Vos clients ont commencé à envoyer des questionnaires sécurité. Une clause NIS2 vient peut-être d'apparaître dans votre dernier contrat de sous-traitance. La question arrive toujours au même moment : par où commencer ?
La réponse courte : par un diagnostic. Voici ce qu'il couvre, comment ça se passe, et ce que vous avez en main à la fin.
La conformité NIS2 ne s'improvise pas. Elle ne se décrète pas non plus. Un dirigeant qui décide de "se mettre en conformité" sans mesurer d'abord son point de départ va soit sous-investir, soit surpayer. Les deux scénarios se terminent mal : audit raté, plan d'action hors budget, ou 60 000 euros dépensés alors que 40 % des exigences étaient déjà satisfaites.
Le diagnostic sert à une seule chose : savoir où vous en êtes avant de décider quoi faire.
C'est une mesure, pas un jugement. Votre PME n'est pas en mauvaise posture parce qu'elle n'a pas encore de politique de gestion des accès documentée. Elle est à un point de départ. Le diagnostic fixe ce point avec précision, mesure l'écart avec les exigences de vos donneurs d'ordre, et fournit un plan d'action chiffré pour le parcourir.
Cette distinction compte. Beaucoup de PME industrielles de 30 à 150 personnes ont déjà mis en place des pratiques de base : sauvegardes, antivirus, mots de passe renforcés sur les accès critiques. Elles ne partent pas de zéro. Le diagnostic le confirme, et identifie ce qui manque vraiment.
Le périmètre d'un diagnostic NIS2 couvre trois dimensions.
Qui prend les décisions de sécurité dans votre entreprise ? Y a-t-il une politique formalisée, même courte ? Un responsable identifié, même partiel ? Des règles d'accès documentées ? La plupart des PME industrielles sans équipe IT ont très peu de formalisation sur ces sujets. Ce n'est pas un problème : c'est un constat de départ.
Ce volet est souvent celui qui surprend le plus. Des dirigeants pensaient avoir "géré" la sécurité parce qu'ils ont un prestataire IT depuis dix ans. Dans les faits, si aucune politique n'est documentée et aucune responsabilité n'est formellement attribuée, il n'y a pas de gouvernance. La directive NIS2 exige les deux.
État des postes de travail, configuration réseau, gestion des mots de passe, sauvegardes, protection des accès distants, mises à jour. Ce n'est pas un pentest. Le diagnostic ne cherche pas à exploiter des failles : il évalue si les pratiques de base sont en place et documentées selon les 10 domaines de mesures de sécurité définis par NIS2.
Dans l'industrie, l'automobile et l'aéronautique, les environnements mêlent souvent des postes récents et des machines plus anciennes reliées à des équipements de production. Le diagnostic prend en compte cette