Démo

Qui est concerné par la directive NI2S , comment le savoir et quand lancer un audit de conformité ?

Photo de profil de l'auteur clement
05/12/2025
10 min de lecture
Conformité NI2S

Sommaire

Besoin d’un audit de cybersécurité ?

Vous voulez savoir où en est vraiment la sécurité de votre système d’information ?

Planifier un Pentest
En 2025, la NIS2 s’applique surtout aux entités essentielles et importantes : entreprises moyennes et grandes ainsi que administrations opérant dans 18 secteurs critiques (énergie, santé, transport, finance, infrastructures numériques, etc.), mais aussi certains prestataires et fournisseurs clés de ces acteurs, lorsqu’ils sont indispensables à la continuité de leurs services.

La directive NIS2 redessine le paysage de la cybersécurité en Europe. Elle ne vise plus seulement quelques opérateurs d’importance vitale, mais des milliers d’organisations : grandes entreprises, administrations, acteurs critiques et une partie de leur chaîne d’approvisionnement. Cet article vous aide à comprendre qui est concerné par NIS2, ce qu’est la directive et combien peut coûter un audit de conformité NIS2.

Qu’est-ce que la directive NIS2 ?

Une nouvelle colonne vertébrale de la cybersécurité européenne

La directive NIS2 (Network and Information Security 2) est le nouveau cadre européen qui impose un niveau de cybersécurité renforcé à un large éventail d’organisations. Elle remplace et étend la première directive NIS, avec deux objectifs principaux :

  • Imposer des mesures de gestion des risques cyber (techniques et organisationnelles) à des acteurs jugés critiques pour l’économie et la société.
  • Harmoniser les obligations de cybersécurité et de notification d’incident dans l’ensemble des États membres.

Concrètement, NIS2 exige une gouvernance cyber claire, une politique de sécurité des systèmes d’information, des mesures de protection techniques (contrôle d’accès, chiffrement, journalisation, segmentation, sauvegardes…), un processus de gestion des vulnérabilités et un dispositif de détection et de réponse aux incidents.

Des sanctions significatives en cas de non-conformité

Pour les entités qui entrent dans le périmètre, le non-respect de NIS2 peut entraîner des amendes administratives élevées pouvant atteindre plusieurs millions d’euros ou un pourcentage du chiffre d’affaires annuel, ainsi qu’une responsabilité accrue des instances dirigeantes.

Qui est concerné par NIS2 ?

Deux grandes catégories : entités essentielles et entités importantes

NIS2 distingue deux profils d’organisations :

  • Les entités essentielles (EE), qui exercent une activité jugée de haute criticité pour le fonctionnement de la société (par exemple énergie ou santé).
  • Les entités importantes (EI), qui opèrent dans des secteurs critiques ou fournissent des services numériques majeurs, avec une supervision un peu moins lourde mais des obligations de cybersécurité similaires.

La directive s’applique en priorité aux entreprises de taille moyenne et grande au sens européen opérant dans ces secteurs, ainsi qu’aux administrations et autorités publiques concernées.

Les secteurs couverts par NIS2

La directive identifie 18 secteurs d’activité, répartis entre secteurs de haute criticité et secteurs critiques, parmi lesquels :

  • Secteurs de haute criticité : énergie, transport, banque, infrastructures des marchés financiers, santé, eau potable et eaux usées, infrastructures numériques, gestion de services TIC B2B, administrations publiques, spatial.
  • Autres secteurs critiques : services postaux et de messagerie, gestion des déchets, industrie chimique, production et transformation agroalimentaire, industrie manufacturière critique, grands fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), recherche.

En France, cela représente des milliers d’entités, allant des collectivités locales aux grands groupes, en passant par de nombreuses PME stratégiques. Une partie des prestataires et fournisseurs de ces acteurs se retrouve aussi indirectement dans le champ de NIS2.

Votre organisation est-elle concernée par NIS2 ? Les 3 questions clés

Pour répondre à la question « Qui est concerné par NIS2 ? », on peut partir de trois filtres simples :

  1. Où intervenez-vous ?
    Votre organisation fournit-elle des services ou activités au sein de l’Union européenne ? Si oui, vous êtes potentiellement dans le champ de la directive.
  2. Dans quel secteur opérez-vous ?
    Votre activité correspond-elle à l’un des services listés dans les secteurs de haute criticité ou les secteurs critiques de NIS2 ? Même une activité perçue comme « support » (hébergement, infogérance, SaaS B2B…) peut vous faire entrer dans le périmètre.
  3. Quelle est votre taille ?
    La directive cible surtout les entités de taille moyenne ou grande, typiquement à partir d’une cinquantaine de salariés et d’un certain niveau de chiffre d’affaires ou de bilan, avec des nuances selon les pays et les secteurs.

En pratique, une entreprise ou administration française est souvent concernée par NIS2 si elle :

  • Opère dans un des 18 secteurs identifiés.
  • Atteint les seuils de taille d’une entreprise moyenne ou grande, ou est désignée explicitement par les autorités nationales.
  • Ou bien fournit un service critique dans la chaîne d’approvisionnement d’un acteur déjà soumis à NIS2 (par exemple un prestataire IT clé ou un fournisseur de services numériques).

Pour les organisations à la frontière du périmètre, un pré-diagnostic de conformité NIS2 permet de trancher rapidement et de clarifier votre statut.

Quelles obligations pour les entités concernées par NIS2 ?

Une fois dans le périmètre, NIS2 impose un socle commun de mesures de cybersécurité, parmi lesquelles :

  • Gouvernance cyber : implication formelle de la direction, validation des mesures de gestion des risques, suivi régulier des indicateurs.
  • Politique de sécurité des systèmes d’information couvrant la protection, la détection et la réponse aux incidents.
  • Gestion des risques cyber : cartographie des actifs, analyse de risques, plan de traitement, revues périodiques.
  • Protection de la surface d’attaque : contrôle d’accès, gestion des identités, durcissement des configurations, chiffrement, segmentation réseau.
  • Gestion des vulnérabilités : processus de détection, priorisation et remédiation, appuyé sur les CVE et les bulletins des éditeurs.
  • Supervision et détection : journalisation, corrélation d’événements, SOC ou service de détection managé, procédures d’alerte.
  • Réponse à incident et continuité : plan de réponse, exercices de crise, plan de continuité d’activité, sauvegardes robustes et testées.
  • Notification des incidents significatifs aux autorités compétentes dans des délais encadrés.
  • Sécurité de la chaîne d’approvisionnement : exigences minimales et clauses de cybersécurité vis-à-vis des prestataires critiques.

Pour de nombreuses organisations, atteindre ce niveau implique de structurer ou renforcer leur programme cybersécurité, de formaliser une PSSI et d’outiller la gestion des vulnérabilités et la supervision de la surface d’attaque.

Audit de conformité NIS2 : à quoi sert-il ?

Objectif : transformer la réglementation en plan d’actions concret

Un audit de conformité NIS2 a pour but de vérifier où vous en êtes par rapport aux exigences de la directive et de traduire celles-ci en plan d’actions cyber réaliste. Il se situe à l’intersection de la gouvernance SSI, de l’analyse de risques et du contrôle des mesures techniques de sécurité.

Typiquement, un audit NIS2 couvre :

  • La structure de gouvernance cyber (rôles, responsabilités, instances).
  • Les politiques et procédures (gestion des accès, incidents, sauvegardes, tiers, etc.).
  • Les mesures techniques (pare-feu, segmentation, EDR, chiffrement, durcissement, supervision…).
  • Les pratiques opérationnelles (patch management, revue des droits, gestion des vulnérabilités, tests d’intrusion).
  • La préparation à la gestion de crise cyber (plans, exercices, communication).
  • La capacité à démontrer la conformité (preuves, journaux, rapports, tableaux de bord).

Le livrable attendu est généralement un rapport de conformité NIS2 assorti d’un plan d’actions priorisé, exploitable par les équipes IT, sécurité et métier.

Audit NIS2 et tests d’intrusion

La directive met l’accent sur la gestion des vulnérabilités et la capacité à détecter et contenir des attaques réelles. C’est là que les tests d’intrusion et campagnes de pentest viennent compléter l’audit organisationnel :

  • Ils mesurent l’exploitabilité réelle de vos failles.
  • Ils fournissent des preuves techniques détaillées pour justifier les priorités de remédiation.
  • Répétés dans le temps, ils démontrent des tests réguliers de la posture de sécurité, un point clé pour NIS2.

Pour une organisation entrant dans le périmètre, le combo audit de conformité NIS2 + pentests réguliers devient rapidement un standard.

Combien coûte un audit NIS2 ?

Les paramètres qui font varier le prix

Il n’existe pas de tarif unique pour un audit NIS2. Le coût dépend de plusieurs facteurs :

  • Taille de l’organisation (nombre de sites, d’utilisateurs, de systèmes critiques).
  • Périmètre réglementaire (un seul service NIS2 ou plusieurs secteurs / filiales concernés).
  • Niveau de maturité cyber déjà atteint (existence d’une PSSI, d’un SMSI type ISO 27001, d’outils de supervision, etc.).
  • Approche choisie : pré-diagnostic rapide, audit complet NIS2, audit combiné NIS2 + ISO 27001 + DORA, intégration de pentests dans la démarche.
  • Mode d’intervention : 100 % à distance, sur site, ou mixte.

Ordres de grandeur réalistes

Sur le marché, on observe généralement :

  • Des sessions de diagnostic NIS2 pour PME (atelier court avec restitution synthétique) autour de quelques centaines d’euros pour un premier état des lieux.
  • Des audits de conformité réglementaire menés sur plusieurs jours homme, entre quelques milliers et quelques dizaines de milliers d’euros, selon la taille de l’entreprise et la profondeur du diagnostic.
  • Lorsque l’audit intègre des tests d’intrusion avancés, des revues techniques approfondies et plusieurs entités juridiques, le budget peut dépasser les 20 000 €.

En pratique, un audit NIS2 pour une PME ou un ETI s’étale souvent entre 5 et 10 jours homme, auxquels peuvent s’ajouter des prestations complémentaires (formation des dirigeants, exercices de crise, pentests ciblés).

L’enjeu n’est pas seulement de « cocher les cases », mais de réduire réellement le risque cyber et d’éviter le coût d’une cyberattaque majeure, souvent bien supérieur au budget de mise en conformité.

Par où commencer pour se préparer à NIS2 ?

Si vous vous demandez encore « Qui est concerné par NIS2 ? » ou « Combien coûte un audit NIS2 ? », c’est sans doute le bon moment pour structurer votre démarche. Un chemin typique ressemble à ceci :

  • Étape 1 – Qualification du périmètre : vérifier si vos activités, votre taille et votre rôle dans la chaîne de valeur vous placent dans le champ de la directive.
  • Étape 2 – Pré-diagnostic de conformité NIS2 : évaluer rapidement vos forces et vos points de vulnérabilité sur les exigences clés (gouvernance, gestion des risques, protection, détection, réponse).
  • Étape 3 – Audit de conformité NIS2 : formaliser un gap analysis précis et un plan d’actions priorisé.
  • Étape 4 – Pentests et tests réguliers : valider techniquement votre posture de sécurité, documenter la gestion des vulnérabilités et disposer de preuves concrètes pour vos audits.
  • Étape 5 – Amélioration continue : suivi des indicateurs, mise à jour des mesures de sécurité, exercices de crise, revue périodique de conformité.

La directive NIS2 est avant tout une opportunité de professionnaliser votre cybersécurité, de renforcer la confiance de vos clients, de vos partenaires et de vos autorités de tutelle, et de réduire durablement votre surface d’attaque. Un audit de conformité NIS2 bien mené, complété par des tests d’intrusion réguliers, est l’un des leviers les plus efficaces pour y parvenir.

Partager cet article

Pour aller plus loin

Parcourez nos autres articles pour mieux comprendre les enjeux, méthodes et bonnes pratiques de tests d’intrusion.

Cybersécurité
Photo de profil de l'auteur clement
01/12/2025
,
10 min

Quel est le bon tarif pour un pentest en 2025 ?

Un tarif de pentest sérieux repose presque toujours sur un nombre de jours d’intervention multiplié par un taux journalier. En France et en Europe, un pentest manuel mené par des profils confirmés se facture généralement autour de 800 à 1 800 € par jour selon l’expérience et la spécialisation.
Démo