NIS 2 : comment se préparer à l’application de la directive en 2025 ?

Les contours de la directive NIS 2 se précisent de plus en plus à mesure que les travaux de transposition avancent au niveau national. Dernier événement en date : l’adoption par le Sénat, en mars 2025, du projet de loi n°78, marquant une avancée notable dans l’intégration de cette dernière dans le droit français.

Si la transposition n’est pas encore officiellement finalisée, l’ANSSI a déjà fourni plusieurs éléments de cadrage autour de 20 objectifs de sécurité, afin de préparer les entreprises à sa prochaine application.

Comment se préparer à son application ? Quel est le calendrier à anticiper pour se mettre en conformité ? Quels sont les dispositifs concrets que les entreprises peuvent déjà mettre en place ? Et comment Formind accompagne les organisations dans la mise en œuvre opérationnelle des mesures de sécurité ?

Éléments de réponse avec nos experts.

Où en est-on de la mise en place de la directive NIS 2 ?

Suite à la préparation du projet de loi, présenté au Conseil des Ministres le 15 octobre 2024, la transposition de la directive NIS 2 sur le territoire national poursuit son parcours législatif avant de passer au Parlement pour adoption.

Le 12 mars 2025, le Sénat a adopté ce même projet structurant destiné à la fois à renforcer et à homogénéiser le niveau de sécurité informatique des entreprises et cela à l’échelle nationale, incluant une avancée importante dans la transposition de plusieurs directives européennes, dont NIS 2. Il intègre également les directives DORA, applicable au secteur financier, et REC, centrée sur la résilience des entités critiques.

Il est à noter que l’entrée en vigueur des exigences réglementaires se fera de manière progressive, compte tenu de l’ampleur du chantier. Pour rappel, la directive NIS 2 va concerner environ 15 000 entités, réparties sur 18 secteurs d’activité.

Cette approche échelonnée a également été évoquée par Vincent Strubel, Directeur général de l’ANSSI, qui indiquait lors du Forum InCyber à Lille en mars 2025, qu’un délai d’environ trois ans serait nécessaire pour atteindre un niveau de conformité total.

4 piliers pour se préparer à la directive NIS 2

C’est pour accompagner au mieux les organisations dans cette trajectoire que l’ANSSI a défini une grille de 20 objectifs de sécurité, répartis en quatre grands piliers : gouvernance, protection, défense et résilience.

1.     Gouvernance

Le premier pilier défini par l’ANSSI concerne la gouvernance. Comme le rappelle Simon Dubbeld, Responsable de l’offre Homologation et NIS 2 chez Formind : « la gouvernance, c’est l’établissement des règles de sécurité à respecter au sein de l’entreprise. C’est aussi la montée en maturité de tous les acteurs — qu’il s’agisse des utilisateurs, des administrateurs systèmes, des développeurs ou des dirigeants ou bien des tiers — sur l’ensemble des sujets relatifs à la cybersécurité ».

Ainsi, la gouvernance englobe un ensemble de thèmes et de sous-thèmes, pilotés notamment à travers la Politique de Sécurité des Systèmes d’Information (PSSI), document fondateur servant à structurer et diffuser l’ensemble des politiques, procédures et responsabilités dans l’organisation.

Mais comme le souligne Nadir Djedid, Directeur Conformité chez Formind, la gouvernance ne consiste pas seulement à définir des règles : « Elle a aussi vocation à veiller à ce qu’elles soient effectivement appliquées. Cela implique par exemple de mettre en place un comité de pilotage de la conformité qui se réunit régulièrement, avec un ordre du jour précis, des décisions tracées et des actions suivies. »

C’est dans cette optique que l’ANSSI définit six sous-objectifs de sécurité, permettant aux entités de structurer concrètement leur gouvernance :

1. Recensement des systèmes d’information réglementés (SIR) : L’entité identifie précisément les actifs numériques.
2. Mise en place d’un cadre de gouvernance de la sécurité numérique : L’entité doit définir clairement les responsabilités en matière de cybersécurité, formaliser les règles internes (politiques, procédures) et structurer un comité de pilotage.
3. Adoption d’une approche basée sur les risques : L’organisation doit fonder sa stratégie de sécurité sur l’analyse des risques. Cela implique d’identifier les menaces, d’évaluer leur impact sur les activités critiques et de prioriser les mesures à mettre en œuvre.
4. Maîtrise de l’écosystème : L’entité intègre les exigences de cybersécurité dans la gestion des tiers, des fournisseurs et des systèmes acquis.
5. Audit régulier de la sécurité : Des audits doivent être réalisés à intervalles réguliers pour évaluer l’efficacité des dispositifs de sécurité mis en place.
6. Intégration de la sécurité dans les ressources humaines : L’organisation doit sécuriser toutes les étapes du cycle de vie des collaborateurs : recrutement, période d’activité, et départ.

Face à ces exigences, Formind propose un accompagnement structuré, mobilisant l’ensemble de ses offres GRC : CISO Desk, Gestion des risques, Audit/Conformité et Résilience . Grâce à une approche personnalisée, nos experts permettent aux organisations de bâtir une gouvernance conforme aux attentes de NIS 2, et alignée sur les meilleures pratiques de sécurité.

2.    Protection

Le second pilier du cadre de sécurité proposé par l’ANSSI concerne la protection des systèmes d’information. Il vise à garantir la sécurisation effective des actifs critiques des entités essentielles et importantes.

L’objectif est de mettre en œuvre des mesures concrètes pour limiter les risques d’intrusion, de compromission ou de défaillance technique. Ce pilier s’appuie sur huit sous-objectifs que chaque organisation devra maîtriser :

1. Maîtrise des systèmes d’information réglementés (SIR) : L’organisation doit identifier, documenter et suivre l’ensemble des composants techniques (équipements, logiciels, données, interconnexions) qui composent ses systèmes critiques.
2. Contrôle des accès physiques aux locaux sensibles : L’accès aux espaces abritant les systèmes d’information critiques doit être strictement limité aux personnes autorisées. Cela implique la mise en place de mesures telles que le contrôle d’accès par badge, la vidéosurveillance ou les dispositifs anti-intrusion.
3. Sécurisation de l’architecture des systèmes d’information : L’organisation doit concevoir ses architectures systèmes et réseaux de manière sécurisée, en appliquant les principes de cloisonnement, de segmentation, et de limitation des points d’entrée.
4. Encadrement des accès distants : Tous les accès à distance aux systèmes d’information critiques doivent être protégés par des solutions robustes (chiffrement, authentification forte, VPN), avec des restrictions précises sur les usages autorisés.
5. Protection contre les codes malveillants : Des dispositifs doivent être déployés pour détecter et bloquer les programmes malveillants (antivirus, antimalwares EDR), y compris sur les postes utilisateurs et les serveurs.
6. Configuration sécurisée des ressources : Tous les équipements doivent être configurés selon des standards de sécurité (durcissement, désactivation des services inutiles, gestion des mises à jour) afin de limiter les vulnérabilités exploitables.
7. Gestion des identités et des accès : L’organisation doit définir des règles strictes pour la création, l’attribution, la révision et la suppression des comptes utilisateurs. Les droits doivent être limités au strict nécessaire (principe du moindre privilège).
8. Sécurisation de l’administration : Les actions des administrateurs doivent être encadrées, tracées et soumises à des règles spécifiques, afin d’éviter les abus de privilèges et les erreurs de configuration.

Formind accompagne les organisations dans la mise en œuvre d’une gestion d’identité et d’accès (IAM) sécurisée conforme aux exigences réglementaires telles que NIS 2. Nos experts interviennent sur l’ensemble du cycle de vie de la gestion des identités : définition des rôles, gestion des habilitations, traçabilité des accès et proposent également de l’expertise sur la sécurité cloud, périmétrique et AD.

Cette approche permet de maîtriser les risques liés aux comptes à privilèges, de renforcer la posture de sécurité et de documenter les contrôles attendus en matière de conformité.

3.    Défense

Le pilier Défense vise à renforcer la capacité des entreprises à prévenir les compromissions via un encadrement rigoureux de l’administration des systèmes, à détecter les signaux faibles de compromission et à réagir rapidement aux incidents.

Voici les trois sous-objectifs de sécurité opérationnels définis par l’ANSSI :

1. Sécuriser les environnements d’administration : Les actions d’administration (paramétrage, mises à jour, pilotage technique) doivent être réalisées depuis des ressources dédiées, isolées des usages bureautiques.
2. Mettre en place une supervision continue des systèmes critiques : L’entreprise doit disposer d’une capacité de surveillance des systèmes d’information réglementés, en s’appuyant sur des dispositifs de journalisation, d’analyse des événements et de détection des anomalies.
3. Structurer une capacité de réaction aux incidents : L’organisation doit définir un processus clair de gestion des incidents de sécurité. Cela implique la qualification des incidents, l’identification des actions correctives, la documentation des réponses apportées et l’analyse post-incident.

À ce titre Formind dispose de son propre SOC (Security Operations Center), assurant une supervision continue des systèmes d’informations, ainsi que d’une Force d’Intervention Rapide (FIR) mobilisable en cas de cyberattaque majeure, comme un ransomware ou une compromission à grande échelle.

Formind fournit également l’appui nécessaire pour la communication de crise, la notification réglementaire à l’ANSSI, et la reconstruction sécurisée des environnements affectés.

4.   Resilience

Le pilier Résilience vise à s’assurer que les entreprises peuvent faire face à une cyberattaque sans rupture durable de leurs activités. Il ne s’agit pas seulement de se défendre, mais de poursuivre l’activité, même en contexte dégradé, et de revenir à un état nominal maîtrisé après un incident.

Voici les trois sous-objectifs de ce pilier :

1. Mettre en place des capacités de continuité et de reprise d’activité : L’entreprise doit disposer de plans de continuité (PCA) et de reprise d’activité (PRA) adaptés à ses systèmes d’information.
2. Organiser une capacité de réaction à la crise d’origine cyber : Cela implique l’identification des rôles clés, la mise en place de cellules de crise, la coordination entre métiers et IT, ainsi que la planification de la communication interne et externe.
3. Tester régulièrement les capacités opérationnelles : Les mécanismes de résilience doivent être testés par des exercices réguliers : simulation de crise cyber, test de bascule, restauration de sauvegardes.

Formind accompagne les organisations dans l’élaboration et le renforcement de leur résilience métier. Nos experts conçoivent des PCA/PRA alignés sur les exigences réglementaires, organisent des exercices de crise réalistes (y compris multi-entités ou en lien avec la chaîne fournisseur), et évaluent l’efficacité des dispositifs en place.

Formind vous accompagne dans la mise en place de votre conformité NIS 2

Face à l’ambition et à la rigueur de la directive NIS 2, les entreprises doivent pouvoir compter sur un partenaire capable de les accompagner sur l’ensemble du cycle de mise en conformité.

C’est précisément la force de Formind comme le résume Nadir Djedid : « La directive NIS 2 exige une gestion de la sécurité informatique à 360°, qui mobilise à la fois du conseil stratégique, de l’intégration technique et des services managés. C’est précisément ce que propose Formind. Nous sommes l’un des rares cabinets à maîtriser l’ensemble de cette chaîne : conseil, intégration de solutions et SOC managé. C’est cette capacité à accompagner nos clients de manière globale qui nous différencie. »

Mais au-delà de l’expertise technique, Formind s’illustre aussi par sa proximité avec les instances de régulation comme le rappelle Simon Dubbeld.

« Nous suivons de très près l’évolution du cadre NIS 2, en lien direct avec l’ANSSI. Notre connaissance approfondie du référentiel, combinée à notre accès régulier aux informations sur l’état d’avancement de la transposition, nous permet d’anticiper les exigences à venir. Cette proximité avec le régulateur constitue un réel avantage pour nos clients, face à des cabinets qui découvrent encore le sujet. »

Ce double positionnement – expert métier et acteur connecté aux régulateurs – fait de Formind un partenaire fiable et proactif pour anticiper, mettre en œuvre et maintenir la conformité avec NIS 2.

Besoin d’un diagnostic, d’un plan de mise en conformité ou d’un accompagnement opérationnel ? Contactez nos équipes dès aujourd’hui pour échanger avec un expert NIS 2.

Contactez nos experts