NIS2 en France : comprendre la directive, anticiper la mise en conformité et ses impacts

La directive NIS2 a un objectif clair : relever le niveau de cybersécurité dans l’Union européenne. Elle élargit le périmètre de la précédente directive NIS et concerne désormais 18 secteurs d’activité. En France, la transposition est encore en cours, mais la direction est déjà connue : les organisations concernées devront mettre en place des mesures de gestion des risques adaptées, déclarer leurs incidents significatifs et pouvoir démontrer leur niveau de préparation.

La directive distingue deux catégories d’entités : les entités essentielles (EE) et les entités importantes (EI). Cette distinction répond à une logique de proportionnalité : le niveau d’exigence attendu dépend de la criticité de l’organisation, de sa taille et, selon les cas, de son chiffre d’affaires. 

Les entreprises peuvent vérifier si elles entrent dans le périmètre de la régulation grâce à un simulateur mis en ligne par l’ANSSI.

Pour se préparer plus concrètement, l’ANSSI a également publié le ReCyF (« Référentiel Cyber France »), un document qui traduit les exigences de NIS2 en objectifs de sécurité opérationnels. 

Comprendre la directive NIS2: trois obligations, quatre grands piliers 

Pour aborder NIS2 sans entrer immédiatement dans le détail juridique, deux repères sont utiles. D'abord, la directive s'articule autour de trois obligations principales

• transmettre certaines informations à l'autorité compétente;
• mettre en place des mesures de gestion des risques adaptées;
• et déclarer les incidents de sécurité significatifs.

Ensuite, le ReCyF propose une lecture très concrète de la préparation à travers 4 grands piliers : 
 

Gouvernance — Protection — Défense — Résilience 

Cette grille de lecture est particulièrement utile : NIS2  ne se résume pas à la mise en place de bons outils techniques. La directive attend avant tout une organisation capable de piloter sa sécurité, de réduire ses risques, de réagir à un incident et de continuer à fonctionner en cas de crise.

Les 4 piliers à retenir

La Gouvernance 

NIS2 fait clairement l'objet entrer la cybersécurité dans le champ de responsabilité des dirigeants. Le sujet ne relève plus uniquement de la DSI ou des équipes techniques: les organes de direction doivent approuver les mesures mises en place, suivre leur déploiement et s'assurer que la démarche est réellement pilotée. 

Dans le ReCyF, ce pilier couvre notamment la gouvernance de la sécurité numérique, le recensement des systèmes d'information, la maîtrise de l'écosystème et l'intégration de la sécurité dans les ressources humaines. Pour les entités essentielles, il inclut également l'approche par les risques et l'audit des systèmes d'information.

La Protection

Ce pilier regroupe les mesures qui servent à réduire l'exposition de l'organisation. On y retrouve la sécurisation des accès distants, la protection contre les codes malveillants, la gestion des identités et des accès, ou encore la maîtrise de l'administration.

Il s'agit en somme de mettre en place les protections qui limitent la probabilité et l'impact d'un incident.

La Défense

Même avec de bonnes mesures de protection, une organisation doit partir du principe qu'un incident peut survenir. NIS2 impose donc de savoir détecter, qualifier, traiter un incident, et d'en notifier l'autorité selon un mécanisme structuré. 

Dans ReCyF, cette logique se retrouve dans les objectifs liés à l'identification et à la réaction aux incidents, ainsi que, pour les entités essentielles, dans la supervision de sécurité des systèmes d'information. 

La Résilience

Le dernier pilier est souvent celui qui parle le plus aux directions: que se passe-t-il si un incident majeur survient malgré tout ? NIS2 attend des organisations qu'elles soient capables de sauvegarder leurs données, de restaurer leurs systèmes, de reprendre leurs activités et de gérer une crise cyber. Le ReCyF couvre ici les sauvegardes, la continuité, la reprise d'activité, la gestion de crise et les exercices et entraînements. La réglementation ne demande pas seulement d'éviter l'incident; elle demande aussi d'être prêt à opérer lorsqu'il se produit.

ISO 27001 et NIS2: quelles différences et complémentarités pour la conformité ?

La comparaison proposée par l'ANSSI montre qu'ISO 27001 et ISO 27002 présentent des correspondances solides avec une partie importante des attentes du ReCyF, notamment en matière de gouvernance, de politique de sécurité, de rôles et responsabilités, de gestion des fournisseurs, de sauvegardes, de continuité d'activité, d'audit et d'approche par les risques. L'ANSSI met à disposition le tableau de correspondance entre ReCyF NIS2 et ISO 27001.

Pour autant, le niveau d’attente n’est pas exactement le même. Le ReCyF est souvent plus prescriptif dans la façon d’appliquer les mesures : il demande par exemple

•  une révision au moins annuelle de la PSSI,
• des tests de sauvegarde au minimum une fois par an,
• un réexamen de l’analyse de risques au moins tous les trois ans,
• ainsi que des revues périodiques explicites sur certains dispositifs. 

Là où ISO laisse une marge d’organisation, le référentiel NIS2 fixe plus souvent un rythme ou un cadre précis. 

Le comparatif met aussi en évidence une différence de périmètre. Dans ISO 27001, les mesures de gestion des risques portent d’abord sur le domaine d’application du SMSI défini par l’organisation. Dans le ReCyF, l’analyse de conformité vise les systèmes d’information de l’entité et ne se limite pas à un périmètre choisi. La même logique se retrouve dans des attentes très opérationnelles : 

• cartographie de l’écosystème,
• tenue des points de contact,
• délais de désactivation des comptes,
• revue des comptes et des droits,
• ou encore filtrage des communications avec une logique de blocage par défaut. 

Autre point marquant : plusieurs mesures du ReCyF renvoient explicitement aux recommandations de l’ANSSI, notamment pour le chiffrement des accès distants, l’authentification, l’administration des systèmes ou les mesures compensatoires lorsque l’exigence nominale ne peut pas être appliquée. ISO 27001 et ISO 27002 couvrent les principes, mais sans aller jusqu’à ce niveau de prescription nationale. 

Le document ANSSI montre enfin que certaines attentes du ReCyF sont peu ou pas couvertes de façon explicite par ISO 27001 et ISO 27002. C’est le cas, par exemple, de la gestion de crise d’origine cyber, des exercices et entraînements dédiés, de la sécurisation du cœur de confiance des annuaires, de la mise en place d’un réseau d’administration dédié, ou encore de certaines exigences propres à la supervision de sécurité.

NIS2 peut sembler technique à première vue, mais son message de fond est lisible : les organisations concernées doivent mieux piloter leur cybersécurité, mieux protéger leurs systèmes, mieux réagir aux incidents et mieux préparer leur continuité.  

En France, le ReCyF apporte une traduction concrète de ces attentes. Et pour les structures déjà engagées dans une démarche DORA ou ISO 27001, le bon réflexe n’est pas de repartir de zéro, mais d’identifier ce qui peut être réutilisé, complété ou adapté dans une trajectoire de conformité cohérente.