Conformité NIS 2 en France

La conformité NIS 2 en France s’appuiera principalement sur la future loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, dont le vote est attendu en juillet 2026, ainsi que sur le Référentiel Cyber France (ReCyF) publié par l’ANSSI.

 

Attendre n’est pas la bonne stratégie ! Vous trouverez dans ce guide de conformité l’ensemble des actions à engager, les référentiels et documents structurants à mobiliser, ainsi qu’un focus sur l’articulation entre sécurité physique et sécurité logique au cœur des exigences portées par la NIS 2.

SOMMAIRE

1.  Identification et déclaration des entités en France
2. Référentiels de conformité NIS 2 en France
3. Comprendre l’importance de la sécurité physique
4. Se mettre en conformité NIS 2
   1. Travaux préliminaires
   2. Analyse d’écart
   3. Audit de conformité NIS 2
   4. Maintient de la conformité NIS 2
5. Conclusion
6. Liens utiles

1. Identifier et déclarer une entité NIS 2 en France

La première étape est de faire un test en ligne afin de déterminer si vous êtes une entité importante (EI) ou essentielle (EE). Ce test va vérifier :

• La nature de votre entité
• La taille de votre entité (nombre d’employés et chiffre d’affaires)
• Vos secteurs et sous-secteurs d’activité

Il ne prend que quelques minutes et vous apportera les informations nécessaires pour initier votre démarche de mise en conformité.

La seconde étape, si vous êtes concerné par la NIS 2, est de vous préenregistrer sur le Portail Club SSI. Ceci permet d’anticiper l’obligation qui s’appliquera après le vote de la loi de transposition (articles 3 et 27 de la NIS 2). Cet enregistrement permet d’accéder aux services numériques proposés par le CERT-FR (centre français de réponse à incidents cyber), qui pourra vous accompagner en cas d’attaque. Voici les informations qui vous seront demandées :

• Adresse de votre siège social en France et, le cas échéant, numéro SIREN ;
• Secteur(s), sous-secteur(s) et type(s) de votre entité au sens des annexes I et II de la directive NIS 2 ;
• Nombre d’employés, chiffre d’affaires et bilan financier ;
• États membres dans lesquels vous réalisez vos activités (fabriquez, fournissez vos produits ou services) ;
• Coordonnées d’une personne de contact pour le traitement d’incidents de cybersécurité et, éventuellement, de rôles additionnels ;
• Raison sociale et adresses de vos établissements dans l’UE ;
• Adresses ou plages d’adresses IPv4 / IPv6 et, de manière facultative, les noms de domaine de plus haut niveau et numéros de systèmes autonomes (AS).

2. Découvrir les référentiels de conformité NIS 2 en France

L’ANSSI a publié le ReCyF (Référentiel Cyber France) qui détaille 20 objectifs de sécurité. C’est le référentiel principal pour la France en matière de conformité NIS 2. Cependant, il est accompagné d’un mapping permettant de faire des analyses d’écart avec d’autres textes et certifications comme l’ISO 27001. Enfin, les entités françaises pourront se référer à des guides de l’ANSSI ainsi qu’aux textes de référence recommandés par l’ENISA.

2.1 Référentiels internationaux et européens

• ISO/IEC 27001 (lire notre guide)
• ISO/IEC 27002 (lire notre guide)
• ISO/IEC 27005
• EBIOS Risk Manager
• Annexe au règlement d’exécution 2024/2690

Ces référentiels couvrent plusieurs objectifs des exigences NIS 2, mais une analyse d’écart est nécessaire pour répondre à l’ensemble des exigences françaises spécifiées dans le ReCyF.

2.2 Référentiels spécifiques et guides français

ReCyF

Le référentiel ReCyF (lire notre analyse ici) détaille 20 objectifs de sécurité. Au-delà de leur lecture individuelle, ces objectifs s’inscrivent dans une logique d’ensemble structurée autour de 4 piliers complémentaires : la gouvernance, la protection, la défense et la résilience.

La logique de ReCyF est claire : partir de la connaissance et du pilotage du système d’information, mettre en place les mesures de protection adaptées, organiser les capacités de détection et de réaction, puis assurer la continuité, la gestion de crise et l’entraînement. Cette logique tient bien évidemment compte des dimensions physiques et cyber de la sécurité. Les 5 derniers objectifs (16 à 20) sont uniquement applicables aux entités essentielles (EE). Enfin, un outil de mapping, qui sera peu à peu enrichi, permet par ailleurs de réaliser une analyse d’écart avec d’autres référentiels, notamment l’ISO 27001.

Méthode EBIOS Risk Manager

La méthode EBIOS Risk Manager (outil proposé par l’ANSSI) permet d’identifier et de comprendre les risques numériques d’une entité et d’y répondre. Dans le cadre de la conformité NIS 2 et du référentiel ReCyF, cette méthode permet d’identifier les mesures de sécurité permettant de contrer chaque scénario d’attaque. La méthode EBIOS Risk Manager se construit en 5 étapes (ou ateliers) :

1. Cadrage et socle de sécurité : définition du cadre de l’étude ainsi que de son périmètre métier et technique
2. Sources de risque : identification des sources de risque (SR) et des objectifs visés (OV)
3. Scénarios stratégiques : définition d’une vision complète de l’écosystème, identification des chemins d’attaque potentiels
4. Scénarios opérationnels : schématisation des modes opératoires potentiels permettant de réaliser les scénarios stratégiques
5. Traitement du risque : synthèse des scénarios de risque et définition des mesures de sécurité au travers d’un plan de traitement du risque

Découvrir la méthode EBIOS Risk Manager ici.

Sachez qu’il est possible de se former à cette méthode via le Club EBIOS.

Guide de recommandations sur la sécurisation des systèmes de contrôle d’accès physique et de vidéoprotection

Ce guide de recommandations de l’ANSSI accompagne le choix, la conception et le déploiement de solutions de confiance en matière de contrôle d’accès physique et de vidéoprotection. Il constitue un support particulièrement utile pour les organisations qui souhaitent structurer leur démarche de conformité NIS 2 sur les volets mêlant sécurité physique et cybersécurité. Le guide s’adresse aussi bien aux responsables de projet qu’aux acheteurs, installateurs, intégrateurs et exploitants.

Il propose 104 recommandations, pouvant être à l’état de l’art (R), alternatives (R-) ou renforcées (R+), et couvre notamment l’architecture, l’administration, la maintenance, la journalisation et les principes cryptographiques appliqués aux systèmes concernés. Nous vous recommandons la lecture de ses premiers chapitres, qui permettent d’acquérir une vision claire des solutions existantes, des choix d’architecture et des étapes préalables à tout déploiement.

Il faut garder à l’esprit que ces systèmes sont le dernier rempart avant un accès direct au système d’informations et sont donc centraux dans la mise en conformité NIS 2.

Référentiels et certification APSAD

La certification APSAD permet d’attester de la qualité d’un système. Il existe de nombreux référentiels concernant aussi bien la sécurité physique que la cybersécurité. Cette certification s’adresse aussi bien aux solutions qu’aux services. Voici quelques exemples de référentiels pouvant être utilisés dans votre démarche de conformité NIS 2.

• Référentiel APSAD D32 : Cybersécurité – Document technique pour l’installation de systèmes de sécurité ou de sûreté sur un réseau informatique
• Référentiel APSAD D83 : Contrôle d’accès – Document technique pour la conception et l’installation
• Référentiel APSAD R31 : Télésurveillance
• Référentiel APSAD R81 : Détection d’intrusion
• Référentiel APSAD R82 : Vidéosurveillance – Règle d’installation

3. Comprendre l’importance de la sécurité physique

Comment lier sécurité physique et cybersécurité ?

Le référentiel de conformité ReCyF illustre une fois de plus la nécessaire convergence entre sécurité physique et cybersécurité, répondant parfaitement aux directives NIS 2 et REC qui imposent la mise en place d’une protection de bout en bout adaptée, cohérente et pilotée. Voici plusieurs exemples d’actions à mettre en place ou de solutions à déployer :

• Gouvernance de la cybersécurité et de la sécurité physique
• Ressources humaines et gestion des accès physiques et numériques
• Contrôle des accès et gestion des droits
• Cloisonnement physique des systèmes d’information
• Gestion des menaces hybrides

Gardez toujours à l’esprit que ces obligations vont évoluer et se durcir dans le temps. Aujourd’hui, seules les entités essentielles doivent répondre à l’ensemble des 20 objectifs du ReCyF. Cela représente en 152 points de sécurité. Dans le but de répondre à l’évolution des menaces, les entités importantes devront peu à peu se conformer à ces points. Il est donc primordial d’anticiper ces évolutions, de choisir des solutions pouvant s’adapter à vos besoins ainsi qu’à l’évolution des menaces et des réglementations.

Enfin, nous vous recommandons de prendre le recul nécessaire pour identifier les solutions qui permettent d’atteindre plusieurs objectifs en même temps afin de simplifier la gestion de votre sécurité et de maîtriser vos coûts de fonctionnement et de maintenance.

Choisir des solutions qui permettent d’anticiper

La sécurité n’est pas un sujet figé. Vos besoins vont évoluer, de nouvelles menaces apparaîtront, et le cadre réglementaire se durcira. La bonne posture est donc d’identifier des solutions :

• disposant d’un niveau de sécurité reconnu et adapté
• évolutives pour s’adapter à vous, pas l’inverse
• capables d’apporter une preuve de conformité sur plusieurs objectifs.

En effet, empiler des solutions en considérant les objectifs un par un est toujours contre-productif : accroissement de la surface d’attaque, coûts de maintenance élevés, complexité de gestion, multiplication des dépendances technologiques, la liste est longue !

Prenons un exemple : imaginons que vous soyez une entité importante en 2026. En identifiant une solution de contrôle d’accès à l’état de l’art (hardware, software, système de gestion), vous apportez des preuves de conformité sur tout ou partie des objectifs suivants du ReCyF :

• Objectif 2B.5 : preuve de mise en œuvre d’une politique de sécurité en matière de contrôle d’accès
• Objectif 4.4 : preuve de capacité à désactiver les accès physiques aux locaux et salles
• Objectif 6.1 et 6.4 : preuve de limitation d’accès aux locaux et de contrôle des prestataires qui accèdent aux locaux techniques et salles serveurs
• Objectif 7A.1 : preuve de cloisonnement physique des systèmes d’information de l’entité avec niveau de contrôle spécifique
• Objectif 10A.3 : preuve de limitation d’accès pour réduire le risque lié à l’utilisation de terminaux partagés (par exemple : badgeuse à l’entrée d’une salle de supervision)

En validant que cette solution pourra s’adapter à vos futurs besoins opérationnels et de conformité, vous gagnez en sérénité et en sécurité. En effet, dans cet exemple, vous répondez déjà à certains objectifs pour le moment réservés aux entités essentielles :

• Objectif 6.3 : droits d’accès physique attribués au regard du besoin strictement nécessaire
• Objectif 20.1 / 20.2 / 20.4 : en cas d’événement de sécurité, le système dispose d’un journal de log permettant de tracer les accès

À notre sens, ces deux objectifs sont indispensables sur le plan de la sécurité. Leur caractère obligatoire n’est qu’une question de temps, mais vous êtes déjà prêt !

Il faut être conscient que toute conformité n’est que temporaire, vous devrez la faire évoluer dans le temps.

4. Se mettre en conformité NIS 2

4.1 – Travaux préliminaires

Vous l’aurez compris, il est déterminant de partir dans la bonne direction dès le commencement. Quel que soit le référentiel utilisé en matière de sécurité, les premières étapes sont toujours les mêmes :

• Analyse de risque
• Audit et mapping de sécurité physique
• Cartographie des systèmes
• Test de pénétration physique et logique

Ces étapes permettent d’avoir une vision claire de l’existant. Ce travail doit aussi concerner l’aspect documentaire nécessaire pour passer à l’étape suivante.

Vous pouvez avoir une première évaluation de votre niveau de sécurité en réalisant notre mini-audit de sécurité (gratuit et anonyme).

4.2 – Analyse d’écart

Le résultat des travaux préliminaires va permettre de réaliser une analyse d’écart entre l’existant et l’attendu. Vous devrez mettre à jour cette analyse tout au long de votre démarche de conformité NIS 2.

Rapidement, vous pourrez identifier vos priorités et planifier les actions nécessaires, pouvant inclure :

• la rédaction d’un cahier des charges
• des formations
  • Aide à la gouvernance
  • formation à la sécurité physique
  • Formations à la cybersécurité et sensibilisation
• un accompagnement par un auditeur spécialisé
• la recherche et l’identification de partenaires de confiance

Plusieurs services proposés par les membres SPAC Alliance sont dédiés à ces étapes indispensables (découvrez notre boutique de services).

4.3 – Audit de conformité NIS 2

Si l’on tient compte des enjeux liés à la conformité NIS 2 pour votre entité, avoir la garantie que les objectifs sont bien atteints est capital. Selon les cas, recourir à un audit externe est obligatoire et permet, dans tous les cas :

• d’avoir un regard impartial  et objectif sur votre sécurité
• d’être conseillé en cas de non conformité
• de vous appuyer sur un référent compétent en cas de contrôle
• de limiter votre responsabilité en cas d’attaque réussie

L’ANSSI a référencé de nombreux prestataires qualifiés qui pourront vous accompagner pour apporter les preuves de votre conformité NIS 2 : auditeurs PASSI, PACS, PAMS, experts cybers.

4.4 – Maintient de la conformité NIS 2

Une sécurité adaptée et conforme passe par un cycle d’amélioration continue. Cette démarche est obligatoire pour les entités essentielles qui pourront recourrir à des audits réguliers et planifiés de leur système d’information.

5. Conclusion

En France, la conformité NIS 2 s’articule autour :

• des objectifs fixés par la directive NIS 2
• des exigences spécifiques portées par la loi de transposition (attendue en juillet 2026)
• des 20 objectifs de sécurité du ReCyF

Pour accompagner cette démarche, vous pourrez vous appuyer sur :

• des référentiels et guides de l’ANSSI
• des certifications de sécurité et de conformité (EN 17640, certifications SSCP, EUCC…)
• des produits conformes au CRA
• des standards reconnus
• des certifications type APSAD ou CSPN pour les entités exigeant des solutions certifiées

L’utilisation de ces outils permet de répondre aux attentes des autorités : préciser votre démarche de conformité et d’en apporter des preuves.
Des précisions opérationnelles supplémentaires sont attendues dans les textes d’application et les guides techniques à venir. Abonnez-vous pour recevoir les mises à jour nécessaires.

Comme partout en Europe, la sécurité physique s’affirme comme une brique incontournable de la conformité NIS 2. La création de cette protection de bout en bout impose d’en comprendre chaque enjeu pour faire des choix durables en matière de sécurité et de conformité. SPAC Alliance et ses membres sont là pour vous accompagner dans cette démarche, des travaux initiaux jusqu’à la certification.

6. Liens utiles

• Simulateur : êtes-vous concerné par la NIS 2
• Présentation du référentiel NIS 2 français ReCyF
• Mini-audit de Sûreté SPAC Alliance (en ligne et gratuit)
• Mapping ReCyF / ISO 2700x (analyse d’écart)
• Guide de recommandations sur la sécurisation des systèmes de contrôle d’accès physique et de vidéoprotection
• Méthode EBIOS Risk Manager et Formation EBIOS Risk Manager
• Certification APSAD avec le CNPP
• Liste des prestataires qualifiés par l’ANSSI

Vous avez besoin d’accompagnement ? N’hésitez pas à demander des informations à nos membres qui proposent des services et solutions permettant d’accompagner votre conformité NIS 2 en France.