La cybersecurite n'est plus une option pour les PME francaises. Avec la transposition de la directive europeenne NIS2 en droit francais via la loi Resilience, adoptee au premier trimestre 2026, des milliers d'entreprises qui n'etaient pas concernees par les reglementations precedentes se retrouvent avec des obligations concretes et des echeances serrees. Voici ce que vous devez savoir et comment vous preparer avant l'enforcement prevu au quatrieme trimestre 2026.
NIS2 et loi Resilience : de quoi parle-t-on exactement
La directive NIS2 (Network and Information Security 2) est le nouveau cadre europeen de cybersecurite, qui remplace la directive NIS1 de 2016. Son ambition : elever drastiquement le niveau de securite informatique dans l'ensemble de l'Union europeenne en elargissant considerablement le perimetre des organisations concernees.
En France, cette directive est transposee par la loi Resilience, adoptee au cours du premier trimestre 2026. Cette loi adapte les exigences europeennes au contexte francais et confie a l'ANSSI (Agence Nationale de la Securite des Systemes d'Information) le role d'autorite de controle. L'enforcement — c'est-a-dire les controles et les sanctions — debutera au quatrieme trimestre 2026.
Le changement majeur par rapport a NIS1 : le nombre d'entites concernees passe d'environ 500 a plus de 15 000 organisations en France. Beaucoup de PME decouvrent qu'elles sont dans le perimetre.
Qui est concerne : entites essentielles et entites importantes
NIS2 distingue deux categories d'organisations :
Les entites essentielles
Ce sont les grandes organisations operant dans des secteurs critiques : energie, transport, sante, eau potable, infrastructures numeriques, administration publique, espace. Elles sont soumises aux obligations les plus strictes et aux controles les plus frequents.
Les entites importantes
C'est ici que de nombreuses PME entrent dans le perimetre. Sont concernees les entreprises de 50 salaries ou plus (ou plus de 10 millions d'euros de CA) operant dans 18 secteurs d'activite : services postaux, gestion des dechets, fabrication, chimie, agroalimentaire, fabrication de dispositifs medicaux, services numeriques, recherche, fournisseurs de services TIC, et bien d'autres.
Attention : meme les entreprises plus petites peuvent etre concernees si elles sont fournisseurs critiques d'une entite essentielle ou importante. La chaine d'approvisionnement est au coeur de NIS2. Si vous etes prestataire informatique, hebergeur ou sous-traitant d'une entreprise concernee, vous pouvez etre dans le perimetre par ricochet.
La premiere etape est donc de verifier si vous etes concerne. L'ANSSI met a disposition un outil d'auto-evaluation sur son site. En cas de doute, consultez un expert.
Les 10 mesures de securite obligatoires
La loi Resilience impose un socle de 10 mesures de securite que toute entite concernee doit mettre en place :
1. Analyse de risques et politique de securite : identifier les risques pesant sur vos systemes d'information et definir une politique de securite formalisee.
2. Gestion des incidents : mettre en place des procedures de detection, d'analyse et de reponse aux incidents de securite.
3. Continuite d'activite : disposer de plans de sauvegarde, de reprise et de gestion de crise.
4. Securite de la chaine d'approvisionnement : evaluer et gerer les risques lies a vos fournisseurs et prestataires.
5. Securite de l'acquisition, du developpement et de la maintenance des systemes : integrer la securite des le developpement de vos outils et applications.
6. Evaluation de l'efficacite des mesures : tester regulierement vos dispositifs de securite (audits, tests d'intrusion).
7. Pratiques de cyber-hygiene et formation : former vos collaborateurs aux bonnes pratiques et maintenir une hygiene numerique quotidienne.
8. Politiques de chiffrement : proteger les donnees sensibles par le chiffrement, en transit comme au repos.
9. Securite des ressources humaines et controle d'acces : gerer finement les droits d'acces et sensibiliser les collaborateurs.
10. Authentification multi-facteurs et communications securisees : deployer le MFA et securiser les communications internes et externes.
Notification obligatoire sous 24 heures
L'une des obligations les plus contraignantes de NIS2 est la notification d'incident. En cas d'incident de securite significatif, vous devez :
Sous 24 heures : envoyer une alerte initiale a l'ANSSI, meme si les informations sont encore partielles. Sous 72 heures : fournir une notification complete avec une premiere analyse de l'incident. Sous 1 mois : remettre un rapport final detaillant les causes, l'impact et les mesures correctives mises en place.
Ces delais sont extremement courts. Sans processus de detection et de remontee d'information preetablis, il est quasiment impossible de les respecter. C'est pourquoi la preparation en amont est essentielle.
La responsabilite des dirigeants
NIS2 introduit une nouveaute majeure : la responsabilite personnelle des dirigeants. Les membres de la direction peuvent etre tenus personnellement responsables en cas de manquement aux obligations de cybersecurite.
Concretement, cela signifie que les dirigeants doivent approuver les mesures de gestion des risques, suivre leur mise en oeuvre et se former aux enjeux de cybersecurite. L'ignorance n'est plus une excuse recevable.
Les sanctions prevues sont dissuasives : jusqu'a 10 millions d'euros ou 2 % du CA mondial pour les entites essentielles, et 7 millions d'euros ou 1,4 % du CA pour les entites importantes. Sans compter la possibilite d'interdiction temporaire d'exercer des fonctions de direction.
Les couts de mise en conformite : ce qu'il faut prevoir
Soyons transparents sur les couts. En fonction de la taille de votre entreprise et de votre niveau de maturite actuel en cybersecurite, le budget de mise en conformite varie significativement :
TPE/petite PME (50-100 salaries) : comptez entre 35 000 et 70 000 euros pour un audit initial, la mise en place des mesures de base, la formation du personnel et les outils de surveillance.
PME moyenne (100-250 salaries) : le budget se situe entre 70 000 et 120 000 euros, avec un perimetre plus large et des exigences de documentation plus poussees.
ETI (250+ salaries) : prevoyez entre 120 000 et 180 000 euros, incluant des solutions de SOC (Security Operations Center), des tests d'intrusion approfondis et une gouvernance formalisee.
Ces montants peuvent sembler importants, mais ils sont a mettre en perspective avec le cout moyen d'une cyberattaque pour une PME : entre 25 000 et 50 000 euros en moyenne, sans compter la perte de chiffre d'affaires, l'atteinte a la reputation et le temps de reprise. 43 % des PME ont ete touchees par une cyberattaque en 2025.
Comment se preparer : plan d'action en 6 etapes
Etape 1 — Verifiez votre eligibilite : utilisez l'outil d'auto-evaluation de l'ANSSI et consultez la liste des secteurs concernes.
Etape 2 — Realisez un audit de maturite : evaluez votre niveau actuel de cybersecurite pour identifier les ecarts avec les exigences NIS2.
Etape 3 — Priorisez les actions : commencez par les quick wins (MFA, sauvegardes, formation de base) avant de vous attaquer aux chantiers plus lourds.
Etape 4 — Formalisez vos politiques : redigez vos politiques de securite, vos procedures de gestion d'incidents et vos plans de continuite.
Etape 5 — Formez vos equipes : la cybersecurite est l'affaire de tous. Investissez dans la formation et la sensibilisation de l'ensemble de vos collaborateurs.
Etape 6 — Testez et ameliorez : organisez des exercices de crise, des tests d'intrusion et des audits reguliers pour verifier l'efficacite de vos mesures.
Chez Go To Agency, nous accompagnons les entreprises dans la securisation de leurs outils numeriques. Nos equipes de developpement integrent les bonnes pratiques de securite des la conception de vos sites et applications. La strategie digitale que nous deployons pour nos clients tient compte des exigences reglementaires actuelles.
Vous voulez evaluer votre exposition a NIS2 et preparer votre mise en conformite ? Demandez un devis pour un accompagnement sur mesure. Nous analysons votre situation, identifions vos priorites et vous proposons un plan d'action adapte a votre budget et a vos contraintes.