Guides & Ressources pratiques
Vendor Due Diligence (VDD) : définition, processus et avantages pour le vendeur
Cybersécurité en entreprise : définition, obligations NIS2 et feuille de route 2026
Points clés de l'article
- La cybersécurité en entreprise couvre la protection des systèmes d'information, des données et des processus métiers contre les menaces numériques.
- Le cadre réglementaire français et européen se structure autour du RGPD, de la directive NIS2 et du référentiel ReCyF de l'ANSSI.
- NIS2 élargit le périmètre des entreprises concernées à environ 15 000 entités en France, classées en « essentielles » ou « importantes ».
- Les rançongiciels, le phishing et les compromissions de la chaîne d'approvisionnement figurent parmi les menaces les plus fréquentes.
- Les dirigeants portent une responsabilité personnelle en cas de manquement aux obligations de sécurité.
- La date butoir de transposition de NIS2 est fixée au 17 octobre 2024, avec une mise en conformité opérationnelle attendue d'ici 2026.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Cybersécurité en entreprise : définition et périmètre
Cadre réglementaire applicable : RGPD, directive NIS2 et référentiel ReCyF de l'ANSSI
Catégories d'entreprises concernées par NIS2 : essentielles, importantes et hors périmètre
Risques cyber les plus fréquents en entreprise
Mesures techniques et organisationnelles à mettre en place
Gouvernance et responsabilité des dirigeants en matière cyber
Sanctions, incidents et notifications CNIL/ANSSI
Feuille de route pour atteindre la conformité NIS2 avant le 17 octobre 2026
Cybersécurité en entreprise : définition et périmètre
La cybersécurité en entreprise désigne l'ensemble des moyens techniques, organisationnels et humains déployés pour protéger les systèmes d'information, les réseaux et les données contre les accès non autorisés, les altérations ou les interruptions de service. Elle ne se limite pas à l'installation d'un antivirus ou d'un pare-feu. Son périmètre englobe la sécurité des infrastructures (on-premise et cloud), la protection des données personnelles et commerciales, la continuité d'activité et la gestion des incidents.
Pour un DSI, le périmètre opérationnel de la cybersécurité recouvre 3 dimensions complémentaires :
- La sécurité technique : chiffrement, segmentation réseau, gestion des vulnérabilités, détection d'intrusion.
- La sécurité organisationnelle : politiques d'accès, classification des données, plans de reprise d'activité (PRA/PCA).
- La sécurité humaine : sensibilisation des collaborateurs, gestion des habilitations, contrôle des prestataires tiers.
En France, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a recensé 831 incidents de sécurité traités en 2023 dans son panorama annuel. Ce chiffre ne reflète que les incidents signalés aux autorités. La réalité opérationnelle est plus large : selon le baromètre CESIN 2024, 49 % des entreprises françaises déclarent avoir subi au moins une cyberattaque réussie au cours de l'année écoulée.
Cadre réglementaire applicable : RGPD, directive NIS2 et référentiel ReCyF de l'ANSSI
Le cadre juridique qui encadre la cybersécurité en entreprise repose sur 3 piliers distincts mais complémentaires.
| Texte | Portée | Obligation principale | Autorité compétente |
|---|---|---|---|
| RGPD (2018) | Toute organisation traitant des données personnelles | Garantir la sécurité des traitements (art. 32) et notifier les violations (art. 33) | CNIL |
| Directive NIS2 (2022/2555) | Entités essentielles et importantes dans 18 secteurs | Mettre en œuvre des mesures de gestion des risques cyber et signaler les incidents | ANSSI |
| Référentiel ReCyF (ANSSI) | Prestataires de réponse aux incidents | Qualifier les prestataires intervenant en cas de crise cyber | ANSSI |
Le RGPD impose depuis 2018 une obligation de sécurité proportionnée aux risques pesant sur les données personnelles. Son article 32 exige des mesures techniques et organisationnelles « appropriées », sans prescrire de solution précise. La CNIL a prononcé en 2023 des amendes totalisant plus de 89 millions d'euros, dont une part significative liée à des défauts de sécurité.
La directive NIS2, adoptée en décembre 2022, remplace la directive NIS1 de 2016. Elle élargit considérablement le champ des entités soumises à des obligations de cybersécurité. Sa transposition en droit français devait intervenir avant le 17 octobre 2024. Le projet de loi de transposition a été présenté en Conseil des ministres en octobre 2024, mais son adoption définitive reste en cours au Parlement.
Le référentiel ReCyF de l'ANSSI encadre la qualification des prestataires de réponse aux incidents de sécurité informatique. Il concerne indirectement les entreprises qui doivent s'assurer de recourir à des prestataires qualifiés en cas de crise.
Structurer la conformité cyber de votre entreprise nécessite une lecture croisée de ces 3 textes, adaptée à votre secteur et à votre taille.
Consulter un avocat spécialisé en cybersécurité
Catégories d'entreprises concernées par NIS2 : essentielles, importantes et hors périmètre
NIS2 classe les entités en 2 catégories selon leur taille et leur secteur d'activité. Cette classification détermine le niveau d'exigence applicable et le régime de sanctions.
| Catégorie | Critères de taille | Secteurs concernés (exemples) | Régime de contrôle |
|---|---|---|---|
| Entités essentielles | +250 salariés ou CA > 50 M€ | Énergie, transports, santé, eau potable, infrastructures numériques, banque | Contrôle ex ante (audits proactifs) |
| Entités importantes | +50 salariés ou CA > 10 M€ | Services postaux, gestion des déchets, chimie, agroalimentaire, fabrication | Contrôle ex post (après incident) |
| Hors périmètre | < 50 salariés et CA < 10 M€ | PME hors secteurs critiques | Non soumises (sauf désignation spécifique) |
En France, l'ANSSI estime qu'environ 15 000 entités seront directement concernées par NIS2, contre environ 500 sous NIS1. Ce changement d'échelle impose aux DSI de vérifier si leur organisation entre dans le périmètre, y compris via la chaîne de sous-traitance. En effet, une entreprise hors périmètre peut être soumise à des exigences contractuelles de cybersécurité si elle fournit des services à une entité essentielle ou importante.
Risques cyber les plus fréquents en entreprise
Les menaces qui pèsent sur les systèmes d'information des entreprises françaises se concentrent autour de 5 vecteurs récurrents :
- Rançongiciels (ransomware) : logiciels malveillants qui chiffrent les données et exigent une rançon. L'ANSSI a traité 143 attaques par rançongiciel en 2023. Le coût moyen d'une attaque pour une ETI française est estimé à 250 000 € (interruption d'activité, remédiation, perte de données).
- Phishing et ingénierie sociale : 74 % des violations de données impliquent un facteur humain selon le rapport Verizon DBIR 2024. Les campagnes de phishing ciblent les collaborateurs pour obtenir des identifiants ou déclencher des virements frauduleux.
- Compromission de la chaîne d'approvisionnement : l'attaquant vise un prestataire ou un fournisseur pour atteindre sa cible finale. NIS2 impose pour cette raison une évaluation de la sécurité des fournisseurs.
- Exploitation de vulnérabilités non corrigées : les failles logicielles connues mais non patchées restent un vecteur d'entrée privilégié. Le délai moyen de correction d'une vulnérabilité critique dépasse 60 jours dans les entreprises françaises.
- Menaces internes : erreurs de configuration, négligences ou actes malveillants de collaborateurs disposant d'accès privilégiés.
Face à ces risques, la structuration juridique et technique de la réponse cyber conditionne la capacité de l'entreprise à limiter son exposition.
Évaluer vos obligations avec un avocat en cybersécurité
Mesures techniques et organisationnelles à mettre en place
NIS2 (article 21) impose aux entités concernées de mettre en œuvre des mesures de gestion des risques cyber « proportionnées ». Le texte liste 10 domaines d'action obligatoires. Voici les mesures concrètes que chaque DSI doit intégrer dans sa feuille de route :
- Analyse de risques : cartographier les actifs critiques, identifier les menaces et évaluer les impacts potentiels sur l'activité.
- Gestion des incidents : définir une procédure de détection, de qualification et de réponse aux incidents, avec des délais de notification précis (voir section 7).
- Continuité d'activité : formaliser un PCA/PRA testé au moins 1 fois par an, incluant des sauvegardes hors ligne.
- Sécurité de la chaîne d'approvisionnement : auditer les prestataires critiques, intégrer des clauses de sécurité dans les contrats et vérifier leur conformité.
- Gestion des accès : appliquer le principe du moindre privilège, déployer l'authentification multifacteur (MFA) sur les accès sensibles.
- Chiffrement et cryptographie : chiffrer les données au repos et en transit selon l'état de l'art.
- Formation et sensibilisation : former l'ensemble des collaborateurs au moins 1 fois par an, avec des exercices de simulation (phishing test, exercice de crise).
Gouvernance et responsabilité des dirigeants en matière cyber
NIS2 introduit une disposition inédite : la responsabilité personnelle des dirigeants en matière de cybersécurité. L'article 20 de la directive impose aux organes de direction d'approuver les mesures de gestion des risques et de suivre leur mise en œuvre. Les dirigeants doivent également suivre une formation en cybersécurité.
En pratique, cette responsabilité se décline à 3 niveaux :
- Approbation formelle : le comité de direction ou le conseil d'administration doit valider la politique de sécurité des systèmes d'information (PSSI) et les budgets associés.
- Supervision continue : les dirigeants doivent être informés régulièrement de l'état de la menace et des incidents. Le DSI devient l'interlocuteur direct du COMEX sur ces sujets.
- Responsabilité en cas de manquement : en cas de non-conformité, les dirigeants peuvent être personnellement sanctionnés. NIS2 prévoit la possibilité d'interdire temporairement à un dirigeant d'exercer des fonctions de direction.
Cette disposition change la nature du dialogue entre le DSI et la direction générale. La cybersécurité n'est plus un sujet technique délégué : elle devient un sujet de gouvernance inscrit à l'ordre du jour du conseil d'administration.
La responsabilité personnelle des dirigeants en matière cyber impose une structuration juridique rigoureuse de la gouvernance.
Sécuriser votre gouvernance cyber avec un avocat spécialisé
Sanctions, incidents et notifications CNIL/ANSSI
Le régime de sanctions prévu par NIS2 s'aligne sur la logique du RGPD, avec des montants dissuasifs :
| Catégorie | Amende maximale | Délai de notification d'incident |
|---|---|---|
| Entité essentielle | 10 M€ ou 2 % du CA mondial | Alerte initiale sous 24h, notification complète sous 72h |
| Entité importante | 7 M€ ou 1,4 % du CA mondial | Alerte initiale sous 24h, notification complète sous 72h |
| Violation RGPD (données personnelles) | 20 M€ ou 4 % du CA mondial | Notification CNIL sous 72h |
En cas d'incident affectant à la fois des données personnelles et la sécurité des systèmes d'information, l'entreprise doit notifier simultanément la CNIL (au titre du RGPD) et l'ANSSI (au titre de NIS2). Les délais sont stricts :
- Sous 24 heures : alerte initiale à l'ANSSI décrivant la nature de l'incident.
- Sous 72 heures : notification détaillée incluant l'évaluation de l'impact, les mesures prises et les données affectées.
- Sous 1 mois : rapport final décrivant la cause, les conséquences et les mesures correctives.
Le non-respect de ces délais constitue en lui-même un manquement sanctionnable, indépendamment de la gravité de l'incident.
Feuille de route pour atteindre la conformité NIS2 avant le 17 octobre 2026
La transposition de NIS2 en droit français est en cours. Les entreprises concernées disposent d'une fenêtre de mise en conformité qui s'étend jusqu'à fin 2026 selon les estimations de l'ANSSI. Voici une feuille de route structurée en 6 étapes :
- T1 2025 – Diagnostic de périmètre : vérifier si l'entreprise entre dans le champ de NIS2 (secteur, taille, rôle dans la chaîne d'approvisionnement). L'ANSSI mettra à disposition un service de déclaration en ligne (MonEspaceNIS2).
- T2 2025 – Analyse d'écart (gap analysis) : comparer les mesures de sécurité existantes aux 10 exigences de l'article 21 de NIS2. Identifier les lacunes prioritaires.
- T3 2025 – Gouvernance : formaliser la PSSI, désigner un responsable de la sécurité des systèmes d'information (RSSI), organiser la formation des dirigeants.
- T4 2025 – Plan de remédiation : déployer les mesures techniques prioritaires (MFA, segmentation, sauvegardes, gestion des vulnérabilités).
- S1 2026 – Chaîne d'approvisionnement et contractualisation : auditer les prestataires critiques, réviser les contrats pour intégrer les clauses de sécurité NIS2.
- S2 2026 – Tests et exercices : réaliser un exercice de crise cyber, tester le PCA/PRA, valider les procédures de notification.
La mise en conformité NIS2 mobilise des compétences juridiques et techniques croisées. Anticiper cette échéance réduit le risque de sanction et le coût de remédiation en urgence.
Préparer votre conformité NIS2 avec un avocat en cybersécurité
FAQ
Mon entreprise compte moins de 50 salariés : est-elle concernée par NIS2 ?
En principe, les entreprises de moins de 50 salariés avec un chiffre d'affaires inférieur à 10 M€ sont exclues du périmètre de NIS2. Toutefois, des exceptions existent. Si votre entreprise fournit des services DNS, est un registre de noms de domaine ou un prestataire de services de confiance, elle peut être désignée indépendamment de sa taille. De plus, vos clients soumis à NIS2 peuvent vous imposer contractuellement des exigences de sécurité équivalentes.
Quelle est la différence entre la notification CNIL et la notification ANSSI ?
La notification CNIL concerne les violations de données personnelles au titre du RGPD (article 33). La notification ANSSI concerne les incidents affectant la sécurité des systèmes d'information au titre de NIS2. Un même incident peut déclencher les 2 obligations simultanément. Les délais diffèrent légèrement : 72 heures pour la CNIL, 24 heures pour l'alerte initiale ANSSI puis 72 heures pour la notification détaillée.
Le DSI peut-il être tenu personnellement responsable en cas de cyberattaque ?
NIS2 vise la responsabilité des « organes de direction », c'est-à-dire les dirigeants au sens juridique (gérant, président, membres du conseil d'administration). Le DSI n'est pas directement visé par ce régime de responsabilité personnelle. En revanche, sa responsabilité contractuelle ou disciplinaire peut être engagée si un manquement à ses missions est démontré. Le DSI doit documenter ses alertes et recommandations auprès de la direction.
Quel budget prévoir pour la mise en conformité NIS2 ?
Le budget dépend de la maturité cyber existante et de la taille de l'entreprise. L'ANSSI estime que les coûts de mise en conformité représentent entre 1 % et 3 % du budget IT pour les entreprises disposant déjà d'une base de sécurité. Pour une ETI, cela représente typiquement entre 100 000 € et 500 000 € sur 18 à 24 mois, incluant l'audit initial, les outils techniques, la formation et l'accompagnement juridique.
NIS2 est-elle déjà applicable en France ?
La directive NIS2 devait être transposée avant le 17 octobre 2024. Le projet de loi français a été présenté en Conseil des ministres mais n'a pas encore été adopté définitivement par le Parlement. En attendant, les obligations de NIS2 ne sont pas directement applicables en droit français. Cependant, l'ANSSI recommande aux entreprises de commencer leur mise en conformité dès maintenant, car le texte final reprendra l'essentiel des exigences de la directive.
Pour aller plus loin
La directive NIS 2 - ANSSI / cyber.gouv.fr
Guide de la sécurité des données personnelles - CNIL
Assurer sa cybersécurité et la protection de ses données - economie.gouv.fr
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
