WebGuard Agency
CONTACT
Antoine Duval Par Antoine Duval
· · 12 min de lecture

NIS2 et ReCyF : le guide de conformité complet pour les PME françaises

WebGuard Agency TL;DR

La directive NIS2, transposée en droit français d'ici juillet 2026, concerne désormais plus de 15 000 entités (contre 500 sous NIS1). Le ReCyF publié par l'ANSSI en mars 2026 traduit ces exigences en mesures concrètes. Sanctions : jusqu'à 10 M€ ou 2 % du CA mondial. Ce guide vous donne un plan d'action en 6 étapes pour atteindre la conformité avant l'échéance d'octobre 2026.

Introduction : pourquoi NIS2 change tout pour les PME

On ne va pas se mentir : jusqu'ici, la majorité des PME françaises considéraient la cybersécurité comme un sujet réservé aux grands groupes et aux OIV. La directive NIS1, avec ses 500 opérateurs de services essentiels, confortait cette idée. Mais NIS2 rebat complètement les cartes.

Adoptée en décembre 2022 par le Parlement européen, la directive NIS2 (Network and Information Security 2) élargit drastiquement le périmètre des entreprises soumises à des obligations de cybersécurité. En France, ce sont désormais plus de 15 000 entités qui devront se conformer à un cadre renforcé, là où NIS1 n'en visait que 500. Et ce n'est pas tout : la transposition en droit français, attendue pour juillet 2026, s'accompagne du référentiel ReCyF de l'ANSSI, publié le 17 mars dernier, qui décline ces exigences en mesures opérationnelles.

Concrètement, si vous êtes dirigeant ou DSI d'une PME de plus de 50 salariés dans un secteur critique, vous avez environ 6 mois pour vous mettre en conformité. Pas de panique : ce guide est là pour ça.

Chiffres clés NIS2 en France

15 000+
entités concernées
18
secteurs critiques
10 M€
sanction maximale
24h
délai notification incident

Le contexte : une menace qui s'industrialise

Début 2026, la France a subi une vague de cyberattaques sans précédent. Plus de 90 millions de comptes compromis en quelques semaines. La fuite Cegedim a exposé les données de santé de 15 millions de Français. Le CNOUS, le ministère de l'Éducation nationale, La Poste : aucun secteur n'a été épargné.

Ce qui a changé ? Les attaquants industrialisent leurs opérations. L'intelligence artificielle permet désormais de générer du phishing personnalisé à grande échelle, d'automatiser la reconnaissance réseau et de contourner les défenses traditionnelles. Face à cette réalité, le législateur européen a décidé d'agir.

La question n'est plus de savoir si votre entreprise sera ciblée, mais quand. Et surtout, est-ce que vous serez prêts à répondre aux régulateurs quand ils viendront vérifier votre niveau de protection ?

Calendrier NIS2 : les échéances clés

Déc. 2022 Adoption directive UE Mars 2026 Publication ReCyF ANSSI Juil. 2026 Transposition loi française Oct. 2026 Conformité obligatoire VOUS ICI

Êtes-vous concerné ? Les 18 secteurs de NIS2

NIS2 distingue deux catégories d'entités : les entités essentielles (EE) et les entités importantes (EI). La différence ? Le niveau d'exigence et les sanctions. Mais dans les deux cas, les obligations sont réelles et les contrôles prévus.

Les 18 secteurs couvrent : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, administrations publiques, espace, services postaux, gestion des déchets, fabrication de produits chimiques, denrées alimentaires, fabrication d'équipements, recherche, et fournisseurs numériques.

Le critère de taille est simple : plus de 50 salariés ou plus de 10 millions d'euros de CA dans un de ces secteurs. Si vous êtes sous-traitant d'une entité concernée, attention : la chaîne d'approvisionnement est explicitement visée par la directive.

Le ReCyF : la feuille de route concrète de l'ANSSI

Le ReCyF, c'est la traduction opérationnelle de NIS2 version française. Publié le 17 mars 2026, ce référentiel décline l'article 21 de la directive en mesures techniques et organisationnelles que toute entité concernée doit mettre en oeuvre. C'est votre checklist.

Le référentiel s'articule autour de quatre piliers :

ReCyF Gouvernance Politique de sécurité, rôles, gestion des risques Protection Contrôle d'accès, chiffrement, segmentation réseau Détection Supervision, journalisation, veille vulnérabilités Réponse Plan de réponse incident, notification 24h, PCA/PRA

Chaque pilier se décline en mesures précises. Par exemple, sous "Protection", on retrouve le contrôle d'accès basé sur les rôles (RBAC), le chiffrement des données au repos et en transit, la segmentation réseau, et la sécurisation de la chaîne d'approvisionnement. Ce n'est pas de la théorie : ce sont des mesures techniques que vos équipes (ou vos prestataires) doivent implémenter.

Les 10 mesures obligatoires de l'article 21

L'article 21 de NIS2 est le coeur du réacteur. Il impose dix catégories de mesures de cybersécurité que toute entité concernée doit mettre en oeuvre. Voici ce qu'il faut retenir :

  1. 1
    Analyse des risques et politique de sécurité des SI

    Formaliser une politique de sécurité basée sur une analyse de risques documentée, revue au moins annuellement.

  2. 2
    Gestion des incidents

    Mettre en place un processus de détection, d'analyse et de notification des incidents. Obligation de notifier l'ANSSI sous 24 heures.

  3. 3
    Continuité d'activité et gestion de crise

    PCA, PRA, sauvegardes testées régulièrement. La résilience n'est plus optionnelle.

  4. 4
    Sécurité de la chaîne d'approvisionnement

    Évaluer et encadrer contractuellement la sécurité de vos fournisseurs et sous-traitants.

  5. 5
    Sécurité dans l'acquisition et le développement

    Intégrer la sécurité dès la conception (security by design) et lors de la maintenance des systèmes.

  6. 6
    Évaluation de l'efficacité des mesures

    Audits réguliers, tests d'intrusion, exercices de crise pour vérifier que vos mesures fonctionnent réellement.

  7. 7
    Pratiques de cyber-hygiène et formation

    Sensibilisation obligatoire de l'ensemble des collaborateurs, y compris la direction.

  8. 8
    Chiffrement

    Politique de chiffrement des données sensibles, au repos comme en transit.

  9. 9
    Sécurité des ressources humaines et contrôle d'accès

    Gestion des identités, MFA, principe du moindre privilège.

  10. 10
    Authentification multi-facteurs et communications sécurisées

    MFA systématique pour les accès critiques, communications chiffrées de bout en bout en cas de crise.

Recevez votre audit de sécurité gratuit en 24h

Nos consultants certifiés évaluent votre niveau de maturité NIS2 et vous fournissent une feuille de route personnalisée avec les actions prioritaires à mener.

Demander mon audit gratuit →

Plan d'action en 6 étapes pour les PME

Chez WebGuard Agency, on accompagne des PME sur ce sujet depuis l'annonce de NIS2. Voici la méthodologie qu'on a affinée sur plus de 120 missions de mise en conformité :

Étape 1 — Diagnostic initial (semaines 1-2)

Cartographiez vos actifs critiques, identifiez vos flux de données sensibles et évaluez votre posture actuelle par rapport au ReCyF. L'outil MonEspaceNIS2 de l'ANSSI permet de confirmer votre éligibilité.

Étape 2 — Analyse de risques formalisée (semaines 3-5)

Conduisez une analyse de risques structurée (EBIOS RM recommandé par l'ANSSI). Documentez les scénarios de menaces, les impacts potentiels et les mesures existantes.

Étape 3 — Quick wins sécurité (semaines 4-8)

Déployez le MFA sur tous les accès critiques, activez la journalisation centralisée, vérifiez vos sauvegardes et segmentez votre réseau. Ces mesures réduisent votre surface d'attaque de 60 % en moyenne.

Étape 4 — Gouvernance et documentation (semaines 6-12)

Rédigez votre politique de sécurité, désignez un responsable sécurité, formalisez vos procédures de gestion d'incidents et de notification. La direction doit être impliquée : NIS2 engage la responsabilité des dirigeants.

Étape 5 — Tests et validation (semaines 10-16)

Lancez un test d'intrusion pour valider vos défenses, réalisez un exercice de crise et vérifiez votre capacité à notifier un incident dans les 24 heures.

Étape 6 — Amélioration continue (en continu)

Mettez en place un cycle de revue trimestriel, suivez les indicateurs de performance sécurité et ajustez votre dispositif en fonction de l'évolution des menaces.

Sanctions : ce que risquent les entreprises non conformes

Parlons chiffres, parce que c'est souvent ce qui fait bouger les choses en comité de direction :

Entités essentielles

10 M€

ou 2 % du CA mondial annuel (le montant le plus élevé)

Entités importantes

7 M€

ou 1,4 % du CA mondial annuel (le montant le plus élevé)

Mais ce n'est pas tout. NIS2 introduit une nouveauté majeure : la responsabilité personnelle des dirigeants. Les organes de direction doivent approuver les mesures de gestion des risques et peuvent être tenus responsables en cas de manquement. Autrement dit, le DG ne peut plus dire "je ne savais pas".

Conseil d'expert

N'attendez pas la transposition française pour commencer. Les entreprises qui lancent leur programme de conformité maintenant auront un avantage concurrentiel : elles pourront rassurer leurs clients et partenaires, et éviteront la ruée de dernière minute sur les consultants cybersécurité qui va immanquablement se produire à la rentrée 2026.

Conclusion : NIS2, contrainte ou opportunité ?

On peut voir NIS2 comme une contrainte réglementaire de plus. Mais on peut aussi le voir autrement : c'est l'occasion de structurer une démarche de cybersécurité qui protégera réellement votre entreprise. Les PME qui ont investi dans la sécurité avant la vague de cyberattaques de début 2026 s'en sont bien mieux sorties que les autres. Et ça, aucun régulateur n'avait besoin de le leur imposer.

Le ReCyF de l'ANSSI vous donne la feuille de route. Le calendrier est serré mais tenable. Et si vous avez besoin d'un coup de main, c'est exactement ce qu'on fait chez WebGuard Agency depuis 14 ans.

Besoin d'accompagnement NIS2 ?

Nos experts certifiés vous accompagnent de l'audit initial à la conformité complète. Premier diagnostic gratuit, résultats sous 24h.

Contactez-nous →
1 avril 2026 · 🕑 12 min

Besoin d'un audit de sécurité ?

Nos experts identifient vos vulnérabilités avant qu'elles ne soient exploitées.

FAQ

Questions fréquentes

Si votre entreprise compte plus de 50 salariés ou réalise plus de 10 millions d'euros de chiffre d'affaires dans l'un des 18 secteurs critiques définis par NIS2, vous êtes probablement concerné. L'ANSSI met à disposition un outil d'auto-évaluation sur MonEspaceNIS2 pour vérifier votre éligibilité. Les sous-traitants d'entités concernées sont également dans le périmètre.
Les sanctions peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel pour les entités essentielles, et 7 millions d'euros ou 1,4 % du CA pour les entités importantes. La grande nouveauté de NIS2 est l'engagement de la responsabilité personnelle des dirigeants, qui doivent approuver les mesures de gestion des risques cyber.
Le ReCyF (Référentiel Cyber France) est le cadre publié par l'ANSSI en mars 2026 qui décline les exigences de NIS2 en mesures concrètes et opérationnelles pour les entreprises françaises. Il couvre quatre piliers : gouvernance, protection, détection et réponse aux incidents. Utilisez-le comme grille d'audit pour évaluer votre maturité actuelle et planifier votre mise en conformité étape par étape.
Le délai dépend de votre niveau de maturité actuel. Pour une PME partant de zéro, comptez 6 à 12 mois de travail. Pour une entreprise disposant déjà d'une politique de sécurité structurée (ISO 27001 par exemple), 3 à 6 mois suffisent généralement. WebGuard Agency propose un diagnostic initial gratuit pour estimer précisément votre calendrier de mise en conformité.

Vous ne trouvez pas la réponse à votre question ?

Prêt à renforcer votre cybersécurité ?

Rejoignez les entreprises qui font confiance à WebGuard Agency pour protéger leurs actifs numériques. Premier audit offert.

Voir nos tarifs
200+
Audits réalisés
99,9%
Disponibilité SOC
< 4h
Temps de réponse

WebGuard Agency (groupe Digital Unicorn) accompagne les entreprises dans la sécurisation de leur SI depuis plus de 14 ans. 687+ missions réalisées, 97% de satisfaction client.