// NOTES & ANALYSES

Ce que je vois sur le terrain.

Notes courtes, analyses pointues, lectures à contre-courant. Pas un blog. Des observations issues de missions réelles, partagées sans filtre marketing. Mise à jour irrégulière, par humeur et par utilité.

// INDEX
10/05/2026
CONFORMITÉ · LECTURE 8 MIN

NIS2 pour PME : ce que ça change vraiment, et ce qui ne change pas

La directive NIS2 fait beaucoup parler. La plupart des PME se croient hors-cible et la plupart des éditeurs essaient de leur vendre l'inverse. Tri.
~1 800 mots
Prochaine
AZURE · LECTURE 6 MIN EN COURS

Trois erreurs Azure que je vois dans 80% des audits PME

Le RBAC mal configuré, les VM exposées par accident, et la facturation qui dérape : pourquoi ces trois patterns reviennent et comment les corriger en 2 jours.
~1 200 mots
À venir
IA · LECTURE 6 MIN PRÉVU

Shadow AI : pourquoi vos collaborateurs utilisent ChatGPT en douce, et ce que ça change pour votre RGPD

L'usage non encadré de l'IA générative est devenu massif dans les PME. Cartographier l'existant, fixer un cadre simple, et reprendre la main sans interdire.
~1 300 mots

Veille externe — Alertes ANSSI

Flux temps réel du CERT-FR (Centre gouvernemental de veille). Une fraction de ce que je surveille pour mes clients en mission.

LIVE · CERT-FR
Chargement du flux ANSSI...
Source : cert.ssi.gouv.fr · mis à jour automatiquement
// CONFORMITÉ

NIS2 pour PME : ce que ça change vraiment, et ce qui ne change pas

Publié le 10/05/2026
Lecture ~8 min
Florent Accault
// TL;DR
La directive NIS2 vise les moyennes et grandes entreprises de secteurs ciblés — au-dessus de 50 salariés OU 10 M€ de CA. La majorité des TPE et petites PME ne sont donc PAS directement concernées. Mais beaucoup le seront indirectement par effet de cascade fournisseur, via les clauses cyber que leurs clients NIS2 leur imposent dans leurs contrats. Pour les entreprises directement concernées, ce qui change vraiment : la traçabilité, la responsabilité personnelle des dirigeants, et les délais de notification d'incident. Le reste, c'est souvent du marketing d'éditeurs.

Ce qu'est NIS2, en une minute

NIS2 est la deuxième directive européenne sur la sécurité des réseaux et systèmes d'information. Elle remplace NIS1 et entre en application dans les États membres au cours de 2024-2025. En France, la transposition s'est faite par la loi du 30 avril 2025. L'objectif est simple : élever le niveau de cybersécurité des organisations qui comptent dans le fonctionnement de l'économie et de la société.

NIS2 distingue deux catégories d'entités : les "essentielles" (énergie, santé, transport, secteur bancaire, certains opérateurs numériques) et les "importantes" (services postaux, fabricants de produits chimiques, alimentation, fabrication critique, fournisseurs numériques). Le seuil d'éligibilité pour la plupart des secteurs est 50 salariés OU 10 M€ de chiffre d'affaires (un seul des deux suffit). En dessous de ces seuils, vous n'êtes en principe pas directement concerné par les obligations NIS2 — sauf cas particuliers (TIC critiques, fournisseurs spécifiques, anciens OIV).

"Donc je suis tranquille si je suis sous les seuils ?" Pas si vite.

Si votre entreprise compte moins de 50 salariés et moins de 10 M€ de CA, oui, vous échappez aux obligations directes. Mais NIS2 va quand même vous toucher par trois mécanismes indirects qu'il vaut mieux anticiper.

Premier mécanisme : la cascade fournisseur. C'est de loin le plus important pour les petites structures. Vos clients qui, eux, sont assujettis à NIS2 doivent gérer leur "risque fournisseur" — c'est dans la directive. Concrètement, vos appels d'offres et contrats récurrents vont se charger de clauses cyber : engagement de niveau de sécurité, droit d'audit, notification d'incident, plan de continuité. Si vous fournissez une mairie, un industriel, un acteur de santé, ou un grand groupe, vous allez recevoir des questionnaires de plus en plus exigeants. Ce n'est pas NIS2 qui vous oblige : c'est votre client qui vous l'impose pour rester en conformité lui-même.

Deuxième mécanisme : la franchise du seuil. Une PME peut très vite passer la barre des 50 salariés ou des 10 M€ de CA en cas de croissance, fusion ou rachat. Si vous opérez dans un secteur cité par NIS2, mieux vaut anticiper que devoir construire votre conformité dans la précipitation au moment où vous franchissez le seuil.

Troisième mécanisme : les attentes du marché. Même hors obligation, les clients sensibles à la sécurité — banques, assureurs, secteur public — privilégient les fournisseurs qui démontrent une posture cyber sérieuse. Avoir un plan NIS2 light vous différencie commercialement, indépendamment de l'obligation.

Ce qui change vraiment

Trois choses, au-delà du jargon réglementaire.

1. La responsabilité personnelle de la direction. NIS2 introduit une responsabilité directe des dirigeants en cas de manquement grave. Ce n'est plus seulement le RSSI ou le DSI qui peut être inquiété. C'est nouveau, et c'est culturellement structurant. Un DG qui n'a pas validé son plan cyber peut être tenu pour responsable.

2. Les délais de notification d'incident. En cas d'incident significatif, vous avez 24 heures pour notifier l'autorité compétente (ANSSI en France) — une notification précoce, courte, factuelle. Suivie d'une notification complète sous 72 heures, puis d'un rapport final sous un mois. Pour la plupart des PME, c'est un saut culturel : l'incident n'est plus une affaire interne qu'on traite avant d'en parler. Il devient un fait juridique avec horloge.

3. La traçabilité opposable. NIS2 ne dit pas quoi faire dans le détail technique. Elle dit que vous devez démontrer que vous avez fait. Logs, registre des décisions, plan de continuité documenté, sensibilisation tracée. C'est ce qui change le quotidien : vous devez produire des preuves, pas juste être bon. Et c'est ce qui rend les audits pénibles, parce que la plupart des PME font des choses correctes mais ne les documentent pas.

Ce qui ne change pas (et ce qu'on essaie de vous vendre quand même)

NIS2 ne dit pas que vous devez acheter une solution X ou Y. Elle ne mandate aucun éditeur. Elle ne fixe aucun standard technique précis (à la différence de PCI-DSS ou HDS). Si on vous dit que tel produit "est NIS2-compliant", cherchez la sortie : aucun produit n'est NIS2-compliant tout seul. C'est votre dispositif global qui peut l'être, et il dépend de votre contexte.

NIS2 ne change pas non plus les fondamentaux d'une bonne hygiène cyber : MFA partout, sauvegardes testées, mises à jour à jour, IAM propre, plan de continuité, sensibilisation. Si vous faites ces choses, vous êtes à 70% du chemin. Le reste, c'est de la formalisation et de la traçabilité.

Plan d'action minimal selon votre situation

Si vous êtes directement concerné (50+ salariés ou 10 M€+ CA dans un secteur cité) :

  1. Vérifier votre éligibilité sur le site de l'ANSSI (questionnaire d'auto-évaluation). 30 minutes, gratuit.
  2. Désigner un responsable NIS2 (souvent le DSI ou un référent désigné). Le formaliser par écrit.
  3. Construire le registre des risques cyber et des mesures associées. Document vivant, mis à jour 1 fois par trimestre.
  4. Documenter le plan de continuité et le plan de réponse à incident. Tester au moins une fois par an.
  5. Cadrer la chaîne de notification : qui appelle qui, dans quels délais, qui notifie l'ANSSI. Affichage dans le PRA.
  6. Tracer les actions de sensibilisation annuelles, y compris pour la direction.

Si vous n'êtes concerné qu'indirectement (sous les seuils, mais fournisseur de clients NIS2) :

  1. Identifier vos clients potentiellement assujettis et anticiper leurs questionnaires.
  2. Construire un dossier cyber light : MFA, sauvegardes testées, IAM propre, plan de continuité simple, sensibilisation annuelle. Documenter le tout — c'est le document que votre client vous demandera.
  3. Vous différencier commercialement en répondant aux appels d'offres avec une posture déjà documentée. Argument de vente net pour vos prospects sensibles à la cyber.
NIS2 ne vous demande pas d'être parfait. Elle vous demande d'avoir réfléchi, écrit, et de pouvoir le prouver.

Conclusion : agir maintenant ou attendre l'audit

L'expérience que je vois en mission est claire : les PME qui s'y mettent maintenant, en 4 à 6 mois, à un coût raisonnable, en sortent renforcées. Celles qui attendent l'audit client ou l'incident y vont en panique, à un coût bien plus élevé, et en climat de stress qui dégrade la qualité du résultat.

Si vous pensez être concerné et que vous ne savez pas par où commencer, un audit flash de 5 jours suffit à clarifier votre situation, lister vos écarts, et prioriser les chantiers. C'est exactement ce type de mission que je conduis.

Cette note reflète mon analyse à date. Elle ne constitue pas un conseil juridique. Pour toute interprétation engageante, consultez un cabinet d'avocats spécialisé.

Une question sur NIS2 ou un autre sujet ?

30 minutes pour une lecture honnête de votre situation, sans détour commercial.

 RÉSERVER 30 MIN FORMULAIRE