NIS 2 et ReCyF en 2026 : plan d'action PME en 90 jours
NIS 2 : commencer par les preuves et les fondamentaux
La directive NIS 2 impose une montée en maturité cybersécurité pour un nombre beaucoup plus large d’organisations : de 500 entités concernées sous l’ancienne directive NIS 1, le périmètre français passe à 10 000, voire 15 000 à 18 000 entreprises selon les estimations. En France, le cadre final dépend encore de la transposition et des textes d’application (la loi Résilience restait non promulguée à l’été 2026), mais les fondamentaux sont déjà connus : gouvernance, gestion des risques, mesures de sécurité, continuité d’activité et notification des incidents.
Pour une PME, l’erreur serait d’attendre le dernier décret pour agir. Les actions utiles aujourd’hui sont les mêmes que celles attendues par les assureurs, clients grands comptes et partenaires : savoir ce que l’on protège, qui y accède, comment on restaure et comment on réagit en cas d’incident.
Un durcissement net par rapport à l’ancien régime
NIS 2 resserre fortement les délais de notification par rapport à la première directive NIS : l’alerte initiale à l’ANSSI doit désormais intervenir sous 24 heures après détection (contre 72 heures auparavant), suivie d’un rapport intermédiaire sous 72 heures, puis d’un rapport final détaillé dans le mois. Ce changement impose une capacité de détection et d’escalade interne beaucoup plus réactive qu’auparavant, ce qui explique pourquoi la journalisation et la procédure d’incident figurent parmi les priorités des 60 premiers jours de ce plan.
Autre évolution structurante : l’article 32 de la directive prévoit la possible mise en cause personnelle des dirigeants en cas de manquement grave, avec des mesures pouvant aller jusqu’à la suspension temporaire de leurs fonctions. La cybersécurité devient ainsi explicitement un sujet de gouvernance individuelle, pas seulement de conformité d’entreprise. Tant que la loi française de transposition n’est pas promulguée, ces sanctions ne s’appliquent pas encore en France ; mais le calendrier européen ne laisse guère de doute sur leur entrée en vigueur, et mieux vaut s’y préparer à froid que les découvrir sous la contrainte.
Jours 1 à 30 : reprendre la visibilité
- Inventorier les serveurs, postes, comptes administrateurs, applications critiques et prestataires.
- Identifier les données sensibles et les dépendances métier.
- Vérifier les comptes à privilèges : comptes dormants, mots de passe anciens, absence de MFA.
- Documenter les sauvegardes : périmètre, fréquence, lieu de stockage, dernier test de restauration.
- Lister les accès distants : VPN, VDI, comptes prestataires, ports exposés.
Cette première phase ne cherche pas la perfection. Elle vise à sortir du flou. Une entreprise qui ne sait pas précisément quels systèmes sont critiques ne peut pas prioriser ses mesures de sécurité.
Jours 31 à 60 : réduire les risques immédiats
- Activer ou renforcer le MFA sur les comptes sensibles, idéalement avec des méthodes résistantes au phishing (voir notre guide sur les passkeys et la MFA résistante au phishing).
- Séparer les comptes administrateurs des comptes bureautiques.
- Mettre à jour les systèmes les plus exposés.
- Fermer les accès inutiles et durcir les accès distants.
- Tester une restauration de sauvegarde.
- Mettre en place une journalisation minimale sur les services critiques.
- Formaliser une procédure d’incident simple : qui appeler, quoi couper, quoi préserver.
Ces actions réduisent fortement le risque opérationnel, même avant toute démarche de conformité formelle.
Jours 61 à 90 : structurer la conformité
- Écrire une cartographie simplifiée du SI.
- Documenter les mesures déjà en place.
- Définir un plan d’amélioration priorisé.
- Mettre à jour les clauses de sécurité avec les prestataires critiques.
- Préparer les preuves : comptes rendus de tests, politiques, inventaires, procédures.
- Sensibiliser les équipes aux risques les plus courants : phishing, mots de passe, validation des demandes sensibles.
Le mot clé est « proportionné ». Une PME n’a pas besoin de singer une grande organisation, mais elle doit pouvoir montrer une démarche cohérente, suivie et documentée. Avec un périmètre NIS 2 qui couvre potentiellement jusqu’à 18 000 entreprises en France, la probabilité qu’un donneur d’ordre exige déjà ces preuves contractuellement, même avant la promulgation définitive de la loi, augmente chaque mois.
Ce plan reste valable même sans être directement concerné par NIS 2
L’intérêt de ce plan en 90 jours dépasse la seule conformité réglementaire : ces mesures réduisent le risque réel d’incident, indépendamment du statut exact de votre entreprise au regard de NIS 2. Une entreprise qui n’est pas dans le périmètre direct mais qui travaille avec des donneurs d’ordre concernés aura de toute façon intérêt à pouvoir présenter cette démarche, ne serait-ce que pour répondre à un questionnaire de sécurité fournisseur.
Le rôle de l’audit initial
Un audit court permet de transformer une impression de risque en plan d’action. Il met en évidence les priorités : Active Directory, sauvegardes, accès distant, mises à jour, prestataires, supervision. C’est le bon point de départ pour préparer NIS 2, mais aussi pour améliorer réellement la résilience.
Si vous ne devez faire qu’une chose, commencez par là
Face à une liste de mesures, une PME sans moyens dédiés peut se sentir paralysée. La bonne nouvelle, c’est que toutes les actions n’ont pas le même rendement. Si l’on ne devait retenir qu’une priorité, ce serait le MFA sur les comptes à privilèges : c’est la mesure au meilleur rapport entre l’effort demandé et la protection obtenue, car elle bloque l’immense majorité des usurpations de compte. Vient juste derrière la sauvegarde testée et déconnectée, seul vrai filet en cas de ransomware.
Ces deux mesures ne cochent pas à elles seules toutes les cases de NIS 2, mais elles réduisent déjà le risque réel de façon spectaculaire. Commencer par le plus efficace, plutôt que de vouloir tout mener de front, reste la meilleure façon de ne pas rester bloqué au stade de l’intention.
Le délai de 24 heures, révélateur de votre préparation
Parmi toutes les exigences de NIS 2, le délai de notification de 24 heures est celui qui inquiète le plus les PME sans équipe sécurité, et à juste titre. Alerter l’ANSSI dans la journée qui suit la détection d’un incident majeur suppose déjà de le détecter, puis de le qualifier, puis de savoir qui prévient qui. Sans préparation, tenir ce délai en pleine crise relève de l’impossible.
C’est précisément pourquoi la journalisation et la procédure d’incident figurent dans les priorités des soixante premiers jours de ce plan. Le délai de 24 heures n’est pas seulement une contrainte réglementaire, c’est un test grandeur nature de la capacité de l’entreprise à réagir vite et de façon ordonnée. S’y préparer à froid, en écrivant à l’avance qui appeler, quoi couper et quoi préserver, transforme une exigence angoissante en réflexe applicable le jour venu.
Commencer maintenant, quel que soit le calendrier
Aucune démarche ne garantit l’absence de sanction ou d’incident, mais une entreprise capable de démontrer une posture cohérente, documentée et suivie dans le temps se trouve dans une position radicalement différente, face au régulateur comme face à son assureur, de celle qui n’a jamais rien formalisé. Ce plan en 90 jours n’attend pas la promulgation de la loi pour produire ses effets : il réduit le risque réel dès aujourd’hui, et ce sont exactement les preuves qu’un donneur d’ordre commence déjà à réclamer par contrat.
OLHYN peut vous accompagner avec un audit Active Directory, un forfait Audit & Sécurité et de la sensibilisation cybersécurité.
Sources : ANSSI, Directive NIS 2 · Forge Agency, NIS2 loi résilience 2026 · ANSSI, Guide d’hygiène informatique
Retrouvez l'ensemble de nos prestations informatiques pour entreprises.