Vous n'êtes peut-être pas directement visé par NIS2. Mais si vous travaillez avec des grandes entreprises, des collectivités ou des acteurs de secteurs réglementés, préparez-vous : vos clients vont bientôt vous poser des questions que vous n'attendez pas.
NIS2 oblige les entités concernées à sécuriser l'ensemble de leur chaîne d'approvisionnement. En clair : elles ne peuvent plus se contenter de sécuriser leur propre système. Elles doivent s'assurer que leurs prestataires et fournisseurs ne représentent pas un risque.
Pourquoi vous êtes dans le viseur ?
La majorité des cyberattaques réussies ne visent pas directement la grande entreprise. Elles passent par un sous-traitant moins bien protégé, pour remonter ensuite jusqu'à la cible principale.
Il existe de nombreux exemples en France et dans le monde d'entrepises attaquées via leur prestataires.
NIS2 tire les leçons de ces incidents. Résultat : vous êtes désormais un maillon de la chaîne de responsabilité.
Ce que vos clients vont concrètement vous demander
Voici les exigences qui arrivent — certaines dès maintenant, d'autres dans les prochains mois :
-
Un questionnaire de sécurité
- Niveau de maturité cyber de votre organisation
- Existence d'une gouvernance et d'une politique de sécurité formalisée
- Formalisme dans la gestion des accès (droits, mots de passe forts, MFA...)
- Des preuves de conformité
- Des certifications de cybersécurité sur un périmètre global (par exemple ISO 27001)
- Résultats d'un audit ou d'un test d'intrusion récent
- Attestation de votre prestataire de cybersécurité
- Des engagements contractuels
- Clause de notification d'incident sous 24 à 72 heures
- Droit d'audit de vos pratiques de sécurité
- Engagement sur la gestion de vos propres sous-traitants
- Une continuité d'activité documentée
- Plan de reprise en cas d'incident (PRA)
- Sauvegardes régulières et testées
- Procédures de gestion de crise
Ce que vous risquez si vous n'êtes pas prêt
Le risque n'est pas une amende directe — NIS2 ne vous sanctionne pas vous, mais votre client si vous lui causez un incident. En revanche, les conséquences pour votre activité peuvent être immédiates :
- Perte d'un contrat : votre client est dans l'obligation de ne travailler qu'avec des prestataires jugés fiables
- Exclusion d'appels d'offres : de plus en plus, le niveau de sécurité devient un critère de sélection
- Responsabilité civile : si un incident chez vous provoque un dommage chez votre client, vous pouvez être poursuivi
Comment anticiper dès maintenant ?
Pas besoin d'une certification ISO 27001 du jour au lendemain. L'essentiel est de montrer que vous prenez le sujet au sérieux et que vous progressez.
Quelques actions concrètes pour commencer :
- Formaliser votre politique de gestion des mots de passe
- Mettre en place une authentification à deux facteurs sur vos outils principaux
- Vérifier que vos sauvegardes sont régulières et testées
- Réaliser un diagnostic de votre niveau de sécurité pour savoir où vous en êtes
- Préparer un document synthétique présentant vos mesures de sécurité — vous aurez à le partager
ISOTOPIC peut vous aider à structurer cette démarche rapidement, sans tout transformer d'un coup.
👉 ISO27001 ou NIS2 : laquelle s'applique à votre entreprise ?