Actuellement en cours de transposition en France, la directive NIS2 étend le périmètre du texte initial (NIS1), couvrant désormais 18 secteurs d’activité, contre sept auparavant. Le nombre total d’entreprises concernées en France passe de 500 à 15 000 environ.

La directive NIS2 impose aux entités concernées de mettre en œuvre un certain nombre de mesures. Celles-ci vont de l’analyse des risques à la gestion des incidents, en passant par la continuité d’activité. Elle exige également la mise en place de dispositifs de sécurisation de la chaîne d’approvisionnement et des processus de développement, ainsi que la gestion des vulnérabilités. 

Les organisations doivent en outre évaluer l’efficacité de leurs dispositifs, renforcer les pratiques de cyber-hygiène et la formation de leurs collaborateurs. Elles doivent aussi encadrer l’usage de la cryptographie (notamment le chiffrement) et sécuriser les accès et les données des ressources humaines. L’authentification forte et des moyens de communication sécurisés (y compris d’urgence) doivent être déployés selon les besoins opérationnels.

Afin de permettre aux entreprises françaises de savoir si elles sont concernées par la directive NIS2, l’ANSSI met à leur disposition un simulateur sur le site MonEspaceNIS2. En remplissant un questionnaire dynamique, les organisations peuvent savoir si elles rentrent dans le cadre de la réglementation européenne, et si elles sont classées comme « entité essentielle » ou « entité importante ».

Une des premières étapes que les organisations concernées par NIS2 doivent mettre en œuvre est le fait de répertorier les systèmes et processus opérationnels susceptibles d’impacter la continuité ou la sécurité de leurs activités.

Cette démarche permet de recenser l’ensemble des actifs informatiques essentiels (applications, infrastructures IT/OT, données personnelles ou sensibles…). Elle facilite aussi l’identification des interdépendances avec certains fournisseurs ou certains flux de données critiques.

Après la cartographie des services critiques, l’analyse des écarts (« gap analysis » en anglais) permet de mettre en comparaison l’état actuel des politiques, procédures et outils de cybersécurité d’une organisation avec les exigences de la directive NIS2. 

NIS2 impose une attention particulière quant à l’utilisation de mécanismes cryptographiques robustes, adaptés à la sensibilité des données traitées. 

L’analyse doit notamment vérifier la présence de solutions de chiffrement pour traiter les données en transit et au repos, l’usage de protocoles sécurisés, la gestion des clés de chiffrement (rotation, stockage, révocation), ainsi que la conformité aux standards européens. L’absence de telles garanties constitue un écart critique à corriger.

Une fois les écarts de conformité identifiés, l’entreprise doit structurer une feuille de route opérationnelle pour piloter la montée en conformité NIS2. Cette feuille de route doit détailler l’ensemble des actions à engager sur un horizon de 12 mois, avec des objectifs clairs, mesurables et planifiés dans le temps. Cette structuration doit intégrer les dimensions techniques, organisationnelles et réglementaires, notamment l‘implémentation de mécanismes de chiffrement conformes aux standards en vigueur.

Chaque action du plan doit être portée par un référent identifié, selon le domaine concerné : par exemple, l’équipe cybersécurité pour le déploiement des modules cryptographiques, la direction juridique pour la conformité contractuelle des fournisseurs, ou encore les achats pour la sélection de solutions certifiées. La mobilisation des ressources nécessaires (compétences en cryptographie, outils de gestion des clés, infrastructure sécurisée) est un prérequis à la réussite de ce plan.

La priorisation des actions doit enfin tenir compte de la sensibilité des données et du niveau de protection requis. Le déploiement rapide des mesures cryptographiques critiques – comme le chiffrement des échanges inter-applicatifs, la gestion des clés en HSM, ou la journalisation sécurisée – permet de traiter les vulnérabilités majeures et d’assurer une mise en conformité progressive, mais pilotée, avec les exigences de NIS2.

Pour déployer durablement la conformité à NIS2, les entreprises doivent implémenter les mesures de sécurité identifiées lors de l’audit initial, de manière structurée et progressive. Cela implique d’abord de renforcer les dispositifs cryptographiques : chiffrement robuste, gestion des clés, journalisation sécurisée, algorithmes à jour, sécurisation des données en transit et au repos…

Ces actions doivent être alignées sur les écarts constatés et adaptées aux différents niveaux de risque identifiés. Parallèlement, il est nécessaire de formaliser les procédures clés, notamment la gestion des incidents, la continuité d’activité, le contrôle des accès et la gouvernance de la cybersécurité. Ces procédures doivent être documentées, validées et intégrées dans les processus métiers. 

Enfin, NIS2 impose d’intégrer la chaîne d’approvisionnement dans la démarche. Les fournisseurs intervenant sur des systèmes critiques doivent notamment respecter les exigences de sécurité de leurs clients, en particulier sur le plan cryptographique. Ils doivent démontrer l’usage de mécanismes robustes de chiffrement des données, de gestion des clés et de journalisation sécurisée.

Piloter la conformité à NIS2 ne s’arrête pas à la mise en œuvre initiale : il s’agit d’un processus évolutif. Pour garantir l’efficacité des mesures déployées, les organisations doivent tester régulièrement leurs dispositifs de chiffrement au travers d’exercices de gestion de crise, de simulations d’incidents et de tests de continuité. Ces mises en situation permettent d’évaluer la réactivité des équipes, la solidité des procédures et la fluidité de la chaîne de décision. 

En parallèle, il convient de réaliser des audits périodiques (internes ou externes) afin de détecter de nouveaux écarts, de mesurer les progrès réalisés et de réajuster le plan d’action. 

Enfin, l’adoption d’une démarche d’amélioration continue est indispensable. Cela passe par l’intégration du suivi de la conformité cryptographique dans les comités de gouvernance cybersécurité, une veille active sur l’évolution des technologies et des obligations réglementaires, et l’adaptation des mesures en conséquence. Cette approche garantit un niveau de sécurité durable et conforme dans le temps.

À ce titre, les enjeux liés à la cryptographie post-quantique deviennent stratégiques : les organisations doivent anticiper la vulnérabilité des algorithmes actuels face aux futurs ordinateurs quantiques et engager dès à présent une évaluation de leurs dépendances cryptographiques. La préparation à la migration vers des standards résistants au quantique fait désormais partie intégrante d’une stratégie de cybersécurité pérenne.

La conformité à NIS2 ne se limite pas à un exercice réglementaire : elle engage durablement l’organisation dans une démarche de résilience opérationnelle. Au-delà des audits initiaux et des plans d’action, elle impose une maîtrise fine des mécanismes cryptographiques – actuels et futurs – pour protéger les données critiques, sécuriser les flux et maintenir la confiance dans un écosystème interconnecté.