La directive européenne « NIS 2 » marque un tournant pour la cybersécurité, incitant les entreprises et administrations à adopter une approche plus structurée et proactive en la matière.
Cas d’école avec la PME fictive Netanalyz.
Depuis près de vingt ans, Alex est le bâtisseur discret du système d’information de Netanalyz, fournisseur de solutions cloud souveraines pour les collectivités et les prestataires numériques. Son entreprise est agile et portée par une croissance continue. Alex a tout accompagné : les premiers serveurs, les migrations successives, les crises de croissance, les petits incendies techniques du quotidien.
Il a fait les choses sérieusement, parfois en avance : authentification forte, pare-feu bien dimensionné, politique de sauvegarde testée, segmentation des réseaux. Mais sans méthodologie formelle. La sécurité s’est construite dans l’usage et c’est précisément ce que la directive NIS 2 vient bousculer.
Car tout à coup, ce texte ne lui demande pas seulement de protéger, mais de prouver qu’il protège. De gouverner, de structurer, de documenter. NIS 2 impose un double déplacement : de la technique vers l’organisation, de l’action vers la traçabilité. Or Alex a une équipe réduite et décide seul de presque tout ce qui a trait au Système d’Information. De plus, ses dirigeants voient la cybersécurité comme un poste technique parmi d’autres.
Le réveil est d’autant plus brutal qu’Alex découvre que son entreprise est désormais classée « entité essentielle » et que plusieurs de ses clients le sont également. Cela ne signifie pas seulement qu’elle a des responsabilités. Cela signifie qu’elle peut être contrôlée, auditée, tenue responsable. Et que, dans ce cas, ce sera à lui d’expliquer.
Alors, comment structurer sa mise en œuvre des exigences sans service juridique, sans RSSI dédié ? Comment inscrire la sécurité dans une stratégie d’entreprise, quand tout a toujours reposé sur la capacité à faire vite et à faire bien ? C’est là que s’ouvre le dilemme d’Alex : continuer à faire comme avant ou poser un cadre, quitte à ralentir. Car le cœur du problème n’est pas technique, il est méthodologique. NIS 2 exige une formalisation et une hiérarchisation des priorités. Cela commence par savoir ce que l’on fait, comment on le fait, pourquoi on le fait, et comment on le prouve.
Alex comprend alors qu’il ne pourra pas simplement empiler de nouvelles procédures et outils sur l’existant. Il lui faut reprendre la main en posant des jalons. Il s’agit de suivre une trajectoire réaliste, celle qui lui permettra, en tant que DSI en PME, de transformer une contrainte réglementaire en levier stratégique pour son entreprise.
1. Établir sa feuille de route : cadrer son projet NIS 2
Alex sait désormais qu’il doit poser une feuille de route : un document clair, accessible, évolutif, qui met en cohérence ses connaissances du système, les obligations réglementaires et les objectifs de l’entreprise. Cette feuille de route sera un engagement structurant : voilà où nous en sommes, voilà ce qui nous manque, voilà ce que nous allons faire, dans quel ordre, et pourquoi.
Il commencera par y poser les axes de transformation : gouvernance, documentation, supervision, continuité d’activité. Puis il inscrira les risques prioritaires, les fonctions critiques, les échéances. Cette feuille de route deviendra un outil de dialogue. Avec sa direction, d’abord, qui pourra envisager le projet comme une démarche pilotée et progressive. Avec ses équipes, ensuite, qui auront besoin de visibilité pour s’impliquer, étape après étape. Avec ses partenaires, avec qui il devra s’aligner.
Cette première version de la feuille de route ne prétendra pas tout couvrir. Mais elle montrera qu’Alex n’agit pas en pompier, mais en chef d’orchestre.
2. Cartographier l’existant, les risques et les dépendances critiques
Une fois la feuille de route engagée, le premier chantier concret devra porter sur la cartographie. Il commencera par identifier les services essentiels : hébergement applicatif, supervision, authentification, gestion des noms de domaine. Puis il poursuivra avec les environnements cloud, les flux entre prestataires, les dépendances logicielles souvent laissées dans l’angle mort parce qu’elles n’ont jamais posé de problème. Il analysera les chemins que parcourt la donnée, ce qui transite, ce qui est exposé, ce qui reste sans surveillance active.
Au fil de ce travail, il verra émerger des zones d’incertitude : des API exposées, des environnements de test accessibles depuis l’extérieur, des configurations DNS anciennes confiées à des prestataires dont les engagements ne sont plus clairs.
Il devra aussi passer en revue ses prestataires, les cartographier comme il le ferait pour ses propres systèmes. Identifier ceux qui sont critiques, ceux qui agissent en profondeur dans l’architecture, ceux dont les responsabilités ne sont pas formalisées. Il identifiera les briques dépourvues de clauses de sécurité explicites, de plan de continuité, de clause de notification.
Enfin, il dressera la cartographie des accès, notamment ceux qui se sont accumulés au fil du temps sans jamais être remis en cause. Des comptes orphelins, des droits étendus non justifiés, des identifiants de prestataires jamais révoqués. Ce ne seront pas des anomalies isolées, mais le signe d’une culture de tolérance implicite, qui devra progressivement laisser place à une culture de la trace et de la responsabilité.
3. Réaliser une première analyse des risques, orientée vers les priorités
Alex se posera devant la cartographie avec son responsable infrastructure. Ils connaissent bien le système, mais cette fois, ils prendront le temps de relier les éléments entre eux : un module critique qui repose sur une API peu surveillée, un prestataire extérieur qui détient encore des accès sensibles, des flux circulants entre des environnements dont les frontières n’ont jamais été définies ni surveillées.
Ils ne chercheront pas à tout mesurer. Ils pointeront ce qui peut casser : ce qui interrompt, ce qui expose, ce qui laisse une trace trop large. Ils poseront les choses sur une feuille : à gauche, ce qui est vital ; à droite, ce qui dépend d’un tiers ; au centre, ce qui est flou. Cela donnera à Alex une première matrice, de quoi commencer.
4. Impliquer la direction et installer une gouvernance active
Quelques jours plus tard, Alex présentera l’analyse des risques à son directeur général et un planning de déploiement de NIS 2 sur trois ans, délai qu’il juge raisonnable pour mettre en œuvre les exigences. Pour suivre le projet, il demandera un comité de décision d’une heure tous les mois. Ce sera le début d’un cadre partagé.
5. Organiser la conduite du projet et structurer les actions
Fort de l’appui de sa direction, Alex pourra désormais structurer la conduite du projet dans la durée. Il organisera la mise en œuvre autour de cycles courts, avec un point opérationnel tous les quinze jours avec son équipe. Chaque chantier sera découpé en livrables concrets, associés à des objectifs, des risques identifiés et des responsabilités claires. Cette granularité permettra d’éviter la dispersion et rendra les progrès visibles.
Il s’attachera également à documenter au fil de l’eau. Progressivement, le respect des exigences s’installera comme une culture de gestion du risque, partagée, explicite et gouvernée. Alex devient le pilote d’une stratégie réaliste, propre à Netanalyz, alignée avec les exigences de NIS 2.
Conclusion
Netanalyz s’inscrira ainsi dans un processus de transformation entre un cadre réglementaire exigeant et les réalités opérationnelles d’une PME identifiée comme entité importante au titre de la directive NIS 2, en tant que fournisseur de services gérés dans le secteur de la gestion des services TIC (interentreprises). ll s’agira d’un travail de structuration progressive, fondé sur une connaissance approfondie des systèmes de l’entité et de leurs dépendances critiques. En tant que représentant de l’entité importante, Alex initiera cette transformation en articulant ancrage opérationnel, méthode et gouvernance.
Dans ce contexte, la formation de responsable de la mise en œuvre NIS 2 / NIS 2 Lead Implementer de l’Afnic fournit un cadre méthodologique clair et directement opérationnel, particulièrement adapté aux contraintes des petites et moyennes entreprises. Elle offre des repères méthodologiques concrets et transposables, permettant d’inscrire son projet NIS 2 dans une trajectoire durable pour l’entreprise.