ACCENSĒOACCENSĒO
À propos
Actualités
Carrières
enNous contacter

Restez informé

Recevez nos derniers insights et actualités technologiques.

ACCENSĒO

Cabinet parisien de conseil en systèmes d'information et de développement logiciel sur mesure — conseil, ingénierie, intégration de solutions, cloud, hébergement et maintenance.

Entreprise

  • À propos
  • Carrières
  • Actualités
  • Contact
  • Études de cas
  • Marque ACCENSEO

Services

  • Développement sur mesure
  • Conseil IT
  • Intégration de solutions
  • Transformation digitale
  • Services cloud
  • Cybersécurité
  • Infogérance & support
  • Hébergement & données

Secteurs

  • Services financiers
  • Santé
  • Commerce & e-commerce
  • Industrie
  • Énergie & utilities

Légal

  • Politique de confidentialité
  • Mentions légales

© 2026 ACCENSEO SAS. Tous droits réservés.

SIRET: 929 897 072 00013 | NAF: 6202A

Retour aux actualités
CybersécuritéNIS2ConformitéCybersécurité

NIS2 : guide pratique de mise en conformité pour les ETI

La directive NIS2 étend les obligations de cybersécurité à des milliers d'entreprises qui n'y étaient pas soumises, avec une responsabilité explicite des dirigeants. Périmètre, exigences et démarche de mise en conformité, sans dramatisation ni déni.

José DA COSTA 20 janvier 2026 3 min de lecture
  1. Accueil
  2. Actualites
  3. NIS2 : guide pratique de mise en conformité pour les ETI

La directive européenne NIS2 marque un changement d'échelle dans la régulation de la cybersécurité : elle élargit considérablement le périmètre des entités soumises à obligations par rapport à NIS1, introduit une responsabilité explicite des organes de direction, et prévoit des sanctions substantielles. Pour beaucoup d'ETI, c'est la première fois que la cybersécurité devient une obligation légale structurée. La bonne nouvelle : les exigences correspondent pour l'essentiel à ce qu'une gestion des risques sérieuse commanderait de toute façon.

Déterminer si l'on est concerné

La directive distingue les entités essentielles et les entités importantes, selon le secteur d'activité — énergie, transport, santé, banque, infrastructure numérique, mais aussi fabrication, agroalimentaire, gestion des déchets, services numériques — et la taille de l'entreprise, le seuil d'entrée se situant en règle générale à cinquante salariés ou dix millions d'euros de chiffre d'affaires. Deux points appellent une vigilance particulière. D'abord, la transposition nationale précise le périmètre et le calendrier : c'est le texte français, accompagné des travaux de l'ANSSI, qui fait foi pour les obligations concrètes. Ensuite, l'effet de chaîne : même une entreprise hors périmètre peut se voir imposer des exigences par ses clients régulés, car la directive fait de la sécurité de la chaîne d'approvisionnement une obligation à part entière.

Ce que la directive exige en substance

Les mesures attendues relèvent de la gestion des risques bien comprise : une analyse de risques formalisée et des politiques de sécurité qui en découlent ; la gestion des incidents, avec des obligations de notification rapide aux autorités selon des paliers définis ; la continuité d'activité — sauvegardes testées, plans de reprise, gestion de crise ; la sécurisation des relations avec les fournisseurs ; la sécurité dans l'acquisition et le développement des systèmes ; des pratiques d'hygiène informatique et de formation ; le chiffrement là où il s'impose ; et le contrôle des accès avec authentification multifacteur. S'y ajoute un volet de gouvernance qui change la donne : les organes de direction doivent approuver la démarche de gestion des risques, en suivre la mise en œuvre et être eux-mêmes formés — la cybersécurité cesse juridiquement d'être un sujet purement technique délégable.

Conduire la mise en conformité comme un programme

La démarche efficace suit un ordre éprouvé. Premièrement, qualifier sa situation : secteur, taille, statut d'entité essentielle ou importante, exigences contractuelles des clients. Deuxièmement, réaliser une analyse d'écart honnête entre l'existant et les exigences, en s'appuyant sur les référentiels de l'ANSSI ; cette analyse révèle presque toujours les mêmes chantiers prioritaires — authentification multifacteur incomplète, sauvegardes non testées, absence de procédure de réponse à incident, sous-traitants non évalués. Troisièmement, traiter les écarts par ordre de risque réel et non de facilité, en assumant un plan pluriannuel documenté : les autorités attendent une trajectoire crédible et pilotée davantage qu'une perfection immédiate. Quatrièmement, ancrer le dispositif dans la durée : exercices de crise réguliers, revues de direction, indicateurs suivis.

Faire de la contrainte un investissement

L'erreur la plus coûteuse serait d'aborder NIS2 comme un exercice documentaire — produire des classeurs de politiques que personne n'applique. Les mesures exigées sont précisément celles qui réduisent la probabilité et l'impact d'un incident majeur : à ce titre, le budget de conformité est un budget de résilience. Les entreprises qui l'ont compris en tirent même un avantage commercial, la capacité à démontrer sa maturité cyber devenant un critère de sélection dans un nombre croissant d'appels d'offres. La conformité s'obtient alors par surcroît : elle est l'effet d'une sécurité réelle, pas son substitut.
NIS2ConformitéCybersécuritéRéglementation

Partager cet article

LinkedInXEmail

À propos de l'auteur

JDC

José DA COSTA

Fondateur et président d'ACCENSEO

Fondateur et président d'ACCENSEO, ingénieur logiciel. Il accompagne les entreprises dans le conseil en systèmes d'information et le développement logiciel sur-mesure.

Sommaire

  1. Déterminer si l'on est concerné
  2. Ce que la directive exige en substance
  3. Conduire la mise en conformité comme un programme
  4. Faire de la contrainte un investissement

Publié le

20 janvier 2026

Auteur

José DA COSTA

Categorie

Cybersécurité

Restez informé

Abonnez-vous à notre newsletter pour recevoir nos prochaines analyses.

Article precedent

Du DevOps au platform engineering : industrialiser l'expérience développeur

Article suivant

Low-code / no-code : quelle place dans la stratégie IT ?

Articles connexes

Continuer la lecture

IA générative en entreprise : bâtir une stratégie qui crée de la valeur
Technologie

IA générative en entreprise : bâtir une stratégie qui crée de la valeur

Au-delà de l'effet de mode, l'IA générative ne produit de la valeur que lorsqu'elle est adossée à des cas d'usage précis, des données maîtrisées et une gouvernance claire. Repères de méthode pour passer de l'expérimentation à l'industrialisation.

José DA COSTA·4 min de lecture
Architecture cloud-native : les patterns qui tiennent en production
Cloud & Infrastructure

Architecture cloud-native : les patterns qui tiennent en production

Microservices, architecture événementielle, service mesh : ces patterns transforment réellement la capacité de livraison, à condition de les adopter pour de bonnes raisons. Analyse des critères de décision et des pièges classiques.

José DA COSTA·4 min de lecture
Zero Trust : mettre en œuvre une sécurité sans périmètre, concrètement
Cybersécurité

Zero Trust : mettre en œuvre une sécurité sans périmètre, concrètement

Travail hybride, cloud, sous-traitance : le périmètre réseau classique ne protège plus grand-chose. Le modèle Zero Trust propose une alternative rigoureuse, à condition d'être déployé progressivement et dans le bon ordre.

José DA COSTA·4 min de lecture

Prêt à parler de votre projet ?

Dites-nous où vous en êtes et où vous devez aller. Nous reviendrons vers vous avec une lecture claire et honnête de la façon dont nous pouvons vous aider.

Planifier un échange