La directive européenne NIS2 (Network and Information Security) transpose en droit français des obligations renforcées de cybersécurité pour un spectre bien plus large d'organisations que son prédécesseur NIS1. Si vous gérez des bâtiments, des sites industriels ou des infrastructures avec des équipements connectés — caméras, contrôles d'accès, capteurs, automates — vous êtes probablement concerné.

Qui est concerné par NIS2 ?

NIS2 distingue deux catégories d'entités :

  • Entités essentielles : énergie, transport, santé, eau, infrastructures numériques, administrations, espace — soumises aux obligations les plus strictes
  • Entités importantes : services postaux, gestion des déchets, chimie, alimentation, fabrication, recherche — obligations allégées mais réelles

Au-delà des entités directement désignées, toute organisation qui fournit des services à ces entités peut être tenue de démontrer sa conformité — c'est ce qu'on appelle l'effet cascade dans la chaîne d'approvisionnement.

Si vous installez ou maintenez des systèmes de sûreté pour des hôpitaux, des collectivités, des industries ou des opérateurs d'importance vitale, vos pratiques de sécurité seront auditées.

Ce que NIS2 impose concrètement sur vos équipements IoT

1. Inventaire et cartographie des actifs

Vous devez être capable de lister exhaustivement tous vos équipements connectés : caméras IP, contrôleurs d'accès, GTB, capteurs environnementaux, automates. Chaque équipement doit être identifié avec sa version firmware, ses accès réseaux et ses interconnexions.

2. Segmentation réseau

Vos équipements OT/IoT ne doivent pas cohabiter librement sur le même réseau que vos postes de travail ou vos serveurs. NIS2 exige une séparation des réseaux IT et OT, avec des règles de flux strictement contrôlées.

3. Gestion des vulnérabilités et mises à jour

Un équipement avec un firmware obsolète est une vulnérabilité. NIS2 impose un processus de gestion des correctifs — ce qui est particulièrement complexe sur les équipements industriels où les mises à jour ne sont pas triviales.

4. Authentification et contrôle d'accès

Les mots de passe par défaut des équipements doivent être changés. Les accès doivent être journalisés. Les comptes non utilisés doivent être désactivés.

5. Plan de continuité et de réponse aux incidents

Vous devez documenter vos procédures de réponse en cas d'incident cyber affectant vos équipements connectés — et les tester.

Par où commencer ?

L'approche recommandée par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) suit une logique de 4 étapes : cartographier, évaluer les risques, prioriser les remédiations, mettre en place une supervision continue.

SIITEP AXONE propose un audit de conformité NIS2 ciblé sur vos équipements de sûreté et IoT : inventaire, analyse des vulnérabilités, plan de remédiation priorisé par criticité et budget. Notre approche est pragmatique — nous travaillons avec votre existant, pas contre lui.