Vous dirigez une PME industrielle. Vous n'avez jamais entendu parler de NIS2 dans un texte officiel qui vous concerne. Et pourtant, un de vos clients vient de vous envoyer un questionnaire sécurité de quarante questions, ou une nouvelle clause dans le contrat cadre. Vous n'avez rien demandé. Le sujet arrive quand même.
C'est ce qu'on appelle la cascade NIS2. Elle explique pourquoi des entreprises qui ne figurent nulle part dans la directive se retrouvent à devoir prouver leur niveau de cybersécurité. Voici comment ça marche, et ce que vous pouvez faire quand le premier questionnaire tombe.
La directive NIS2, c'est la directive européenne 2022/2555. Elle élargit fortement le périmètre de la réglementation cyber en Europe. Énergie, transport, santé, eau, fabrication de produits critiques, services numériques: des milliers d'entreprises basculent dans le champ réglementé, classées entités essentielles ou entités importantes selon leur taille et leur secteur.
Si vous êtes un atelier d'usinage de quarante personnes, un transporteur régional, une PME du BTP, il y a de bonnes chances que vous ne soyez pas directement assujetti. Bonne nouvelle sur le papier. Sauf que vos donneurs d'ordre, eux, le sont très souvent. Le constructeur automobile, l'équipementier aéronautique, l'opérateur logistique, le grand groupe industriel pour lequel vous produisez: ceux-là sont dans le périmètre. Et la directive ne leur demande pas seulement de se sécuriser eux-mêmes.
NIS2 impose aux entités concernées une série de mesures de gestion du risque. L'une d'elles porte un nom précis: la sécurité de la chaîne d'approvisionnement. En clair, un donneur d'ordre soumis à NIS2 doit évaluer et maîtriser le risque cyber qui vient de ses fournisseurs et de ses prestataires.
Un grand industriel ne peut plus se contenter de verrouiller son propre système d'information. Il doit aussi se poser la question de ses sous-traitants. Qui a accès à ses données ? Qui se connecte à ses systèmes ? Qui pourrait être le maillon faible par lequel une attaque remonte jusqu'à lui ? La directive le tient responsable de cette chaîne. Pas de façon théorique. De façon documentée, vérifiable, auditable.
Mettez-vous une seconde à la place de votre client. Il doit prouver à son régulateur, et parfois à son assureur, qu'il maîtrise le risque fournisseur. Le seul levier dont il dispose sur vous, c'est le contrat. Alors il l'utilise. Il vous envoie un questionnaire, ajoute une clause, exige un audit. Ce n'est pas de la méfiance personnelle. C'est sa propre obligation qui redescend sur vous, étage par étage. Voilà la cascade: une exigence légale qui ne vous vise pas directement, mais qui vous atteint par le jeu des contrats.
Et elle ne s'arrête pas à un seul niveau. Votre client a lui-même des clients. Si vous travaillez pour un équipementier qui travaille pour un constructeur, l'exigence traverse les trois étages.
Elle prend trois formes, parfois les trois à la suite.
C'est en général le premier signal. Un fichier Excel ou un formulaire en ligne, envoyé par le service achats ou le service sécurité de votre client. Des dizaines de questions: avez-vous une politique de mots de passe, sauvegardez-vous vos données, gérez-vous les accès de vos salariés, avez-vous un plan en cas d'incident. Certaines questions sont triviales. D'autres supposent une organisation que vous n'avez peut-être pas formalisée. Le piège est là. Répondre au hasard vous expose. Ne pas répondre vous met hors course.
Plus engageante que le questionnaire. Une clause de sécurité de l'information, ou une annexe cyber, glissée dans le contrat cadre au moment du renouvellement. Elle peut exiger le respect d'un référentiel précis, un droit d'audit, une obligation de notification en cas d'incident sous vingt-quatre ou quarante-huit heures. Vous signez, vous vous engagez. Beaucoup de dirigeants paraphent sans mesurer ce que la clause implique concrètement côté organisation.
Le niveau le plus exigeant. Le donneur d'ordre veut une preuve, pas une déclaration. Parfois il envoie ses propres auditeurs. Parfois il accepte une certification reconnue, et c'est là qu'apparaît ISO 27001, le standard international de management de la sécurité de l'information. Dans l'automobile, c'est souvent TISAX qui sert de référence partagée entre constructeurs et fournisseurs. Selon votre secteur, l'un ou l'autre devient le ticket d'entrée.
Sur le papier, rien d'insurmontable. Dans la réalité d'une PME de cinquante personnes sans DSI, c'est une autre histoire. Vous avez un prestataire informatique qui gère vos postes et votre messagerie. Très bien pour le quotidien. Mais répondre à un questionnaire NIS2, formaliser une politique de sécurité, documenter une gestion des accès, tenir un plan de continuité: ce n'est pas son métier, et ce n'est pas le vôtre.
Le risque n'est pas une amende. Vous n'êtes pas l'assujetti, ce n'est pas le régulateur qui vous sanctionne. Le risque, c'est commercial. Un questionnaire mal renseigné, une clause non tenue, et vous sortez de la liste des fournisseurs référencés. Dans des secteurs où un seul donneur d'ordre pèse trente ou quarante pour cent du chiffre d'affaires, ça fait mal. Vos donneurs d'ordre n'attendront pas que vous soyez prêts.
Il y a aussi un effet moins visible. Quand vous savez répondre proprement à ces exigences, vous devenez plus facile à référencer qu'un concurrent qui sèche sur le questionnaire. La conformité, bien menée, finit par jouer pour vous.
Vos clients vous demandent déjà des preuves de conformité.
Trente minutes pour mesurer où vous en êtes. Réserver un diagnostic (à partir de 2 500 € HT).
Première chose: ne pas paniquer et ne pas répondre dans la précipitation. Un questionnaire rempli à la va-vite vous engage sur des affirmations que vous ne tenez pas. C'est pire que de demander un délai.
Ensuite, mesurez l'écart. Où en êtes-vous vraiment par rapport à ce qu'on vous demande ? Quelles pratiques sont déjà en place, même informelles, et lesquelles manquent ? Cet état des lieux, c'est le point de départ de tout. Chez Deefense, c'est l'objet du diagnostic: nous mesurons l'écart entre votre situation et les exigences de vos donneurs d'ordre, puis nous livrons un plan d'action priorisé et chiffré. Vous savez quoi faire, dans quel ordre, et combien ça coûte. Le diagnostic démarre à 2 500 € HT.
Le plan d'action vous évite de tout faire en même temps. Certaines actions sont rapides et couvrent l'essentiel des questions. D'autres demandent un vrai projet, surtout si vous visez une certification ISO 27001 parce qu'un client l'exige noir sur blanc. Vous priorisez selon vos contrats et vos échéances, pas selon une checklist abstraite.
Pour bien comprendre l'ensemble du sujet, notre guide de la conformité NIS2 détaille les obligations, le calendrier et les étapes d'une mise en conformité. Si votre client réclame précisément une certification, la page sur la certification ISO 27001 explique ce que représente cette démarche pour une PME.
Aucune loi ne vous y oblige directement. Votre contrat, lui, peut le faire, et votre place de fournisseur référencé en dépend. En pratique, refuser de répondre revient à sortir de la short list. Mieux vaut demander un délai raisonnable et répondre juste que botter en touche.
Ça dépend de votre secteur et de votre taille. Les seuils et les catégories d'entités essentielles ou importantes sont définis par la directive et sa transposition française. Dans le doute, un diagnostic tranche la question en quelques échanges, et vous évite de vous croire concerné à tort, ou l'inverse.
Pour un questionnaire bien renseigné avec les bonnes pratiques de base déjà en place, quelques semaines. Pour une certification ISO 27001 demandée noir sur blanc, comptez plutôt six à douze mois selon votre point de départ. Le diagnostic vous donne le calendrier réaliste dès le début.
NIS2 continue de monter en charge en France, et chaque donneur d'ordre qui se met en règle reporte ses exigences sur ses fournisseurs. La vague descend. Les PME industrielles du Grand Est, sous-traitants de l'automobile, de l'aéronautique, de la logistique ou du BTP, sont en première ligne parce qu'elles dépendent presque toutes de grands comptes assujettis.
Vous avez deux façons d'aborder ça. La subir, questionnaire après questionnaire, en bricolant des réponses dans l'urgence. Ou prendre les devants une bonne fois, mesurer où vous en êtes, et transformer la contrainte en argument quand un client compare deux fournisseurs. La deuxième coûte moins cher sur la durée. Et elle vous évite la mauvaise surprise du contrat qu'on ne renouvelle pas.