Aller au contenu principal
Cybersécurité

NIS2 PME : les 10 mesures techniques à appliquer avant octobre 2026

Stéphane Degouve4 juillet 2026

# NIS2 PME : les 10 mesures techniques à appliquer avant octobre 2026

La directive NIS2 (Network and Information Security 2) est transposée en droit français depuis octobre 2024, mais les premiers contrôles ANSSI ciblés sont annoncés pour l'automne 2026. Environ 10 000 PME françaises doivent démontrer leur conformité — sur peine de sanctions pouvant atteindre 10 M€ ou 2 % du CA mondial, avec responsabilité personnelle du dirigeant.

Ce guide traduit les 10 catégories de mesures techniques de l'article 21.2 en actions concrètes pour PME. À chaque mesure : ce que ça veut dire, comment s'auto-évaluer, combien ça coûte, comment 1Acces vous couvre.

Qui est concerné ? Rappel des critères

Entités essentielles : > 250 salariés OU > 50 M€ CA dans un des 11 secteurs critiques (énergie, transports, santé, banques, marchés financiers, eau potable, eaux usées, infrastructures numériques, gestion espace, administration publique).

Entités importantes : > 50 salariés ET (> 10 M€ CA OU > 10 M€ bilan) dans un des 7 secteurs supplémentaires (services postaux, gestion déchets, produits chimiques, alimentaire, industrie manufacturière, services numériques dont fournisseurs cloud/DNS, recherche).

En doute ? L'ANSSI publie un formulaire d'auto-évaluation. En 30 minutes, notre audit cybersécurité gratuit inclut une analyse d'éligibilité NIS2.

Les 10 mesures techniques exigées (article 21.2)

Mesure 1 — Politique d'analyse des risques (art. 21.2.a)

Ce que ça veut dire. Vous disposez d'un document écrit qui liste vos actifs critiques (serveurs, données clients, comptes admin, applications métier), les menaces pesant sur chacun (ransomware, phishing, vol de données), et les contre-mesures appliquées. Ce document est révisé au moins une fois par an et validé par la direction.

Auto-évaluation. Avez-vous un dossier « Analyse de risques cybersécurité » daté de moins de 12 mois et signé par la direction ? Si non, mesure non conforme.

Couverture 1Acces. 1A Audit + 1A Surface (surveillance de l'exposition externe) — cartographie automatisée des actifs et vulnérabilités.

Mesure 2 — Gestion des incidents (art. 21.2.b)

Ce que ça veut dire. Vous savez détecter une cyberattaque (EDR, SIEM, alertes SOC), qui prévenir dans quel ordre (équipe interne, hébergeur, CNIL, ANSSI, Cybermalveillance), et comment contenir l'incident. NIS2 impose une notification d'incident significatif sous 24 heures (alerte), 72 heures (rapport initial), 1 mois (rapport final).

Auto-évaluation. Avez-vous un EDR/XDR actif ? Un plan de gestion d'incident documenté ? Savez-vous qui contacter en cas d'attaque le samedi à 3 h du matin ?

Couverture 1Acces. 1A Detect (EDR) + 1A Vision (XDR IA) + 1A Response (CSIRT 24/7).

Mesure 3 — Continuité d'activité (art. 21.2.c)

Ce que ça veut dire. Vos données sont sauvegardées hors site, sur un support immuable (le ransomware ne peut ni les chiffrer ni les supprimer). Vous avez un Plan de Reprise d'Activité (PRA) documenté et testé trimestriellement. RTO et RPO sont définis par activité métier.

Auto-évaluation. Modèle 3-2-1-1-0 en place ? Dernier test de restauration daté de moins de 3 mois ? PRA documenté ?

Couverture 1Acces. 1ACCES Backup — sauvegarde immuable France hors Cloud Act, dès 4,90 €/poste/mois.

Sauvegarde immuable 3-2-1-1-0 : la méthode anti-ransomware pour PME

Mesure 4 — Sécurité de la chaîne d'approvisionnement (art. 21.2.d)

Ce que ça veut dire. Vous évaluez les risques cyber chez vos fournisseurs critiques (cloud, comptable, paie, hébergeur, prestataires informatiques) et imposez des exigences contractuelles minimales (chiffrement, notification d'incident, RGPD, DPA).

Auto-évaluation. Avez-vous un registre des fournisseurs critiques avec leur niveau de risque évalué ? Une clause cyber dans les contrats récents ?

Couverture 1Acces. 1A Surface (monitoring exposition fournisseurs).

Mesure 5 — Sécurité acquisition, développement, maintenance SI (art. 21.2.e)

Ce que ça veut dire. Vous appliquez les correctifs de sécurité dans des délais raisonnables (≤ 30 jours pour les vulnérabilités critiques), vous testez la sécurité avant mise en production, vous documentez les modifications du SI. Un inventaire des actifs à jour est disponible.

Auto-évaluation. Un processus de patch management existe-t-il ? L'inventaire SI est-il à jour ?

Couverture 1Acces. 1A Audit récurrent + 1A Vision (XDR pour la détection des vulnérabilités actives).

Mesure 6 — Politiques d'évaluation de l'efficacité (art. 21.2.f)

Ce que ça veut dire. Vous mesurez périodiquement si vos mesures fonctionnent : audits internes, tests d'intrusion, indicateurs (MTTD, MTTR, taux de couverture patches, taux de clic phishing). Un tableau de bord cyber est revu au moins trimestriellement par la direction.

Auto-évaluation. Existe-t-il un tableau de bord cyber revu en comité de direction ?

Couverture 1Acces. Tableau de bord unifié 1A Logs + rapport mensuel automatique.

Mesure 7 — Cyberhygiène et formation (art. 21.2.g)

Ce que ça veut dire. Vos collaborateurs sont formés à la cybersécurité au moins une fois par an, des simulations de phishing sont organisées au moins 4 fois par an, des règles de cyberhygiène sont écrites (mots de passe, USB, télétravail).

Auto-évaluation. Preuve d'une formation cyber datant de moins de 12 mois + simulation phishing trimestrielle documentée ?

Couverture 1Acces. 1A Academy (sensibilisation continue) + 1A Mail Shield (blocage phishing en amont).

Protection email : anti-phishing IA + blacklist souveraine

Mesure 8 — Cryptographie et chiffrement (art. 21.2.h)

Ce que ça veut dire. Vos données sensibles sont chiffrées au repos (AES-256) et en transit (TLS 1.2+). Les disques durs des ordinateurs portables sont chiffrés (BitLocker / FileVault). Les sauvegardes sont chiffrées zero-knowledge.

Auto-évaluation. Tous les laptops sont-ils chiffrés ? Les flux internes sont-ils en HTTPS/TLS ?

Couverture 1Acces. Chiffrement natif Suite 1A + 1ACCES Backup (zero-knowledge, clé maîtrisée par vous).

Mesure 9 — Sécurité RH, contrôle d'accès, gestion des actifs (art. 21.2.i)

Ce que ça veut dire. Les comptes sont attribués individuellement (pas de partage de mots de passe), les droits sont attribués selon le principe de moindre privilège, les départs sont gérés (révocation des accès le jour J), un inventaire des actifs est tenu à jour.

Auto-évaluation. Annuaire AD/Workspace propre ? Procédure de révocation onboarding/offboarding documentée ?

Couverture 1Acces. Module ERP RH 1Acces + 1A Logs (audit des accès).

Mesure 10 — MFA, communications sécurisées, plans documentés (art. 21.2.j)

Ce que ça veut dire. L'authentification multifacteur (MFA) est activée sur tous les accès distants et tous les comptes administrateurs. Les communications sensibles (visios, messageries) utilisent des solutions sécurisées. Les plans de gestion d'incident et de reprise d'activité sont écrits, datés, accessibles.

Auto-évaluation. MFA actif sur 100 % des comptes admin ? Plans documentés accessibles en moins d'un clic ?

Couverture 1Acces. MFA natif Suite 1A + 1A Response (plans documentés et testés).

Scoring d'auto-évaluation

Comptez les cases cochées sur 10 :

  • 0 à 3 — Non conforme : risque élevé d'amende et d'incident majeur. Chantier prioritaire immédiat.
  • 4 à 6 — Partiellement conforme : conformité à finaliser d'ici automne 2026. Priorisation nécessaire.
  • 7 à 9 — En bonne voie : identifier les derniers points bloquants et documenter.
  • 10 — Conforme sur le papier : reste à faire valider par un audit externe.

Quel que soit votre score, l'audit cybersécurité offert 1Acces fournit une cartographie complète (30 minutes, plan d'action sous 48 h, sans engagement).

Sanctions et calendrier

Sanctions maximales :

  • Avertissement public
  • Mise en demeure de conformité
  • Astreinte journalière jusqu'à mise en conformité
  • Amende jusqu'à 10 M€ ou 2 % du CA mondial (entités essentielles) ; 7 M€ ou 1,4 % (entités importantes)
  • Responsabilité personnelle étendue au dirigeant depuis NIS2
  • Suspension temporaire de certifications ou d'agréments

Calendrier français :

  • 17 octobre 2024 — transposition en droit français (loi 2024-1009)
  • 2025 — publication progressive des décrets d'application par secteur
  • Automne 2026 — premiers contrôles ANSSI ciblés
  • 2027 — pleine application des sanctions

Ce qu'il vous reste comme temps : environ 3 mois pour finaliser la conformité avant les premiers contrôles.

Conclusion — trois priorités si vous partez de zéro

Si votre score est inférieur à 5/10 et que vous devez prioriser en juillet-septembre 2026 :

1. Sauvegarde immuable 3-2-1-1-0 — la mesure 3 est celle qui vous protège du pire scénario (ransomware). C'est aussi la moins chère à mettre en place (dès 4,90 €/poste/mois). 2. EDR + SOC 24/7 — mesures 2 + 10. Sans détection humaine 24/7, une alerte non traitée un samedi devient une attaque réussie. 3. Sensibilisation phishing + MFA — mesures 7 + 10. Bloque 90 % des vecteurs d'entrée avec un investissement modéré.

Ces trois chantiers couvrent la majorité du risque et représentent environ 50 % du budget cyber PME — le reste (audit, chaîne d'approvisionnement, documentation) peut s'étaler sur 2027.

---

Pour aller plus loin :

À lire aussi :

Pret a moderniser votre telephonie ?

Testez gratuitement nos solutions VoIP pendant 14 jours, sans engagement.