Expertise Services Méthode Avis Audit Réalisations Ressources Profil

Guide NIS2

NIS2 pour PME et ETI : quoi cadrer avant de lancer un chantier conformité

NIS2 ne doit pas être abordée comme un simple projet documentaire. Pour une PME ou une ETI, le vrai sujet est de clarifier ce qui s'applique, qui porte le risque, quelles preuves existent déjà et quelles actions réduisent réellement l'exposition.

7 min Mis à jour : Mai 2026

Commencer par le périmètre réel

La première erreur consiste à demander si l'entreprise est conforme avant d'avoir clarifié le périmètre. Les activités, les entités, les services numériques, les sites et les fournisseurs ne portent pas tous le même niveau de criticité.

Un cadrage utile liste les processus critiques, les systèmes qui les supportent, les dépendances externes et les responsables capables d'arbitrer. Cette base évite de transformer NIS2 en inventaire interminable.

  • processus métier critiques
  • actifs numériques exposés
  • tiers et prestataires essentiels
  • responsabilités direction / DSI / métiers

Traduire la conformité en preuves

Une politique de sécurité écrite ne suffit pas si aucune routine ne permet de la maintenir. Pour chaque exigence, il faut identifier le contrôle concret, la preuve attendue, le propriétaire et la fréquence de revue.

Les preuves les plus utiles sont datées, compréhensibles et récupérables par une personne autre que leur auteur. C'est souvent là que les organisations découvrent que leur maturité réelle est différente de leur maturité déclarée.

Prioriser les risques au lieu de tout traiter

La mise en conformité ne demande pas de tout corriger en même temps. Elle demande une trajectoire proportionnée et défendable. Les accès à privilèges, les sauvegardes, la gestion des vulnérabilités, la supervision et les fournisseurs critiques sont souvent les premiers sujets à cadrer.

Un plan 30/60/90 jours permet de distinguer les actions urgentes, les preuves à produire et les chantiers plus structurants.

  • revue des comptes administrateurs
  • test de restauration
  • cartographie fournisseurs
  • registre des risques
  • plan de traitement

Questions fréquentes

Une PME doit-elle viser une conformité NIS2 complète immédiatement ?

Non. La priorité est de démontrer une trajectoire proportionnée : périmètre clair, risques prioritaires, responsabilités, preuves disponibles et actions engagées.

Quel livrable produire en premier ?

Une matrice simple exigences / contrôles / preuves / écarts / responsables. Elle donne une base exploitable pour décider et suivre.