NIS2 et cybersécurité PME : la check-list de conformité 2026

La directive européenne NIS2 (Network and Information Security 2), transposée en droit français en octobre 2024, est entrée en application progressive depuis. Elle multiplie par 10 le nombre d'entreprises soumises à des obligations de cybersécurité contraignantes. Beaucoup de PME se croient hors champ - à tort.

Qui est concerné par NIS2 ?

NIS2 distingue deux catégories d'entités selon leur secteur et leur taille :

Les « entités essentielles » (régime le plus strict)

• Grandes entreprises (250+ salariés ou CA > 50 M€) dans les secteurs critiques : énergie, transports, banque, infrastructure de marché financier, santé, eau potable, eaux usées, infrastructure numérique, administration publique, espace
• Sanctions : jusqu'à 10 M€ ou 2 % du CA mondial

Les « entités importantes » (régime un peu allégé)

• Moyennes entreprises (50+ salariés ou CA > 10 M€) dans les secteurs critiques + secteurs élargis : services postaux, gestion des déchets, fabrication d'équipements (électronique, instruments médicaux), production agroalimentaire, fabrication de produits chimiques, fournisseurs de services numériques (data centers, cloud, marketplace, moteur de recherche, réseaux sociaux), recherche
• Sanctions : jusqu'à 7 M€ ou 1,4 % du CA mondial

L'effet supply chain - souvent oublié

Même si votre entreprise n'est pas directement assujettie, si vous êtes fournisseur d'une entité NIS2 (sous-traitant IT, prestataire de services, éditeur de logiciel), elle aura l'obligation contractuelle de vous imposer des exigences cyber. Concrètement, vos contrats vont être mis à jour en 2026 avec des annexes sécurité auxquelles il faudra répondre. Le coût de la mise en conformité finit par retomber sur la supply chain.

Les obligations concrètes

NIS2 impose 10 mesures essentielles, à formaliser et documenter :

1. Politique d'analyse de risqueset de sécurité des systèmes d'information
2. Gestion des incidents avec procédure de détection, qualification, traitement
3. Continuité d'activité : plan de reprise (PRA) et de continuité (PCA), sauvegardes testées
4. Sécurité de la chaîne d'approvisionnement : évaluation des fournisseurs critiques
5. Sécurité de l'acquisition et de la maintenance des systèmes (DevSecOps si vous développez)
6. Mesure de l'efficacité des mesures de cybersécurité (KPI sécurité, tests pen-test périodiques)
7. Hygiène cyber et formation des utilisateurs (phishing, mots de passe, postures)
8. Cryptographie : usage de chiffrement adapté (TLS, disque chiffré, etc.)
9. Gestion des accès et authentification : MFA, principe du moindre privilège
10. Sécurité des ressources humaines: contrôles à l'embauche, formation, départ

L'obligation de notification

En cas d'incident significatif, vous devez notifier l'ANSSI :

• Alerte préalable : dans les 24 heures
• Notification complète : dans les 72 heures
• Rapport final : dans le mois suivant

La check-list TPE/PME 2026

Que vous soyez directement concerné ou indirectement via vos clients, voici les 12 mesures à mettre en place ou à actualiser en 2026 :

Niveau 1 - Hygiène cyber de base (à faire en priorité)

1. MFA (authentification multifactorielle) sur tous les comptes administrateur et accès externes (VPN, accès distant). Coût : ~0 € avec Microsoft Authenticator ou Google Authenticator.
2. Sauvegardes automatisées, hors site, testées régulièrement (au moins trimestriellement). La règle 3-2-1 : 3 copies, 2 supports, 1 hors site.
3. Mises à jour automatiques des OS, navigateurs, logiciels métiers. Politique de patch en moins de 30 jours pour les vulnérabilités critiques.
4. EDR / antivirus moderne sur tous les postes (Microsoft Defender for Business, CrowdStrike, etc.). ~5-15 €/poste/mois.

Niveau 2 - Organisation et formation

1. Charte informatique formalisée, signée par tous les salariés
2. Formation phishing annuelle + simulations régulières (KnowBe4, GoPhish, ou Microsoft Attack Simulator)
3. Procédure de signalementd'incident (qui appeler, dans quel délai)
4. Politique de mots de passeavec gestionnaire d'équipe (Bitwarden, 1Password Business, ~3 €/user/mois)

Niveau 3 - Gouvernance documentée

1. Inventaire SI : liste des actifs (postes, serveurs, applis, données), classés par criticité
2. Analyse de risques annuelle : top 10 menaces + mesures de mitigation
3. PCA/PRA avec scénarios testés (rançongiciel, perte de serveur, etc.)
4. Revue annuellepar la direction : indicateurs sécurité, incidents, plan d'action

Combien ça coûte vraiment ?

Pour une PME de 20 salariés en niveau de maturité moyen, la mise en conformité NIS2 « réaliste et proportionnée » représente :

• Investissement initial : 8 000 à 25 000 € (audit, mise en place outils, formation, documents)
• Récurrent annuel : 4 000 à 12 000 € (licences EDR, MFA, gestion mots de passe, sauvegarde cloud, formation continue)

À mettre en regard du coût d'une attaque réussie : la médiane d'une attaque par rançongiciel sur une PME française en 2025 a été estimée à 380 000 €(ANSSI, rapport annuel) en coûts directs (rançon non payée + reconstruction) + perte d'exploitation moyenne de 23 jours. La mise en conformité est, économiquement, un investissement sous-proportionné au risque.

Par où commencer

1. Auto-évaluation via le questionnaire ANSSI ou le portail MonAideCyber.gouv.fr (gratuit). Identifier votre niveau de maturité actuel.
2. Plan d'action 12 mois avec priorisation des mesures (commencer par niveau 1 puis 2 puis 3)
3. Budgétisation dans le prévisionnel 2026-2027
4. Choix d'un référent cyber en interne (peut être à temps partiel) ou externe (RSSI fractionné)
5. Revue annuelle intégrée au reporting de direction

Pour la mise en place pragmatique de la conformité - sans sur-engineering inutile pour une TPE/PME - c'est exactement ce que nous menons au pôle Digitalisation & Développement, en combinant les outils Microsoft 365 (que la plupart de nos clients utilisent déjà) et des process simples mais documentés. Échangeons si vous voulez cadrer votre démarche.