Ce qui change pour votre organisation

Analyse des impacts et plan d'action pratique

ENTRÉE EN VIGUEUR : 17 OCTOBRE 2024

15 000 entités concernées en France | Sanctions jusqu'à 10M€ ou 2% du CA

Sommaire Exécutif

La directive NIS 2 (Network and Information Security), entrée en vigueur le 17 octobre 2024, représente un changement de paradigme majeur dans la réglementation européenne de la cybersécurité. Elle élargit considérablement le périmètre des organisations soumises à des obligations renforcées de sécurité informatique.

En France, nous passons d'environ 300 entités régulées sous NIS 1 à près de 15 000 sous NIS 2, couvrant 18 secteurs d'activité. Ce livre blanc vous aide à comprendre les implications de cette directive et à préparer votre plan d'action.

Les chiffres clés de NIS 2

Partie 1 : Comprendre NIS 2

1.1 De NIS 1 à NIS 2 : Un changement de paradigme

La directive NIS 1, adoptée en 2016 et transposée en France en 2018, ne concernait qu'environ 300 Opérateurs de Services Essentiels (OSE) répartis dans 6 secteurs critiques. Son objectif était de protéger les infrastructures vitales pour la Nation.

NIS 2 va beaucoup plus loin : elle reconnaît que la sécurité d'une grande entreprise est compromise si ses partenaires et fournisseurs sont vulnérables. L'approche est donc systémique, couvrant l'ensemble de l'écosystème numérique.

1.2 Êtes-vous concerné par NIS 2 ?

Votre organisation est automatiquement concernée si elle remplit ces 3 critères : (1) Elle opère dans l'un des 18 secteurs définis, (2) Elle compte plus de 50 salariés, (3) Elle réalise plus de 10 millions d'euros de chiffre d'affaires annuel.

Les 18 secteurs concernés

Secteurs hautement critiques (Entités Essentielles) :

• Énergie (électricité, gaz, pétrole, hydrogène)
• Transports (aérien, ferroviaire, maritime, routier)
• Secteur bancaire et infrastructures des marchés financiers
• Santé (établissements de santé, laboratoires pharmaceutiques)
• Eau potable et eaux usées
• Infrastructures numériques (data centers, fournisseurs cloud, opérateurs télécoms)
• Administration publique (État, collectivités de plus de 30 000 habitants)
• Espace (opérateurs et fournisseurs de services)

Secteurs critiques (Entités Importantes) :

• Services postaux et d'expédition
• Gestion des déchets
• Fabrication et production (produits chimiques, dispositifs médicaux, électronique, machines, véhicules)
• Fournisseurs de services numériques (marketplaces, moteurs de recherche, réseaux sociaux)
• Recherche (organismes de recherche manipulant des matières dangereuses)
• Alimentation (transformation et distribution à grande échelle)
• Prestataires de services IT et sous-traitants des entités régulées

Entité Essentielle ou Importante ?

La distinction entre Entité Essentielle (EE) et Entité Importante (EI) détermine le niveau d'exigence et les sanctions applicables :

• Entités Essentielles : Secteurs hautement critiques + grandes organisations (>250 salariés ou CA > 50M€) ou infrastructures critiques identifiées
• Entités Importantes : Organisations moyennes des secteurs critiques ou prestataires des EE

Partie 2 : Les Nouvelles Obligations

2.1 Gestion des risques de cybersécurité

NIS 2 impose la mise en place d'un cadre complet de gestion des risques cyber, avec 10 mesures techniques et organisationnelles minimales :

1. Politiques d'analyse des risques et de sécurité des systèmes d'information
2. Gestion des incidents (prévention, détection, réponse, récupération)
3. Continuité des activités (plans de reprise et de sauvegarde)
4. Sécurité de la chaîne d'approvisionnement (relations avec fournisseurs et prestataires)
5. Sécurité lors de l'acquisition, du développement et de la maintenance des systèmes
6. Politiques et procédures d'évaluation de l'efficacité des mesures de cybersécurité
7. Pratiques de base en cyberhygiène et formation à la cybersécurité
8. Politiques et procédures d'utilisation de la cryptographie et du chiffrement
9. Sécurité des ressources humaines, politiques de contrôle d'accès et gestion des actifs
10. Utilisation de solutions d'authentification multifacteur ou d'authentification continue

2.2 Notification des incidents

NIS 2 introduit des obligations strictes de signalement des incidents de sécurité, avec des délais contraignants :

Important : Un incident significatif est défini comme ayant causé ou étant susceptible de causer une perturbation grave de la fourniture du service ou des dommages importants.

2.3 Gouvernance et responsabilité des dirigeants

NIS 2 introduit une nouveauté majeure : la responsabilité personnelle des organes de direction. Les dirigeants doivent :

• Approuver et superviser la mise en œuvre des mesures de gestion des risques
• Suivre des formations adaptées pour développer leurs compétences en cybersécurité
• Évaluer l'efficacité des mesures mises en place
• Allouer les ressources financières et humaines nécessaires
• Les dirigeants peuvent être tenus personnellement responsables en cas de manquement grave aux obligations, avec des sanctions pouvant aller jusqu'à l'interdiction temporaire d'exercer des fonctions de direction.

Partie 3 : Sanctions et Contrôles

3.1 Un régime de sanctions dissuasif

Inspiré du RGPD, le régime de sanctions de NIS 2 est conçu pour être véritablement dissuasif. L'ANSSI, autorité de contrôle en France, dispose de pouvoirs étendus pour sanctionner les manquements.

Autres sanctions possibles

• Avertissements et mises en demeure publiques
• Suspension temporaire de certifications ou d'autorisations
• Interdiction temporaire d'exercer des fonctions de direction
• Ordre de mise en conformité avec échéances contraignantes

3.2 Pouvoirs de l'ANSSI

L'ANSSI voit son rôle considérablement renforcé et dispose désormais de pouvoirs étendus :

• Audits et inspections sur site, avec ou sans préavis
• Demande de communication de toute information nécessaire
• Tests de sécurité et analyses de vulnérabilités
• Évaluation des mesures de gestion des risques
• Émission de recommandations contraignantes

L'ANSSI a annoncé une approche progressive : un délai jusqu'à fin 2027 sera accordé avant d'exiger une conformité complète et d'appliquer des sanctions. Cependant, les obligations de notification d'incidents s'appliquent immédiatement.

Partie 4 : Plan d'Action en 6 Étapes

Face à l'ampleur des changements imposés par NIS 2, une approche méthodique et progressive est essentielle. Voici un plan d'action structuré pour vous mettre en conformité d'ici 2027.

Étape 1 : Évaluation de l'assujettissement (Q4 2024 - Q1 2025)

Objectif

Déterminer avec certitude si votre organisation est soumise à NIS 2 et dans quelle catégorie (EE ou EI).

Actions concrètes

• Identifier votre secteur d'activité exact selon la nomenclature NIS 2
• Vérifier vos effectifs (>50 salariés) et chiffre d'affaires (>10M€)
• Consulter le site de l'ANSSI ou solliciter un conseil juridique en cas de doute
• Documenter votre analyse d'assujettissement pour justifier votre position

Étape 2 : Analyse d'écart (Gap Analysis) (Q1 - Q2 2025)

Objectif

Évaluer votre niveau de conformité actuel par rapport aux 10 mesures obligatoires de NIS 2.

Actions concrètes

• Réaliser un audit de vos pratiques actuelles de cybersécurité
• Identifier les écarts pour chacune des 10 mesures obligatoires
• Évaluer vos capacités de notification d'incidents dans les délais impartis
• Cartographier vos actifs SI critiques et leurs interdépendances
• Produire un rapport d'écart hiérarchisé par niveau de risque

Étape 3 : Définition de la feuille de route (Q2 - Q3 2025)

Objectif

Élaborer un plan d'action priorisé avec budget, ressources et échéancier jusqu'à fin 2027.

Actions concrètes

• Prioriser les chantiers selon le niveau de risque et l'effort requis
• Définir les responsables pour chaque chantier (RACI)
• Estimer les budgets nécessaires (outils, prestations, formation)
• Planifier les jalons trimestriels jusqu'à fin 2027
• Faire valider la feuille de route par la direction générale

Étape 4 : Mise en œuvre prioritaire (2025 - 2026)

Objectif

Traiter les chantiers prioritaires et déployer les mesures de sécurité fondamentales.

Quick Wins à prioriser

11. Mettre en place l'authentification multifacteur (MFA) généralisée
12. Déployer un programme de sensibilisation et formation cybersécurité
13. Établir un processus de gestion des incidents avec procédure de notification
14. Mettre à jour la cartographie du SI et identifier les actifs critiques
15. Renforcer les sauvegardes et tester les plans de reprise d'activité
16. Auditer les prestataires critiques et mettre à jour les contrats

Étape 5 : Consolidation et gouvernance (2026 - 2027)

Objectif

Finaliser les chantiers complexes et mettre en place une gouvernance pérenne de la cybersécurité.

Actions concrètes

• Implémenter un SMSI (Système de Management de la Sécurité de l'Information) complet
• Automatiser la détection et la réponse aux incidents (SOC, SIEM)
• Déployer des tests réguliers (pentests, exercices de crise)
• Établir des comités de pilotage cyber réguliers avec la direction
• Former les dirigeants aux enjeux de cybersécurité

Étape 6 : Audit et amélioration continue (2027 et au-delà)

Objectif

Valider la conformité, maintenir le niveau de sécurité et s'adapter aux évolutions.

Actions concrètes

• Réaliser un audit de conformité complet (interne ou externe)
• Préparer la documentation pour les contrôles de l'ANSSI
• Mettre en place des revues annuelles des mesures de sécurité
• Suivre les évolutions réglementaires et les recommandations de l'ANSSI
• Intégrer la cybersécurité dans tous les nouveaux projets (Security by Design)

Conclusion : Une Opportunité de Renforcement

Si NIS 2 impose des obligations contraignantes et un régime de sanctions sévère, elle doit avant tout être perçue comme une opportunité de renforcer durablement votre résilience cyber. Dans un contexte où les cyberattaques se multiplient et se sophistiquent, investir dans votre sécurité informatique n'est plus une option mais une nécessité stratégique.

Les organisations qui anticipent et structurent leur démarche de mise en conformité bénéficieront de multiples avantages :

• Réduction significative du risque d'incident de sécurité et de ses impacts
• Meilleure gouvernance et visibilité sur le système d'information
• Confiance renforcée des clients, partenaires et investisseurs
• Avantage concurrentiel sur un marché sensibilisé aux enjeux cyber
• Évitement des sanctions et préservation de votre réputation

Le délai jusqu'à fin 2027 accordé par l'ANSSI est une chance : il permet d'étaler les investissements et de progresser par étapes. Mais attention, ce n'est pas une raison pour reporter l'action. Plus vous commencerez tôt, plus vous aurez de temps pour absorber les changements et éviter la précipitation des derniers mois.

FlexCarto vous accompagne dans votre mise en conformité NIS 2 avec une solution complète de cartographie SI, d'analyse de risques et de pilotage de la conformité réglementaire.

Comment FlexCarto vous aide avec NIS 2

• Cartographie dynamique : Visualisez votre SI, identifiez vos actifs critiques et leurs interdépendances
• Analyse de risques DICT : Évaluez la Disponibilité, Intégrité, Confidentialité et Traçabilité selon la méthode ANSSI
• Gestion de conformité : Suivez votre avancement NIS 2 avec tableaux de bord et plans d'action
• Rapports réglementaires : Générez automatiquement la documentation requise pour l'ANSSI
• Gestion des incidents : Préparez et suivez vos notifications d'incidents dans les délais réglementaires

Demandez une démonstration personnalisée

Notre équipe d'experts vous accompagne à chaque étape

www.flexcarto.com | contact@flexcarto.com