ces processus touchent les RH autant que l'IT.
• Formez vos équipes métier, pas seulement vos équipes techniques. La gestion des incidents, la détection des signaux faibles (phishing, comportements suspects), la culture de signalement : ce sont des compétences organisationnelles, pas des compétences IT.

La question qui dérange : si votre MSSP disparaissait demain — rachat, faillite, rupture de contrat — combien de temps vous faudrait-il pour reprendre la main sur votre propre sécurité ? Si la réponse est «plusieurs mois», vous n'êtes pas conforme à l'esprit de NIS2, même si vous l'êtes sur le papier.

Étape 4 — Documentez, testez, répétez. Dans cet ordre.

NIS2 n'est pas une photo. C'est un processus continu. Et c'est là que beaucoup d'organisations vont décrocher, parce que la conformité continue demande une organisation, pas seulement un projet.

Ce que ça implique concrètement :

• Politique de sécurité documentée et à jour : pas un document de 80 pages jamais relu, mais un référentiel vivant, révisé au minimum annuellement, accessible aux équipes concernées.
• Tests de continuité d'activité réels : pas une simulation sur tableau blanc, mais un exercice où vous coupez réellement un outil critique et vérifiez que votre plan de reprise fonctionne. Planifiez au moins un exercice par an.
• Processus de notification des incidents opérationnel : NIS2 impose des délais stricts de notification (24h pour un premier signalement, 72h pour un rapport détaillé). Ce processus doit être connu, testé et attribué à des personnes nommées — pas à «l'équipe IT» de manière indistincte.
• Revue fournisseurs annuelle : vos sous-traitants et fournisseurs critiques doivent eux aussi présenter des garanties. Intégrez des clauses contractuelles cyber dans vos renouvellements. Ce n'est plus optionnel.

Ce que NIS2 révèle que vous ne voulez peut-être pas voir

NIS2 n'est pas une contrainte tombée du ciel bruxellois. C'est la formalisation d'un constat que les DSI et RSSI lucides font depuis des années : les organisations européennes ont externalisé non seulement leurs outils, mais leur capacité à se défendre.

La vraie question que pose NIS2 n'est pas «sommes-nous conformes ?». Elle est : sommes-nous capables de fonctionner, de nous défendre et de nous relever sans dépendre d'acteurs sur lesquels nous n'avons aucun levier ?

Si la réponse est non, la conformité NIS2 n'est qu'un vernis. Et un vernis, ça craque au premier incident sérieux.

Commencer maintenant, avec des outils dont vous maîtrisez réellement la chaîne de dépendance, et des compétences que vous retenez en interne : c'est le seul chemin qui vaut quelque chose. Pas seulement pour être conforme. Pour être souverain.