UrbaHiveUrbaHive
    Conformité & Sécurité

    NIS2 et PME/ETI : comment la cartographie SI vous aide à être conforme

    Obligations concrètes de la directive NIS2 pour les PME et ETI : découvrez comment la cartographie de votre SI vous aide à atteindre la conformité et à réussir vos audits.

    20 mars 2026
    8 min de lecture
    F

    Frédéric Le Bris

    CEO & Co-fondateur

    La directive europeenne NIS2 (Network and Information Security 2) est entree en vigueur et change la donne pour des milliers de PME et ETI en France. Pour le secteur financier, la reglementation DORA vient completer ce dispositif. Si la premiere version de la directive (NIS1) ne concernait que quelques centaines de grandes entreprises et operateurs critiques, NIS2 elargit considerablement le perimetre : on estime que plus de 10 000 entites francaises sont desormais concernees, dont de nombreuses PME et ETI.

    Et pourtant, selon les premieres enquetes, plus de 60 % des entreprises nouvellement concernees n'ont pas encore commence leur mise en conformite. Le risque ? Des sanctions financieres, mais surtout une exposition accrue aux cyberattaques dont les PME sont les cibles privilegiees.

    Ce guide vous explique concretement ce que NIS2 implique pour votre entreprise et comment la cartographie de votre SI est un levier essentiel pour atteindre la conformite.

    NIS2 : ce qui change pour les PME et ETI

    Le contexte

    La directive NIS2 (Directive (UE) 2022/2555) a ete adoptee par le Parlement europeen fin 2022. Elle remplace la directive NIS1 de 2016 et renforce considerablement les exigences en matiere de cybersecurite pour les entreprises europeennes.

    La transposition en droit francais est en cours, pilotee par l'ANSSI (Agence nationale de la securite des systemes d'information), qui sera l'autorite competente pour la France.

    Qui est concerne ?

    NIS2 definit deux categories d'entites :

    Entites essentielles (obligations les plus strictes) :

    • Energie, transports, sante, eau potable, infrastructures numeriques
    • Administrations publiques
    • Secteur spatial

    Entites importantes (obligations legerement allegees) :

    • Services postaux, gestion des dechets, industrie chimique
    • Agroalimentaire, fabrication de dispositifs medicaux
    • Fournisseurs de services numeriques
    • Recherche

    Le critere de taille : sont concernees les entreprises de plus de 50 salaries ou realisant plus de 10 millions d'euros de chiffre d'affaires dans les secteurs listes. Mais attention : certaines entreprises plus petites peuvent etre concernees si elles sont jugees critiques par les Etats membres.

    Le point cle : de nombreuses PME et ETI qui n'etaient pas concernees par NIS1 le sont desormais par NIS2. Si vous etes fournisseur d'une entite essentielle, vous pouvez egalement etre indirectement concerne par les exigences de securite de la chaine d'approvisionnement.

    Les obligations principales

    NIS2 impose aux entites concernees un ensemble d'obligations de cybersecurite :

    • Analyse des risques : evaluer regulierement les risques pesant sur vos systemes d'information
    • Gestion des incidents : mettre en place des procedures de detection, de reponse et de notification des incidents de securite
    • Continuite d'activite : disposer de plans de continuite et de reprise d'activite
    • Securite de la chaine d'approvisionnement : evaluer et gerer les risques lies a vos fournisseurs et prestataires IT
    • Securite dans l'acquisition et le developpement : integrer la securite dans le cycle de vie des systemes
    • Evaluation de l'efficacite : tester et auditer regulierement vos mesures de securite
    • Hygiene cyber de base : formation, gestion des acces, chiffrement, authentification multi-facteur
    • Notification des incidents : alerter l'autorite competente (l'ANSSI en France) dans les 24 heures pour une alerte initiale, puis un rapport complet sous 72 heures

    Les sanctions

    Les sanctions prevues par NIS2 sont significatives :

    • Entites essentielles : jusqu'a 10 millions d'euros ou 2 % du CA mondial
    • Entites importantes : jusqu'a 7 millions d'euros ou 1,4 % du CA mondial
    • Responsabilite des dirigeants : les dirigeants peuvent etre personnellement tenus responsables en cas de manquement grave

    Pourquoi la cartographie SI est indispensable pour NIS2

    Le lien entre cartographie et conformite

    La quasi-totalite des obligations NIS2 repose sur un prerequis fondamental : connaitre son systeme d'information. Vous ne pouvez pas proteger ce que vous ne connaissez pas.

    La cartographie SI repond directement a plusieurs exigences de la directive :

    1. L'analyse des risques

    Pour evaluer les risques, il faut d'abord savoir :

    • Quelles applications composent votre SI
    • Quelles donnees elles traitent (donnees personnelles, donnees critiques metier)
    • Comment elles sont interconnectees
    • Quels sont les points de defaillance potentiels

    Sans cartographie, votre analyse des risques sera incomplete et peu fiable. Avec une cartographie a jour, vous pouvez systematiquement identifier les zones a risque.

    2. La gestion des incidents

    Quand un incident de securite survient, vous devez pouvoir :

    • Identifier rapidement le perimetre impacte : quels systemes, quelles donnees, quels utilisateurs ?
    • Evaluer l'impact metier : quels processus sont affectes ?
    • Contenir la propagation : quels systemes faut-il isoler pour empecher l'incident de s'etendre ?

    La cartographie vous donne une vue des dependances qui permet de repondre a ces questions en minutes plutot qu'en heures.

    3. La securite de la chaine d'approvisionnement

    NIS2 exige d'evaluer les risques lies a vos fournisseurs IT. La cartographie vous permet de :

    • Lister tous vos fournisseurs et prestataires IT
    • Identifier les applications et donnees critiques hebergees ou gerees par des tiers
    • Evaluer le niveau de dependance envers chaque fournisseur
    • Identifier les points uniques de defaillance dans votre chaine d'approvisionnement

    4. La continuite d'activite

    Un plan de continuite credible necessite de connaitre :

    • Les applications critiques pour chaque processus metier
    • Les dependances entre applications (si A tombe, B et C tombent aussi)
    • Les donnees essentielles et leurs emplacements de sauvegarde
    • Les delais de reprise acceptables pour chaque composant

    La cartographie est la colonne vertebrale de votre plan de continuite.

    Checklist de conformite NIS2 pour les PME/ETI

    Utilisez cette checklist pour evaluer votre niveau de preparation :

    Gouvernance et organisation

    • [ ] Un responsable de la securite des SI (RSSI ou equivalent) est designe
    • [ ] La direction est impliquee et informee des enjeux NIS2
    • [ ] Un budget cybersecurite est identifie et alloue
    • [ ] Les roles et responsabilites en matiere de securite sont definis

    Connaissance du SI

    • [ ] Un inventaire complet des applications est realise et a jour
    • [ ] Les flux de donnees entre applications sont documentes
    • [ ] Les actifs critiques (applications, donnees, infrastructures) sont identifies
    • [ ] Les fournisseurs et prestataires IT sont listes avec leur perimetre d'intervention
    • [ ] Les dependances entre systemes sont cartographiees

    Analyse des risques

    • [ ] Une analyse des risques formelle est realisee sur les actifs critiques
    • [ ] Les risques sont priorises selon leur impact et leur probabilite
    • [ ] Un plan de traitement des risques est defini et suivi
    • [ ] L'analyse des risques est revue au moins annuellement

    Protection

    • [ ] L'authentification multi-facteur est deployee sur les acces critiques
    • [ ] Les acces sont geres selon le principe du moindre privilege
    • [ ] Les donnees sensibles sont chiffrees (en transit et au repos)
    • [ ] Les mises a jour de securite sont appliquees dans des delais definis
    • [ ] La segmentation reseau est en place pour les systemes critiques

    Detection et reponse aux incidents

    • [ ] Des outils de detection des incidents sont deployes
    • [ ] Une procedure de reponse aux incidents est formalisee et testee
    • [ ] Les equipes sont formees a la gestion d'incident
    • [ ] Le processus de notification a l'ANSSI est defini (alerte 24h, rapport 72h)
    • [ ] Des exercices de simulation d'incident sont realises au moins annuellement

    Continuite d'activite

    Chaine d'approvisionnement

    • [ ] Les fournisseurs critiques sont identifies et evalues
    • [ ] Des exigences de securite sont integrees dans les contrats fournisseurs
    • [ ] La securite des fournisseurs est revue regulierement
    • [ ] Un plan de substitution existe pour les fournisseurs critiques

    Formation et sensibilisation

    • [ ] Un programme de sensibilisation a la cybersecurite est en place
    • [ ] Les dirigeants suivent une formation specifique (obligation NIS2)
    • [ ] Les equipes IT sont formees aux pratiques de securite
    • [ ] Des campagnes de test (phishing, etc.) sont realisees regulierement

    Plan d'action en 6 etapes pour les PME/ETI

    Etape 1 : Determiner si vous etes concerne (immediat)

    Verifiez si votre entreprise entre dans le perimetre de NIS2 :

    • Votre secteur d'activite est-il liste dans la directive ?
    • Depassez-vous les seuils de taille (50 salaries ou 10 M EUR de CA) ?
    • Etes-vous fournisseur d'une entite essentielle ?

    En cas de doute, consultez le site de l'ANSSI ou un expert en cybersecurite.

    Etape 2 : Cartographier votre SI (mois 1-2)

    C'est la fondation de tout le reste. Sans cartographie, les etapes suivantes seront approximatives et inefficaces.

    Concretement :

    • Inventoriez toutes vos applications et systemes
    • Documentez les flux de donnees critiques
    • Identifiez les dependances entre systemes
    • Listez vos fournisseurs IT et leur perimetre
    • Classez vos actifs par niveau de criticite

    Etape 3 : Realiser l'analyse des risques (mois 2-3)

    En vous appuyant sur votre cartographie :

    • Identifiez les menaces pertinentes pour votre secteur et votre SI
    • Evaluez la vulnerabilite de chaque actif critique
    • Estimez l'impact potentiel d'un incident sur chaque composant
    • Priorisez les risques et definissez les actions de remediation

    Etape 4 : Mettre en place les mesures de securite prioritaires (mois 3-6)

    Concentrez-vous d'abord sur les mesures a fort impact et faible cout :

    • Deployer l'authentification multi-facteur
    • Mettre a jour les systemes critiques
    • Formaliser la procedure de reponse aux incidents
    • Mettre en place des sauvegardes testees
    • Former les equipes aux gestes de base

    Etape 5 : Formaliser la gouvernance (mois 4-6)

    • Nommer un responsable securite
    • Definir les roles et responsabilites
    • Mettre en place les comites de suivi
    • Documenter les politiques de securite
    • Informer et impliquer la direction

    Etape 6 : Maintenir et ameliorer en continu (en permanence)

    • Mettre a jour la cartographie a chaque changement significatif du SI
    • Reviser l'analyse des risques au moins annuellement
    • Tester les plans de continuite et de reprise
    • Former regulierement les collaborateurs
    • Suivre les evolutions reglementaires et les recommandations de l'ANSSI

    Les erreurs a eviter

    • Attendre la derniere minute : la mise en conformite NIS2 prend 6 a 12 mois minimum. Appuyez-vous sur un schema directeur SI pour structurer votre demarche. Ne pas demarrer maintenant, c'est prendre le risque d'etre en infraction
    • Confondre conformite et securite : la conformite est un minimum legal. La securite reelle va au-dela. Visez la securite, la conformite suivra naturellement
    • Traiter NIS2 comme un projet purement IT : NIS2 implique la direction, les metiers, les RH, les achats. C'est un projet d'entreprise qui necessite une gouvernance IT adaptee
    • Sous-estimer la chaine d'approvisionnement : vos fournisseurs IT sont un vecteur de risque majeur. Les ignorer, c'est laisser une porte ouverte
    • Ne pas maintenir la cartographie : une cartographie obsolete est pire qu'aucune cartographie, car elle donne un faux sentiment de securite. Evitez les approches basees sur Excel qui rendent la mise a jour laborieuse

    Comment UrbaHive vous aide a etre conforme NIS2

    La conformite NIS2 commence par la connaissance de votre SI. UrbaHive vous fournit exactement cela :

    • Inventaire complet et a jour de votre portefeuille applicatif, y compris les fournisseurs et les technologies utilisees
    • Cartographie des dependances entre applications pour comprendre les impacts en cascade en cas d'incident
    • Documentation des flux de donnees pour identifier ou transitent les donnees critiques
    • Classification des actifs par niveau de criticite pour prioriser les mesures de securite
    • Vues collaboratives pour partager la connaissance du SI avec la direction, le RSSI, et les auditeurs
    • Historique des changements pour demontrer lors d'un audit que votre cartographie est maintenue a jour

    Lors d'un audit NIS2, votre cartographie UrbaHive sera votre meilleur allie : elle demontre que vous connaissez votre SI, que vous gerez vos risques de maniere structuree, et que vous maintenez une vision a jour de vos actifs critiques.

    Ne laissez pas NIS2 devenir une source de stress. Transformez cette obligation en opportunite pour renforcer votre SI et proteger votre entreprise.

    Decouvrez comment UrbaHive vous accompagne vers la conformite NIS2 : demandez une demo.

    Tags:
    NIS2
    conformité-NIS2
    cybersécurité-PME
    directive-NIS2
    cartographie-SI

    Prêt à transformer votre gestion IT ?

    Découvrez comment UrbaHive peut vous aider.

    Essai gratuit