PME et NIS2 : se préparer même hors du champ d'application direct

Les PME non directement couvertes par NIS2 doivent se préparer dès maintenant. Découvrez comment la chaîne d'approvisionnement, les réseaux de partenaires et les obligations indirectes affectent votre activité.

Daniel Grigorovich
Daniel Grigorovich
Fondateur · 17 Jun 2026 · 11 min de lecture
NIS2
PME et NIS2 : se préparer même hors du champ d'application direct

Qui devrait lire ceci : petites et moyennes entreprises (PME), dirigeants de PME, responsables de la conformité, équipes opérationnelles, directeurs informatiques.

Un malentendu courant à propos de NIS2 est que seules les grandes entités essentielles et importantes doivent y prêter attention. En réalité, de nombreuses PME se trouvent en dehors du champ d’application direct de la directive mais occupent un terrain intermédiaire précaire : elles ne sont pas assez grandes pour être régulées en tant qu’entités essentielles ou importantes, mais elles sont de plus en plus visées par des cyberattaques et intégrées dans les chaînes d’approvisionnement d’entités beaucoup plus grandes soumises à la conformité NIS2. Cet article explique le paysage des PME au regard de NIS2 et pourquoi la préparation est importante même pour les entreprises non directement régulées.

La directive NIS2 définit les «entités essentielles» et les «entités importantes» en fonction du secteur, de la taille et de la criticité. Les seuils sont élevés. Un fabricant d’équipements réseau peut être une entité importante en raison de la criticité de ses produits, quelle que soit sa taille. Une grande compagnie énergétique sera toujours essentielle. Mais la plupart des PME, qui constituent la grande majorité des entreprises européennes, se situent en dehors de ces catégories. Elles emploient moins de 250 personnes ou réalisent un chiffre d’affaires annuel inférieur à 50 millions d’euros. Elles opèrent dans des secteurs non explicitement couverts par NIS2. Cela donne l’apparence d’un laissez-passer.

Cette apparence est trompeuse. La directive NIS2, par l’intermédiaire de l’article 7, paragraphe 2, point i), et du considérant 56, établit un impératif politique national visant à soutenir la préparation des PME en matière de cybersécurité. Plus important encore, NIS2 crée des obligations en cascade qui atteignent les chaînes d’approvisionnement des PME. Toute PME qui fournit des produits, des services ou des données à une entité essentielle ou importante devient pertinente pour la gestion des risques de cybersécurité de cette entité plus grande. Cet article explore ces effets de second ordre et explique pourquoi les PME devraient considérer NIS2 comme un moteur commercial, même en l’absence d’obligation réglementaire directe.

Le défi des PME au regard de NIS2

Le considérant 56 identifie les défis spécifiques de cybersécurité auxquels font face les PME : «une faible sensibilisation à la cybersécurité, un manque de sécurité informatique à distance, le coût élevé des solutions de cybersécurité et un niveau de menace accru, comme les rançongiciels, pour lesquels elles devraient recevoir des orientations et une assistance». Ce ne sont pas des problèmes abstraits. Ils décrivent l’environnement opérationnel de la plupart des PME européennes.

La sensibilisation à la cybersécurité dans de nombreuses PME est naissante. Le dirigeant sait que la cybersécurité compte, peut-être vaguement, mais l’organisation n’a pas de politique de sécurité formelle ni de plan de réponse aux incidents. La sécurité informatique à distance signifie que lorsque l’unique informaticien est en vacances, la surveillance de la sécurité s’arrête. Les coûts élevés sont une réalité : une refonte complète de la sécurité peut consommer 5 à 10 % des budgets informatiques annuels, un investissement significatif pour des entreprises aux marges serrées. Les rançongiciels constituent une menace concrète et présente. Entre 2020 et 2023, les taux d’attaque contre les PME ont explosé ; de nombreuses PME reçoivent désormais des demandes de rançon malgré des actifs ou une propriété intellectuelle limités qui semblent peu intéressants à extorquer. Les attaquants utilisent des stratégies de volume : infecter des milliers de PME, voir lesquelles paient.

Le considérant 56 met également en évidence un deuxième facteur crucial : «Les petites et moyennes entreprises sont de plus en plus la cible d’attaques contre la chaîne d’approvisionnement en raison de leurs mesures de gestion des risques de cybersécurité et de gestion des attaques moins rigoureuses, et du fait qu’elles disposent de ressources de sécurité limitées. De telles attaques contre la chaîne d’approvisionnement ont non seulement un impact sur les petites et moyennes entreprises et leurs opérations isolément, mais peuvent également avoir un effet en cascade sur de plus grandes attaques contre les entités auxquelles elles fournissent des biens.»

C’est l’idée clé. Une PME qui fournit des services d’informatique en nuage, des mises à jour logicielles ou du traitement de données à une banque, une compagnie énergétique ou un hôpital devient partie intégrante de la surface d’attaque de cette entité plus grande. Si la PME est compromise, l’attaquant obtient un point d’appui à l’intérieur de la chaîne d’approvisionnement de confiance de l’entité plus grande. À partir de là, l’attaquant peut pivoter latéralement, exfiltrer des données ou mener un sabotage. L’entité plus grande, en vertu de NIS2, est désormais tenue d’évaluer et de gérer les risques liés à la chaîne d’approvisionnement. La PME, même si elle n’est pas régulée, devient une exigence de conformité pour les autres.

Les PME dans la gestion des risques de la chaîne d’approvisionnement

L’article 21 de la directive NIS2 exige que les entités essentielles et importantes «prennent des mesures appropriées pour évaluer et atténuer les risques liés à la chaîne d’approvisionnement». Lorsqu’une entité essentielle ou importante examine ses fournisseurs, elle trouvera presque certainement des PME dans sa chaîne d’approvisionnement, en particulier dans les domaines du logiciel, de la fabrication de matériel, des services managés ou du traitement de données. Ces entités seront confrontées à des questions : Quelle est votre posture de cybersécurité ? Pouvez-vous démontrer que vous appliquez des pratiques de sécurité conformes aux standards de l’industrie ? Quelle est votre capacité de réponse aux incidents ?

L’entité qui pose ces questions n’essaie pas de surcharger les PME par malveillance. Elle essaie de satisfaire ses propres obligations NIS2. Elle doit documenter qu’elle a évalué les risques liés à la chaîne d’approvisionnement et pris des mesures proportionnées pour les atténuer. L’une des mesures d’atténuation des risques les plus simples consiste à s’assurer que les fournisseurs respectent des normes de sécurité de base. Pour la PME qui se trouve à l’autre extrémité, cela signifie que maintenir une préparation NIS2 n’est plus facultatif ; c’est une condition d’affaires.

À quoi ressemble la préparation NIS2 pour une PME ? À un niveau de base, elle inclut les mesures décrites à l’article 21 et précisées dans le cadre de la directive. Ce ne sont pas des exigences exotiques. Elles comprennent :

  • Gestion des actifs : connaître le matériel et les logiciels que vous possédez et utilisez.
  • Contrôle d’accès : veiller à ce que seules les personnes autorisées puissent accéder aux systèmes et aux données, avec authentification multifactorielle pour les accès distants.
  • Chiffrement : utiliser le chiffrement pour les données sensibles en transit et au repos.
  • Détection et réponse aux incidents : disposer de processus pour repérer quand quelque chose ne va pas et de procédures pour y répondre.
  • Sauvegarde et restauration : sauvegarder régulièrement les données critiques sur un système séparé afin de pouvoir récupérer d’un rançongiciel ou d’une autre perte de données.
  • Gestion des vulnérabilités : maintenir les logiciels et systèmes à jour, rechercher les failles de sécurité connues et corriger rapidement les problèmes critiques.
  • Formation du personnel : veiller à ce que les employés comprennent l’hameçonnage, l’ingénierie sociale et leur rôle dans la sécurité.

Ces pratiques ne sont pas nouvelles. Elles reflètent des décennies de bonnes pratiques de sécurité. Mais de nombreuses PME les ont mises en œuvre de manière incohérente ou pas du tout. Une PME qui souhaite rester fournisseur d’entités régulées doit démontrer que ces pratiques sont en place et fonctionnent.

Soutien national pour les PME

Reconnaissant cette charge, le considérant 56 appelle les États membres à fournir un soutien : «Les États membres devraient, par l’intermédiaire de leurs stratégies nationales de cybersécurité, aider les petites et moyennes entreprises à relever les défis auxquels elles sont confrontées dans leurs chaînes d’approvisionnement. Les États membres devraient disposer d’un point de contact pour les petites et moyennes entreprises au niveau national ou régional, qui fournit des orientations et une assistance aux petites et moyennes entreprises ou qui les oriente vers les organismes appropriés pour des orientations et une assistance concernant les questions liées à la cybersécurité. Les États membres sont également encouragés à offrir des services tels que la configuration de sites web et la journalisation, qui permettent aux microentreprises et aux petites entreprises qui ne disposent pas de ces capacités d’en bénéficier.»

C’est un engagement significatif. Au moment où la directive NIS2 sera pleinement transposée dans les États membres (entre octobre 2024 et octobre 2027), chaque État membre devrait avoir établi un point de contact (une personne, un bureau ou un site web) où les PME peuvent demander des conseils en matière de cybersécurité. Certains États membres l’ont déjà fait ; d’autres construisent leur infrastructure actuellement. Ces ressources ne sont pas obligatoires pour les PME, mais elles représentent un signal du gouvernement indiquant que la cybersécurité des PME est une priorité politique.

De plus, certains États membres financent ou subventionnent des services de cybersécurité pour les PME. Les programmes vont des audits de sécurité subventionnés aux outils gratuits d’analyse des vulnérabilités, en passant par des subventions à la formation. Les PME devraient explorer ce que leur État membre propose. Ces programmes existent précisément parce que les gouvernements reconnaissent que les PME font face à des obstacles que les grandes entités ne rencontrent pas.

Les rançongiciels : le catalyseur de l’action des PME

Le considérant 56 met l’accent sur les rançongiciels car ils constituent statistiquement la plus grande menace à laquelle font face la plupart des PME. Les rançongiciels ne sont pas sophistiqués. Ils ne nécessitent pas de capacités de menace persistante avancée ni de financement étatique. C’est une activité de volume. Un attaquant envoie des courriels d’hameçonnage à des milliers d’organisations. Certains courriels sont ouverts. Certains utilisateurs cliquent sur des liens ou téléchargent des pièces jointes. Le logiciel malveillant s’installe et se propage. L’attaquant chiffre les fichiers de la victime et exige un paiement.

Pourquoi les PME sont-elles touchées ? Souvent par accident, parce qu’elles figurent simplement sur la liste des organisations trouvées par le scanner de courriels de l’attaquant. Mais certaines attaques sont délibérées, ciblant des PME dans des secteurs spécifiques connus pour détenir des données précieuses (santé, finance, services juridiques). Les demandes de rançon sont souvent modestes, de l’ordre de 5 000 à 50 000 euros, suffisamment basses pour que certaines PME paient plutôt que de consacrer du temps et de l’argent à une restauration à partir de sauvegardes.

NIS2 n’élimine pas le risque lié aux rançongiciels. Mais cette directive crée un cadre dans lequel les PME peuvent démontrer qu’elles ont pris des précautions raisonnables. Des sauvegardes régulières signifient que vous pouvez récupérer sans payer. Les contrôles d’accès rendent la propagation plus difficile pour l’attaquant. La détection des incidents permet de repérer les infections plus tôt. La formation du personnel signifie que moins de courriels d’hameçonnage exploitent avec succès les utilisateurs. Ensemble, ces mesures réduisent à la fois la probabilité et l’impact des rançongiciels.

Préparer votre PME à NIS2

Si vous êtes dirigeant ou responsable d’une PME, la préparation à NIS2 n’est pas un projet ponctuel ; c’est une évolution de votre pratique de cybersécurité. Commencez par les bases :

Réalisez une auto-évaluation. Avez-vous une politique de cybersécurité ? Couvre-t-elle le contrôle d’accès, les pratiques en matière de mots de passe, la réponse aux incidents ? Les employés savent-ils qu’elle existe ? De nombreuses PME n’ont pas de politique formelle ; en rédiger une est gratuit et étonnamment utile. Cela vous oblige à articuler ce qui, selon vous, devrait se passer.

Identifiez vos actifs critiques. Quels systèmes, données ou infrastructures causeraient une perturbation opérationnelle s’ils étaient compromis ou détruits ? Ce sont vos priorités de protection. Vous ne pouvez pas tout protéger de manière égale, alors concentrez-vous sur ce qui compte le plus.

Recherchez les vulnérabilités et appliquez les correctifs. De nombreuses PME n’ont pas de processus de gestion des correctifs. Définissez une politique : mises à jour de sécurité critiques sous 48 heures, autres mises à jour sous 30 jours. Utilisez l’application automatisée des correctifs lorsque c’est possible. De nombreuses attaques réussissent parce que les attaquants exploitent des correctifs qui existent depuis des mois ou des années.

Activez l’authentification multifactorielle pour les accès distants. Si certains de vos employés accèdent aux systèmes à distance (de plus en plus fréquent après la pandémie), l’authentification multifactorielle n’est pas négociable. Elle bloque la grande majorité des attaques fondées sur l’hameçonnage.

Sauvegardez vos données. Sauvegardes automatisées, hors site, régulières. Testez votre processus de restauration au moins une fois par an. Le rançongiciel devient un inconvénient mineur si vous pouvez restaurer à partir de sauvegardes en quelques heures.

Formez votre personnel. La cybersécurité n’est pas seulement un problème informatique. C’est une responsabilité collective. Apprenez à vos employés à repérer l’hameçonnage, à utiliser les mots de passe de manière sécurisée, à signaler les activités suspectes. De nombreuses organisations constatent que même une formation de base réduit les incidents de sécurité de 30 à 50 %.

Documentez vos pratiques. Lorsqu’un client plus important demande «Quelle est votre posture de cybersécurité ?», vous devriez pouvoir fournir un résumé d’une page. C’est beaucoup plus facile si vous avez documenté ce que vous faites.

Si vous disposez de ressources, envisagez une évaluation de sécurité payante par un consultant de confiance. Même une mission d’une demi-journée peut identifier vos plus grands risques. Si votre budget est extrêmement serré, explorez les ressources gratuites ou les évaluations subventionnées proposées par votre État membre.

Principaux points à retenir

  • Les PME ne sont pas directement soumises aux exigences NIS2, mais les obligations relatives à la chaîne d’approvisionnement signifient que de nombreuses PME doivent se préparer malgré tout.
  • Les entités essentielles et importantes doivent évaluer et gérer les risques liés à la chaîne d’approvisionnement, ce qui crée une pression pratique sur les fournisseurs PME pour démontrer leur préparation en cybersécurité.
  • Les défis spécifiques aux PME, à savoir une faible sensibilisation, des ressources limitées, le coût élevé des solutions et le ciblage par les rançongiciels, sont reconnus dans la politique NIS2 et devraient être abordés par une combinaison d’auto-assistance, d’apprentissage par les pairs et de soutien gouvernemental.
  • Les États membres sont tenus d’établir des points de contact et de fournir des orientations aux PME en matière de cybersécurité, reconnaissant l’écart de ressources entre les PME et les grandes entités.
  • La préparation pratique des PME implique une hygiène de sécurité de base : gestion des actifs, application des correctifs, contrôle d’accès, chiffrement, réponse aux incidents, sauvegardes et formation du personnel.
Daniel Grigorovich

Daniel Grigorovich · Fondateur

Je pense qu'aucune entreprise ne devrait avoir à subir les « listes de contrôle de conformité » ni à se débattre avec des textes réglementaires obscurs. Bien que je reste attaché au principe selon lequel tous les logiciels doivent être fiables et sécurisés, je souhaite offrir aux entreprises un moyen de surmonter les difficultés rencontrées lors de la mise en œuvre de ces exigences.