NIS 2 pour PME industrielles : par où commencer en 90 jours
Décryptage réglementaire sans FUD. Plan pragmatique qui fonctionne en région.
Le contexte réglementaire
La directive NIS 2 (Directive Network and Information Security) s'applique à partir d'octobre 2024 en France. Contrairement aux apparences, elle concerne aussi les PME industrielles — pas seulement les grandes entreprises "critiques".
Si votre PME opère dans un secteur sensible (énergie, eau, transport, santé) ou si vous êtes un "prestataire de services essentiels" (hosting, cloud, DNS), la conformité est obligatoire. Les pénalités en cas de non-respect vont jusqu'à 4% du chiffre d'affaires ou 20 millions EUR.
Ce que NIS 2 exige réellement
NIS 2 se compose de 5 piliers clés :
- Gouvernance et risques : audit de vos actifs critiques, évaluation des menaces OT
- Gestion des incidents : procédures détectées-alertée-résolues documentées
- Sécurité produits : traçabilité et segmentation des équipements OT
- Audit et conformité : rapports annuels, tests de pénétration réguliers
- Formation et sensibilisation : équipes capables de reconnaître les menaces
Plan d'action 90 jours pour une PME industrielle
Jours 1-30 : Diagnostic et sensibilisation
- Audit interne (2 jours) : cartographie des actifs OT et IT, identification des points faibles
- Atelier gouvernance (1 jour) : réunion direction + opérationnel + IT pour définir les responsabilités
- Baseline IEC 62443 : votre PME correspond à quel niveau ? (niveau 1 = risque minimal, niveau 3 = conformité complète)
- Formation équipe : comprendre NIS 2, pas paniquer
Jours 31-60 : Implémentation rapide
- Segmentation réseau : isoler les réseaux OT critiques des réseaux IT généraux
- Procédures d'incident : définir qui fait quoi si une cyberattaque est suspectée
- Inventaire et traçabilité : liste complète des équipements, versions logicielles, patches appliqués
- Authentification renforcée : MFA sur accès critiques, gestion des mots de passe
Jours 61-90 : Tests et documentation
- Test de pénétration partiel : vérifier que les mesures implémentées fonctionnent
- Simulation d'incident : vos équipes savent-elles réagir ?
- Documentation complète : rapports d'audit, processus, responsabilités
- Rapport de conformité : prêt pour autorités si audit demandé
Cas concret : PME fabrication 150 salariés
Équipement OT ancien, aucune segmentation réseau, équipes IT peu formées au cyber. Démarrage de la conformité NIS 2 en Janvier.
- Janvier : Audit découvrant 23 risques critiques OT, 5 équipements sans version documentée
- Février : Segmentation réseau urgente, MFA en place, 3 personnes formées cyber
- Mars : Test pénétration partiel. 8 failles trouvées et corrigées avant qu'un attaquant les utilise
- Avril : Documentation complète. PME certifiée conforme aux exigences NIS 2 de base (niveau 1-2)
Coûts et ROI indicatifs
- Audit initial : 3 000-5 000 EUR
- Segmentation réseau : 2 000-8 000 EUR (dépend de la complexité)
- Formation et documentation : 1 500-3 000 EUR
- Total 90 jours : 6 500-16 000 EUR
À comparer : coût d'une cyberattaque OT réussie pour une PME industrielle (arrêt production, rançon, dégâts à la réputation) = 100 000-500 000 EUR facilement.
À retenir
- NIS 2 concerne aussi les PME industrielles — il ne faut pas l'ignorer
- Un plan pragmatique en 90 jours est faisable sans investissement majeur
- L'ordre compte : diagnostic → gouvernance → segmentation réseau → documentation
- Après 90 jours, la conformité de base est en place. La maintenance continue suit naturellement
- ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) — guides et ressources NIS 2
- IEC 62443 — normes de sécurité OT