NIS2 : Les 10 Mesures de Cybersécurité Obligatoires pour Votre Entreprise

Meta description : Découvrez les mesures de l’article 21 NIS2 obligatoires : obligations cybersécurité NIS2, exigences techniques et plan d’action concret pour dirigeants et RSSI.

Un ransomware paralyse votre système d’information un vendredi soir. Lundi matin, vos clients ne peuvent plus accéder à vos services. Mardi, l’ANSSI vous demande votre rapport d’incident. Mercredi, votre direction découvre qu’elle est personnellement responsable.

Ce scénario n’est pas fictif. Il se produit chaque semaine en France. Et depuis l’entrée en application de la Directive (UE) 2022/2555 — dite NIS2 — le 18 octobre 2024, les conséquences ne se limitent plus aux dégâts techniques. Elles sont désormais juridiques, financières et personnelles.

NIS2 ne se contente pas de recommander. Elle impose. L’article 21 de la directive énumère précisément 10 mesures de cybersécurité obligatoires que chaque entité concernée doit mettre en œuvre. Pas des suggestions. Des obligations légales, assorties de sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial.

Cet article décortique chacune de ces mesures NIS2, explique ce qu’elles impliquent concrètement et vous donne les clés pour les déployer efficacement. Que vous soyez dirigeant, RSSI ou responsable conformité, voici votre référence opérationnelle.

Article 21 de NIS2 : le socle des obligations cybersécurité

Pourquoi l’article 21 change tout pour les entreprises

Sous NIS1, les exigences de sécurité étaient vagues et laissées à l’appréciation des États membres. Résultat : des niveaux de protection disparates, des contrôles inégaux et une protection insuffisante face à des menaces en constante évolution.

L’article 21 de la Directive (UE) 2022/2555 rompt avec cette approche. Il définit 10 catégories de mesures techniques, opérationnelles et organisationnelles que toutes les entités essentielles et importantes doivent appliquer. Ces exigences techniques NIS2 sont contraignantes, vérifiables et sanctionnables.

Le principe directeur : chaque mesure doit être proportionnée aux risques encourus, en tenant compte de la taille de l’entité, de la probabilité des incidents et de leur impact potentiel sur la société et l’économie. Autrement dit, on n’attend pas le même dispositif d’une PME de 60 salariés et d’un opérateur énergétique national. Mais on attend de chacun une démarche structurée et démontrable.

Qui doit appliquer ces mesures NIS2 de l’article 21 ?

Les obligations cybersécurité NIS2 s’appliquent à deux catégories d’entités réparties sur 18 secteurs :

• Entités essentielles : énergie, transports, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC, secteur bancaire, marchés financiers, administration publique, espace
• Entités importantes : services postaux, gestion des déchets, chimie, alimentation, fabrication industrielle, fournisseurs numériques, recherche

Critère de taille général : à partir de 50 salariés ou 10 millions d’euros de chiffre d’affaires. Certaines entités sont cependant concernées quelle que soit leur taille (fournisseurs DNS, registres de noms de domaine, prestataires de confiance).

L’ANSSI, autorité compétente en France (cyber.gouv.fr), supervise la mise en œuvre et peut effectuer des contrôles à tout moment.

Les mesures de cybersécurité de l’article 21 NIS2 détaillées

Mesure 1 — Politiques d’analyse des risques et de sécurité des systèmes d’information

C’est le fondement de tout le dispositif. Sans analyse des risques, impossible de prioriser, de budgéter ou de justifier vos choix de sécurité.

Ce que NIS2 exige concrètement :

• Une méthodologie formalisée d’analyse des risques (EBIOS Risk Manager, ISO 27005 ou équivalent)
• Une cartographie complète des actifs : systèmes, données, interconnexions, dépendances
• Une politique de sécurité des systèmes d’information (PSSI) documentée, validée par la direction et revue régulièrement
• Un registre des risques tenu à jour, avec plan de traitement et responsables identifiés

Exemple concret : une entreprise de logistique de 200 salariés devra formaliser sa PSSI, identifier ses flux critiques (suivi de colis, gestion d’entrepôt, facturation), évaluer les menaces associées et documenter les mesures de protection correspondantes.

Piège à éviter : une analyse des risques réalisée une seule fois et jamais mise à jour. NIS2 attend un processus vivant, pas un document figé.

Mesure 2 — Gestion des incidents

Détecter, contenir, éradiquer, récupérer, notifier. La gestion des incidents est au cœur des exigences techniques NIS2, avec des délais précis et non négociables.

Ce que NIS2 exige concrètement :

• Des procédures de détection et de réponse aux incidents documentées et testées
• Une capacité de surveillance des systèmes d’information (SOC interne ou externalisé)
• Un processus de classification des incidents par niveau de sévérité
• Le respect des délais de notification auprès de l’ANSSI :
  • 24 heures : alerte préliminaire
  • 72 heures : rapport d’incident détaillé
  • 1 mois : rapport final avec analyse des causes racines
• Un processus de retour d’expérience (post-mortem) après chaque incident significatif

Exemple concret : un hôpital victime d’un ransomware doit être en mesure de déclencher son plan de réponse, isoler les systèmes compromis, maintenir la continuité des soins et notifier l’ANSSI dans les 24 premières heures — même un dimanche.

Mesure 3 — Continuité des activités et gestion de crise

Un incident majeur ne doit pas signifier un arrêt total. NIS2 exige que votre organisation puisse fonctionner en mode dégradé et reprendre ses activités dans des délais maîtrisés.

Ce que NIS2 exige concrètement :

• Un plan de continuité d’activité (PCA) couvrant les scénarios de crise cyber
• Un plan de reprise d’activité (PRA) avec des objectifs de temps de reprise (RTO) et de point de reprise (RPO) définis
• Une stratégie de sauvegarde vérifiée : sauvegardes régulières, stockage sécurisé, tests de restauration
• Un dispositif de gestion de crise : cellule de crise identifiée, procédures de communication interne et externe, chaîne de décision
• Des exercices réguliers : simulations de crise au minimum une fois par an

Piège à éviter : des sauvegardes jamais testées. Une étude récente montre que 30 % des restaurations échouent lors d’un incident réel. Testez vos sauvegardes avant d’en avoir besoin.

Mesure 4 — Sécurité de la chaîne d’approvisionnement

Votre sécurité est aussi forte que le maillon le plus faible de votre chaîne. Les attaques par la supply chain (SolarWinds, Kaseya, Log4Shell) ont démontré l’ampleur du risque. NIS2 en tire les conséquences.

Ce que NIS2 exige concrètement :

• Une évaluation des risques liés aux fournisseurs et prestataires directs
• L’intégration de clauses de sécurité dans les contrats : exigences techniques, droit d’audit, notification d’incidents, conformité NIS2
• Une surveillance continue des fournisseurs critiques : questionnaires de sécurité, certifications, audits périodiques
• La prise en compte de la qualité globale des produits et services TIC utilisés, y compris les pratiques de développement sécurisé
• Un plan de diversification pour les dépendances critiques : éviter la concentration sur un fournisseur unique

Exemple concret : une banque régionale qui externalise son hébergement cloud doit vérifier que son prestataire applique lui-même des mesures conformes à NIS2, dispose d’un PCA testé et peut notifier les incidents dans les délais requis.

Mesure 5 — Sécurité de l’acquisition, du développement et de la maintenance des réseaux et systèmes d’information

La sécurité ne se greffe pas après coup. Elle doit être intégrée dès la conception (security by design) et maintenue tout au long du cycle de vie.

Ce que NIS2 exige concrètement :

• Des processus de développement sécurisé : revue de code, tests de sécurité applicatifs, gestion des dépendances
• Une politique de gestion des vulnérabilités : veille, qualification, correction dans des délais définis
• Des procédures de mise à jour et de patching structurées et tracées
• La sécurisation des environnements de développement et de test
• Des critères de sécurité dans les processus d’achat de solutions logicielles et matérielles

Piège à éviter : ignorer les vulnérabilités connues. En 2025, plus de 60 % des compromissions exploitaient des failles pour lesquelles un correctif existait depuis plus de six mois. Un processus de patching efficace est votre première ligne de défense.

Mesure 6 — Évaluation de l’efficacité des mesures de gestion des risques

Mettre en place des mesures ne suffit pas. Il faut prouver qu’elles fonctionnent. NIS2 inscrit l’évaluation continue dans ses obligations cybersécurité.

Ce que NIS2 exige concrètement :

• Des audits de sécurité réguliers : internes et/ou externes
• Des tests d’intrusion (pentests) sur les systèmes critiques
• Des scans de vulnérabilité planifiés et documentés
• La définition d’indicateurs de performance (KPI) cybersécurité : taux de correction des vulnérabilités, temps moyen de détection, taux de disponibilité
• Un processus d’amélioration continue basé sur les résultats des évaluations

Exemple concret : un opérateur de transport ferroviaire devra planifier des pentests semestriels sur ses systèmes de signalisation connectés, documenter les résultats, corriger les failles identifiées et démontrer l’amélioration de sa posture lors d’un contrôle ANSSI.

Mesure 7 — Pratiques de base en matière de cyberhygiène et formation

La technologie la plus avancée ne protège pas contre un clic sur un lien de phishing. Le facteur humain reste le vecteur d’attaque numéro un. NIS2 l’a compris.

Ce que NIS2 exige concrètement :

• Un programme de sensibilisation à la cybersécurité pour l’ensemble des collaborateurs
• Une formation spécifique obligatoire pour les organes de direction : les dirigeants doivent comprendre les risques, les mesures et leurs responsabilités personnelles
• La mise en œuvre de pratiques de cyberhygiène : mots de passe robustes, authentification multifacteur, verrouillage des postes, gestion des droits d’accès
• Des campagnes régulières de simulation : faux phishing, exercices de social engineering
• Le suivi et la traçabilité des formations : qui a été formé, quand, sur quels sujets

Point crucial : la formation des dirigeants n’est pas optionnelle. C’est une exigence explicite de NIS2. Un PDG qui ne comprend pas les risques cyber ne peut pas valider une stratégie de sécurité. Et en cas de manquement, sa responsabilité personnelle est engagée.

Mesure 8 — Politiques et procédures relatives à l’utilisation de la cryptographie et du chiffrement

Le chiffrement est l’un des piliers fondamentaux de la protection des données. NIS2 en fait une mesure explicite, pas une simple bonne pratique.

Ce que NIS2 exige concrètement :

• Une politique de chiffrement formalisée : quelles données chiffrer, avec quels algorithmes, dans quels contextes
• Le chiffrement des données en transit : communications réseau, échanges avec les partenaires, accès distants (VPN, TLS)
• Le chiffrement des données au repos : bases de données critiques, sauvegardes, supports amovibles
• Une gestion rigoureuse des clés cryptographiques : génération sécurisée, stockage protégé, rotation planifiée, révocation
• L’utilisation d’algorithmes conformes aux recommandations de l’ANSSI et aux standards européens (ENISA)

Piège à éviter : utiliser du chiffrement obsolète. Des algorithmes comme MD5 ou SHA-1 sont considérés comme vulnérables. L’ANSSI publie régulièrement des recommandations sur les algorithmes à privilégier.

Mesure 9 — Sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifs

Qui a accès à quoi, pourquoi et jusqu’à quand ? Cette question simple est au cœur d’une des mesures NIS2 les plus structurantes.

Ce que NIS2 exige concrètement :

• Une politique de contrôle d’accès basée sur le principe du moindre privilège : chaque utilisateur n’accède qu’aux ressources strictement nécessaires à sa fonction
• La gestion des identités et des accès (IAM) : création, modification, révocation des comptes selon un processus formalisé
• L’authentification multifacteur (MFA) pour les accès critiques et les accès distants
• Une gestion des actifs informatiques : inventaire exhaustif, classification par criticité, attribution de responsables
• Des procédures RH intégrées : vérification des antécédents pour les postes sensibles, révocation des accès lors des départs, clause de confidentialité
• La gestion des comptes à privilèges : comptes administrateurs identifiés, surveillés, limités en nombre et en durée

Exemple concret : lorsqu’un administrateur système quitte l’entreprise, ses accès doivent être révoqués le jour même. Un délai de 48 heures pour désactiver un compte admin est une faille exploitable — et une non-conformité démontrable.

Mesure 10 — Utilisation de solutions d’authentification multifacteur ou d’authentification continue

NIS2 consacre l’authentification renforcée comme mesure à part entière. Le mot de passe seul ne suffit plus.

Ce que NIS2 exige concrètement :

• Le déploiement de l’authentification multifacteur (MFA) pour tous les accès critiques : systèmes d’information, consoles d’administration, accès distants, applications métier sensibles
• L’utilisation de communications vocales, vidéo et textuelles sécurisées au sein de l’entité
• La mise en place de systèmes de communication d’urgence sécurisés : moyens de communication alternatifs en cas de compromission des canaux principaux
• L’évaluation de solutions d’authentification continue : analyse comportementale, détection d’anomalies en temps réel, adaptation dynamique du niveau d’authentification

Point pratique : commencez par les accès les plus critiques (comptes administrateurs, VPN, applications financières), puis élargissez progressivement à l’ensemble des collaborateurs. La MFA par application (TOTP) ou par clé physique (FIDO2) offre un niveau de sécurité nettement supérieur au SMS.

La responsabilité des dirigeants : l’obligation transversale qui surplombe les mesures de l’article 21

Ce que la direction doit faire personnellement

L’article 20 de NIS2 impose aux organes de direction un rôle actif, pas un simple tampon sur un document. Concrètement :

• Approuver formellement les mesures de gestion des risques cyber de l’article 21
• Superviser leur mise en œuvre : pas déléguer et oublier, mais suivre et vérifier
• Suivre une formation en cybersécurité adaptée à leurs responsabilités
• Rendre des comptes en cas de manquement : sanctions financières personnelles et interdiction temporaire d’exercer

Le coût de l’ignorance

Les sanctions prévues par NIS2 reflètent la gravité que le législateur attache à ces obligations :

• Entités essentielles : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial
• Entités importantes : jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial

À cela s’ajoutent les coûts indirects : perte de confiance des clients et partenaires, atteinte à la réputation, interruption d’activité, coûts de remédiation en urgence. L’investissement en conformité est toujours inférieur au coût d’un incident non maîtrisé.

Plan d’action : déployer les mesures de l’article 21 NIS2 en pratique

Phase 1 — Diagnostic et priorisation (mois 1 à 3)

• Réaliser un gap analysis mesure par mesure : où en êtes-vous sur chacune des 10 exigences ?
• Cartographier vos actifs critiques et vos dépendances
• Identifier les écarts les plus risqués et les plus urgents
• Obtenir le sponsorship de la direction avec un budget dédié

Phase 2 — Fondations organisationnelles (mois 3 à 6)

• Rédiger ou mettre à jour la PSSI et la politique de gestion des risques
• Formaliser les procédures de gestion des incidents et de notification ANSSI
• Lancer le programme de formation des dirigeants et de sensibilisation des collaborateurs
• Intégrer les clauses de sécurité NIS2 dans les contrats fournisseurs

Phase 3 — Déploiement technique (mois 6 à 12)

• Déployer la MFA sur tous les accès critiques
• Mettre en place ou renforcer le chiffrement des données en transit et au repos
• Structurer la gestion des vulnérabilités et le processus de patching
• Tester et valider les PCA/PRA avec des exercices de simulation
• Déployer les outils de détection et de surveillance (SIEM, EDR, NDR)

Phase 4 — Validation et amélioration continue (mois 12 à 18)

• Réaliser des tests d’intrusion et audits de sécurité
• Organiser un exercice de crise grandeur nature
• Mesurer les KPI cybersécurité et démontrer la progression
• Mettre en place le cycle d’amélioration continue

FAQ — Vos questions sur les mesures de cybersécurité NIS2

Quelles sont les mesures de l’article 21 de cybersécurité obligatoires imposées par NIS2 ?

L’article 21 de la Directive (UE) 2022/2555 définit 10 catégories de mesures NIS2 : analyse des risques et PSSI, gestion des incidents, continuité d’activité, sécurité de la supply chain, sécurité du développement et de la maintenance, évaluation de l’efficacité, cyberhygiène et formation, cryptographie et chiffrement, contrôle d’accès et gestion des actifs, authentification multifacteur et communications sécurisées. Chacune doit être mise en œuvre de manière proportionnée aux risques encourus par l’entité.

Quelle est la différence entre les obligations pour les entités essentielles et importantes ?

Les 10 mesures s’appliquent identiquement aux deux catégories. La différence réside dans le niveau de supervision et les sanctions. Les entités essentielles font l’objet d’un contrôle proactif par l’ANSSI et risquent jusqu’à 10 millions d’euros ou 2 % du CA mondial. Les entités importantes sont soumises à un contrôle réactif (sur signalement ou après incident) et risquent jusqu’à 7 millions d’euros ou 1,4 % du CA mondial. Le principe de proportionnalité s’applique : le niveau d’exigence technique s’adapte à la taille et à la criticité de l’entité.

La formation des dirigeants est-elle vraiment obligatoire dans NIS2 ?

Oui, c’est une obligation explicite. L’article 20 de NIS2 impose aux organes de direction d’approuver les mesures de cybersécurité, de superviser leur mise en œuvre et de suivre une formation suffisante pour comprendre les risques et évaluer les pratiques de gestion. Cette formation n’est pas un simple e-learning de 30 minutes. Elle doit permettre aux dirigeants de prendre des décisions éclairées. En cas de manquement, leur responsabilité personnelle peut être engagée, y compris sous forme d’interdiction temporaire d’exercer.

Comment prouver la conformité aux exigences techniques NIS2 lors d’un contrôle ?

La documentation est votre meilleure alliée. Pour chaque mesure, vous devez pouvoir présenter : la politique formalisée, les procédures opérationnelles, les preuves d’exécution (logs d’audit, rapports de tests, comptes rendus de formation) et les indicateurs de performance. Un registre centralisé de conformité NIS2 facilite grandement les contrôles. Les certifications complémentaires (ISO 27001) constituent des éléments de preuve valorisés mais ne dispensent pas de démontrer la conformité spécifique aux exigences NIS2.

Par quelle mesure NIS2 commencer quand on part de zéro ?

Commencez par la mesure 1 (analyse des risques). Sans cartographie de vos actifs et évaluation de vos risques, toutes les autres mesures seront déployées à l’aveugle. Enchaînez avec la mesure 2 (gestion des incidents) et la mesure 7 (formation et cyberhygiène) : elles couvrent les risques les plus immédiats avec un retour rapide. Puis déployez les mesures techniques (chiffrement, MFA, contrôle d’accès) en fonction des priorités identifiées dans votre analyse de risques. Comptez 12 à 18 mois pour un programme complet.

NIS2 impose-t-elle des solutions techniques spécifiques ?

Non. NIS2 est technologiquement neutre. La directive impose des objectifs de sécurité, pas des outils spécifiques. Vous êtes libre de choisir vos solutions (SIEM, EDR, VPN, outils de chiffrement) tant qu’elles répondent aux objectifs de protection définis. L’ANSSI publie toutefois des recommandations techniques et des référentiels (certifications CSPN, qualification de produits) qui orientent les choix. Le principe de proportionnalité s’applique : les solutions choisies doivent être adaptées à votre niveau de risque et à vos moyens.

Transformez vos obligations NIS2 en avantage stratégique

Les 10 mesures de cybersécurité NIS2 représentent un investissement significatif. Mais elles sont aussi l’occasion de structurer durablement votre posture de sécurité, de rassurer vos clients et partenaires, et de vous différencier sur un marché où la confiance numérique devient un critère de choix.

Chaque mesure non déployée est une vulnérabilité exploitable — par un attaquant comme par un régulateur. Chaque mesure mise en œuvre est un rempart supplémentaire et une preuve de maturité.

Vous voulez savoir exactement où vous en êtes sur chacune des 10 mesures ?

👉 Demandez votre diagnostic NIS2 personnalisé : nos experts analysent votre posture actuelle, identifient les écarts critiques et vous livrent un plan d’action priorisé. Premier échange sans engagement.