CYBERHACK
Conformité

NIS2 en France : la checklist simple que les PME repoussent encore en 2026

Il y a des sujets que beaucoup d’entreprises préfèrent remettre à plus tard.NIS2 en fait partie.Pas par mauvaise volonté. Plutôt parce que, vu de loin, cela ressemble à un mélange de droit européen, d...

Par admin
Publié le 30/03/2026
7 min de lecture
conformité cybersécurité, ReCyF, ANSSI, entité importante, entité essentielle
NIS2 en France : la checklist simple que les PME repoussent encore en 2026

Il y a des sujets que beaucoup d’entreprises préfèrent remettre à plus tard.

NIS2 en fait partie.

Pas par mauvaise volonté. Plutôt parce que, vu de loin, cela ressemble à un mélange de droit européen, de vocabulaire administratif et de cybersécurité “pour les grandes structures”. En pratique, c’est plus simple que ça : NIS2 oblige davantage d’organisations à prendre la sécurité au sérieux, à la documenter et à la piloter. Et en France, l’ANSSI dit déjà très clairement aux futures entités concernées de commencer sans attendre, avec en plus de nouveaux outils publiés en mars 2026, dont le Référentiel Cyber France (ReCyF) et un espace NIS2 sur MesServicesCyber. (cyber.gouv.fr)

Autrement dit : même si tout le monde n’a pas encore le tampon “vous êtes officiellement dans le périmètre”, le moment de s’organiser, c’est maintenant.

Pourquoi ce sujet devient beaucoup plus concret qu’avant

Pendant des années, beaucoup de PME ont regardé la cybersécurité comme un sujet surtout technique : antivirus, pare-feu, sauvegardes, et on verra bien.

NIS2 change la logique. On passe à une approche où la sécurité devient aussi une question de gouvernance, de preuves, de priorités, et de capacité à réagir.

Le projet législatif français de transposition a justement été présenté pour renforcer la résilience des infrastructures critiques et la cybersécurité, dans un contexte où les attaques sont décrites comme devenues systémiques. L’exposé des motifs précise aussi que NIS2 élargit fortement le périmètre : on passerait en France d’environ 500 entités régulées à près de 15 000, et de 6 secteurs à 18. (vie-publique.fr)

C’est ce point qui change tout.

Le sujet ne concerne plus seulement quelques acteurs très identifiés. Il vient frapper à la porte de structures qui, jusqu’ici, ne se voyaient pas forcément comme “régulées cyber”.

Le vrai piège : attendre la dernière minute

Beaucoup d’équipes se disent encore :

“On verra quand on aura une notification officielle.”

C’est compréhensible. C’est aussi la meilleure manière de perdre du temps.

Pourquoi ? Parce que les chantiers demandés ne se font pas en une semaine. On ne met pas en place un inventaire propre, des responsabilités claires, des procédures d’incident, des contrôles d’accès cohérents et une documentation crédible en improvisant sur trois réunions. C’est justement pour cela que l’ANSSI invite les futures entités essentielles et importantes à s’engager dès à présent dans une démarche cohérente avec NIS2. (cyber.gouv.fr)

La bonne nouvelle, c’est qu’il n’y a pas besoin de transformer son entreprise en forteresse bureaucratique du jour au lendemain.

Il faut surtout commencer par les bases qui comptent vraiment.

La checklist réaliste qu’une PME peut lancer sans se noyer

1. Savoir ce qu’on protège vraiment

Cela paraît basique, mais c’est souvent là que tout se complique.

Quels sont vos actifs critiques ? Vos postes de travail ? Votre messagerie ? Votre ERP ? Vos données clients ? Vos sauvegardes ? Vos outils cloud ? Vos accès distants ?

Tant que cette liste n’existe pas, le reste repose sur des impressions.

Pas sur des faits.

Le plus simple consiste à faire un inventaire court, lisible, avec pour chaque élément :

  1. le nom du système ;
  2. son propriétaire métier ;
  3. son niveau de criticité ;
  4. l’endroit où il est hébergé ;
  5. le niveau d’accès nécessaire ;
  6. le lien avec vos sauvegardes.

Pas besoin d’un roman.

Il faut juste quelque chose de vrai, à jour, et utilisable.

2. Identifier qui décide quand ça va mal

Dans beaucoup de petites structures, on découvre le problème le jour de l’incident : personne ne sait vraiment qui coupe quoi, qui appelle qui, qui parle au prestataire, qui informe la direction, et qui décide si l’activité continue ou s’arrête.

NIS2 pousse précisément vers cette logique de responsabilité.

La cybersécurité n’est plus seulement “l’affaire du technicien”. Elle devient un sujet d’organisation.

Posez-vous une question simple :

si demain matin un serveur critique tombe ou si votre messagerie est compromise, qui prend les décisions dans les 15 premières minutes ?

Si la réponse n’est pas claire, il faut écrire cette chaîne.

3. Vérifier les accès avant d’acheter un nouvel outil

C’est probablement l’un des réflexes les plus rentables.

Avant d’ajouter une solution de plus, regardez :

  1. les comptes dormants ;
  2. les anciens prestataires encore actifs ;
  3. les accès administrateurs trop larges ;
  4. les accès partagés ;
  5. l’absence de MFA sur les services exposés.

Très souvent, le risque le plus immédiat n’est pas “le manque d’outil”, mais le trop-plein d’accès accordés depuis des mois sans revue sérieuse.

4. S’assurer que les sauvegardes sont restaurables

Une sauvegarde qu’on n’a jamais testée n’est pas une sauvegarde. C’est un espoir.

Dans la vraie vie, le jour où un incident arrive, la question n’est pas “avons-nous une politique de backup ?”

La question est :

peut-on restaurer vite, proprement, et sans mauvaise surprise ?

À ce stade, il faut tester :

  1. la présence réelle des sauvegardes ;
  2. leur fréquence ;
  3. leur isolation ;
  4. leur capacité de restauration ;
  5. le temps nécessaire au retour à la normale.

5. Préparer un minimum de réponse à incident

Pas un plan de 80 pages qui prend la poussière.

Juste quelque chose que les gens peuvent suivre sans paniquer.

Par exemple :

  1. qui alerter ;
  2. quels systèmes isoler en priorité ;
  3. quels journaux préserver ;
  4. comment escalader ;
  5. comment consigner les décisions ;
  6. qui valide la communication externe.

Ce point est d’autant plus important que l’espace NIS2 de MesServicesCyber met déjà en avant un parcours très concret : savoir si l’on est concerné, s’enregistrer auprès de l’ANSSI, agir pour réduire les risques et signaler un incident. (lab.cyber.gouv.fr)

6. Se servir de ReCyF comme point d’appui, pas comme montagne

C’est sans doute l’élément le plus utile apparu récemment.

Depuis le 17 mars 2026, l’ANSSI met à disposition ReCyF, présenté comme un référentiel listant les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2. Quelques jours plus tard, l’agence a aussi mis en avant le comparateur de référentiels et l’espace dédié sur MesServicesCyber. (cyber.gouv.fr)

Le bon réflexe n’est pas de vouloir tout traiter d’un coup.

Le bon réflexe, c’est :

  1. lire les grandes familles d’exigences ;
  2. repérer ce qui existe déjà ;
  3. noter ce qui manque ;
  4. prioriser.

Autrement dit : faire de ReCyF un outil d’orientation, pas un mur intimidant.

Ce que beaucoup de dirigeants sous-estiment encore

Le plus gros changement de NIS2 n’est pas technique.

Il est culturel.

On ne demande plus seulement aux organisations d’avoir “un peu de sécurité”.

On leur demande de pouvoir montrer qu’elles savent :

  1. où sont leurs risques ;
  2. comment elles les réduisent ;
  3. comment elles réagissent ;
  4. comment elles suivent leurs écarts.

Et ça, pour une direction, change la conversation.

La cybersécurité sort du domaine des spécialistes pour entrer dans celui du pilotage.

C’est exactement la direction prise plus largement par la stratégie de l’ANSSI pour 2025-2027, inscrite dans un cadre national de résilience cyber collective et dans la mise en œuvre du nouveau cadre réglementaire européen. (cyber.gouv.fr)

Par où commencer cette semaine, concrètement ?

Si vous voulez éviter le grand plan théorique qui n’avance jamais, faites seulement cela :

Cette semaine :

  1. listez vos 10 actifs les plus critiques ;
  2. nommez un responsable par actif ;
  3. vérifiez où le MFA manque encore ;
  4. faites un test de restauration simple ;
  5. écrivez une procédure d’alerte d’une page ;
  6. ouvrez ReCyF et comparez votre réalité à ce que vous pensez avoir mis en place. (cyber.gouv.fr)

Ce n’est pas spectaculaire.

C’est juste utile.

Conclusion

NIS2 n’est pas un sujet à “gérer plus tard quand on aura le temps”.

C’est plutôt un révélateur : il montre très vite quelles organisations connaissent réellement leur exposition, et lesquelles fonctionnent encore beaucoup à l’habitude.

La bonne approche, surtout pour une PME, n’est pas de courir après la perfection.

C’est de mettre en ordre ce qui est déjà là, de clarifier les responsabilités, de tester ce qui doit l’être, et d’avancer avec méthode.

Parce qu’au fond, la vraie question n’est pas :

“Sommes-nous déjà parfaitement prêts pour NIS2 ?”

La vraie question, c’est :

“Si un incident sérieux tombe demain matin, serons-nous capables de prouver que nous savions quoi faire ?”

Sources officielles utilisées : ANSSI, MesServicesCyber/ANSSI Lab, Vie publique, Légifrance. (cyber.gouv.fr)


Articles recommandés

Partager cet article

Twitter LinkedIn Email