La directive NIS2 expliquée pour les ETI. Obligations, délais, sanctions, et comment le pentest automatisé aide à démontrer la conformité.
Jordan Fredj
28 février 2026
14 min
Loading...
Jordan Fredj
Fondateur, Hacksessible
La directive NIS2 (Network and Information Security Directive 2) est entree en vigueur le 16 janvier 2023 et devait etre transposee en droit national par les Etats membres de l'Union européenne avant le 17 octobre 2024. Pour les ETI (Entreprises de Taille Intermediaire) francaises, cette directive représente un changement majeur dans les obligations de cybersécurité. Ce guide pratique vous explique concretement ce que NIS2 signifie pour votre organisation, les obligations a respecter, les sanctions encourues, et comment une stratégie de pentest continu vous aide a demontrer votre conformité.
La première directive NIS, adoptee en 2016, ne concernait qu'un nombre restreint d'operateurs de services essentiels (OSE) et de fournisseurs de services numeriques (FSN). NIS2 elargit considerablement le périmètre en introduisant deux nouvelles categories : les entites essentielles et les entites importantes. L'objectif est d'assurer un niveau eleve et commun de cybersécurité dans l'ensemble de l'Union européenne, en couvrant desormais 18 secteurs d'activite et des milliers d'entreprises supplementaires.
Pour les ETI, le changement est significatif. De nombreuses entreprises qui n'etaient pas concernees par NIS1 tombent desormais dans le périmètre de NIS2. Les critères sont clairs : toute entreprise de plus de 50 employes ou de plus de 10 millions d'euros de chiffre d'affaires operant dans l'un des 18 secteurs couverts est potentiellement concernee. Cela inclut des secteurs aussi varies que l'energie, les transports, la sante, l'alimentation, les services numeriques, la fabrication, et la gestion des dechets.
La directive distingue deux categories d'entites, chacune avec des obligations et des sanctions differentes.
Les entites essentielles sont les organisations operant dans les secteurs les plus critiques : energie (electricite, petrole, gaz, hydrogene), transports (aerien, ferroviaire, maritime, routier), secteur bancaire, infrastructures des marches financiers, sante, eau potable, eaux usees, infrastructure numerique (DNS, IXP, cloud, data centers), gestion des services TIC (B2B), administration publique, et espace. Les critères de taille pour etre classee comme entite essentielle sont généralement plus de 250 employes ou plus de 50 millions d'euros de chiffre d'affaires annuel. Cependant, certaines entites sont classees essentielles independamment de leur taille, notamment les fournisseurs de DNS, les registres de noms de domaine, et les fournisseurs de services de confiance qualifies.
Les entites importantes couvrent des secteurs supplementaires : services postaux et de messagerie, gestion des dechets, fabrication, production et distribution de produits chimiques, production, transformation et distribution de denrees alimentaires, fabrication de dispositifs medicaux, fabrication de produits informatiques, electroniques et optiques, fabrication d'equipements electriques, fabrication de machines et équipements, fabrication de vehicules automobiles, et fournisseurs de services numeriques (places de marche, moteurs de recherche, réseaux sociaux). Le seuil de taille est plus bas : plus de 50 employes ou plus de 10 millions d'euros de chiffre d'affaires.
L'article 21 de la directive definit les mesures de gestion des risques de cybersécurité que les entites doivent mettre en oeuvre. Ces mesures sont proportionnees au risque et a la taille de l'entite, mais le standard minimum est eleve.
Les entites doivent mettre en place des politiques de sécurité des systèmes d'information basees sur une analyse des risques. Cette analyse doit etre regulierement mise a jour pour tenir compte de l'evolution des menaces et de l'infrastructure. C'est ici que le pentest automatisé continu prend tout son sens : il fournit une évaluation continue et factuelle des risques, basee sur des preuves d'exploitation reelles plutot que sur des évaluations theoriques. Chaque rapport de pentest automatisé alimente directement votre analyse des risques avec des donnees concretes.
NIS2 impose des obligations strictes de notification des incidents de sécurité. Les entites essentielles doivent notifier l'autorite competente (l'ANSSI en France) dans les 24 heures suivant la prise de conscience d'un incident significatif, avec un rapport initial. Un rapport intermediaire doit suivre dans les 72 heures, et un rapport final dans le mois. Les entites importantes ont des delais similaires mais avec une flexibilite legerement plus grande. La qualite de votre réponse a incident depend directement de votre connaissance de votre surface d'attaque et de vos vulnérabilités. Une organisation qui pratique le pentest continu a une bien meilleure visibilite sur ses failles et peut reagir plus rapidement et plus efficacement en cas d'incident.
La directive exige des plans de continuite d'activite et de reprise apres sinistre. Cela inclut la gestion des sauvegardes, la planification de la reprise, et la gestion de crise. Les tests de resilience, y compris les tests d'intrusion, sont un element cle pour valider que ces plans fonctionnent effectivement. Le pentest automatisé permet de tester regulierement la resilience de l'infrastructure sans mobiliser des equipes pendant des semaines.
NIS2 introduit une obligation de gestion de la sécurité dans la chaine d'approvisionnement. Les entites doivent évaluér et gerer les risques lies a leurs fournisseurs et prestataires. Cela signifie que meme si votre entreprise n'est pas directement dans le périmètre NIS2, vos clients qui le sont peuvent vous demander des preuves de votre posture de sécurité. Les rapports de pentest automatisé avec preuves constituent un element de réponse ideal a ces demandes.
L'article 21 mentionne explicitement la nécessité de "politiques et procedures pour évaluér l'efficacite des mesures de gestion des risques de cybersécurité". Les tests d'intrusion sont l'un des moyens les plus efficaces pour évaluér cette efficacite. NIS2 n'impose pas une fréquence spécifique de tests, mais la logique de la directive pousse vers des évaluations regulieres plutot que ponctuelles. Le pentest automatisé par IA, avec sa capacité d'execution continue, repond parfaitement a cette exigence.
Les sanctions prevues par NIS2 sont significativement plus elevees que celles de NIS1 et s'inspirent du modele du RGPD. Pour les entites essentielles, les amendes administratives peuvent atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial total, le montant le plus eleve etant retenu. Pour les entites importantes, les amendes peuvent atteindre 7 millions d'euros ou 1,4% du chiffre d'affaires annuel mondial total.
Au-dela des amendes, NIS2 introduit la possibilite de sanctions personnelles contre les dirigeants. Les membres de la direction peuvent etre tenus personnellement responsables en cas de manquement aux obligations de cybersécurité. Cette responsabilisation des dirigeants est un changement majeur qui devrait accelerer la prise en compte de la cybersécurité au niveau strategique des organisations.
En France, l'ANSSI est l'autorite competente pour la supervision et l'application de NIS2. L'agence dispose de pouvoirs d'inspection, d'audit et de sanction renforces par rapport a NIS1. Les entites doivent etre preparees a demontrer leur conformité a tout moment, avec des preuves documentees de leurs mesures de sécurité et de leurs tests.
Le pentest automatisé par IA repond a plusieurs exigences de NIS2 de maniere directe et documentee.
Pour l'analyse des risques, chaque rapport de pentest fournit une évaluation factuelle des vulnérabilités avec des preuves d'exploitation. Ces rapports alimentent directement votre registre des risques avec des donnees concretes plutot que des estimations. Pour les tests et audits, le pentest automatisé fournit des preuves de tests reguliers, avec une trace auditable de chaque execution. Pour la sécurité de la chaine d'approvisionnement, les rapports de pentest peuvent etre partages avec vos clients pour demontrer votre posture de sécurité. Pour la gestion des incidents, la connaissance continue de vos vulnérabilités accelere la détection et la réponse aux incidents.
La transposition en droit francais est en cours. L'ANSSI a publie des lignes directrices pour accompagner les entreprises dans leur mise en conformité. Les étapes recommandees sont les suivantes : identification du périmètre (etes-vous entite essentielle ou importante ?), analyse des ecarts entre votre posture actuelle et les exigences NIS2, elaboration d'un plan de mise en conformité priorise, mise en oeuvre des mesures techniques et organisationnelles, et mise en place d'un processus de tests et d'évaluation continus.
Il est essentiel de ne pas attendre la date limite pour commencer. La mise en conformité NIS2 est un processus qui prend du temps, et les organisations qui commencent tot auront un avantage significatif, tant en termes de sécurité effective que de preparation aux audits.
Si vous etes une ETI qui debute sa demarche de conformité NIS2, voici les actions prioritaires. Commencez par determiner si vous etes une entite essentielle ou importante selon les critères de taille et de secteur. Identifiez vos systèmes d'information critiques et cartographiez votre surface d'attaque. Realisez un premier pentest automatisé pour obtenir une photographie factuelle de votre posture de sécurité. Utilisez les résultats pour prioriser vos investissements de sécurité. Mettez en place un processus de tests continus pour maintenir et demontrer votre conformité dans la duree.
Potentiellement oui. Le secteur de la production, transformation et distribution de denrees alimentaires fait partie de l'Annexe II de NIS2 (entites importantes). Si votre entreprise depasse les seuils de 50 employes ou 10 millions d'euros de chiffre d'affaires, elle est probablement dans le périmètre. Verifiez aupres de l'ANSSI ou d'un conseil juridique specialise pour une determination precise.
NIS2 est une obligation legale avec des sanctions en cas de non-conformité. ISO 27001 est une norme volontaire de certification. Cependant, les deux cadres sont tres compatibles : une organisation certifiee ISO 27001 aura couvert une grande partie des exigences de NIS2. La certification ISO 27001 peut etre presentee comme preuve de conformité aux auditeurs NIS2.
Les rapports de pentest sont un element important mais pas suffisant. NIS2 couvre des aspects plus larges que les tests techniques : gouvernance, gestion des incidents, continuite d'activite, sécurité de la chaine d'approvisionnement, formation. Les rapports de pentest demontrent que vous évaluéz regulierement la sécurité de vos systèmes, ce qui est une exigence cle, mais doivent etre completes par d'autres elements de conformité.
Le budget depend de votre maturite actuelle en cybersécurité. Pour une ETI partant d'un niveau de maturite moyen, estimez entre 2% et 5% du budget IT pour la mise en conformité initiale, puis entre 1% et 3% pour le maintien. L'investissement dans une solution de pentest automatisé comme Hacksessible représente une fraction de ce budget tout en couvrant l'une des exigences les plus critiques : la demonstration reguliere de l'efficacite de vos mesures de sécurité.
Jordan Fredj, Fondateur Hacksessible -
Obtenez une évaluation factuelle de votre posture de sécurité et des rapports de conformité prets pour l'audit. Demandez une demonstration.