cybersecurite nis2 eti

Audit cybersécurité NIS2 pour ETI industrielles : méthode 2026

18 juin 2026 · Joseph Nahed

La directive NIS2 est entrée en application en France via la loi du 30 avril 2025 et l’arrêté d’octobre 2025 fixant les obligations des « entités essentielles » et « entités importantes ». Les ETI industrielles — fabricants de pièces mécaniques, agroalimentaire, chimie, équipementiers automobile, fonderies — sont massivement concernées, souvent sans le savoir. Un audit cybersécurité NIS2 est désormais le point de passage obligé avant la déclaration ANSSI attendue pour le 31 octobre 2026. Cet article décrit la méthode d’audit que nous appliquons en mission, les contrôles qui font tomber le plus d’ETI au premier passage, et les ordres de grandeur de budget.

Pourquoi un audit cybersécurité NIS2 maintenant pour une ETI industrielle

Trois raisons font de l’audit cybersécurité NIS2 un chantier prioritaire en 2026, et pas en 2027.

Le calendrier réglementaire : la déclaration d’entité auprès de l’ANSSI doit être déposée avant le 31 octobre 2026, accompagnée d’un plan d’action chiffré. Les sanctions sont durcies — jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial pour les entités essentielles, avec mise en cause de la responsabilité personnelle du dirigeant en cas de manquement grave.

La spécificité OT/IT : une ETI industrielle exploite un parc OT (automates Siemens S7, Schneider Modicon, robots ABB, supervision Wonderware ou Ignition) souvent connecté à l’IT sans cloisonnement réel. C’est le point d’entrée préféré des ransomwares industriels (Cl0p, RansomHub, Akira) — 41 % des incidents traités par l’ANSSI en 2025 dans l’industrie ont transité par un automate ou un poste d’ingénierie.

Les assurances cyber : depuis janvier 2026, les principaux réassureurs (Munich Re, Axa XL, Beazley) exigent une preuve d’audit NIS2 récent (moins de 12 mois) pour renouveler une police cyber. Sans audit, vous perdez votre couverture.

Périmètre d’un audit cybersécurité NIS2 dans une ETI industrielle

L’erreur classique : démarrer par l’IT corporate et oublier l’usine. Le bon périmètre couvre quatre couches.

  • Gouvernance et organisation : rôles, comité cyber, gestion de crise, sous-traitants critiques
  • IT corporate : Active Directory, messagerie, postes de travail, EDR, sauvegardes, identités
  • OT et production : automates, SCADA, MES, postes d’ingénierie, réseaux d’atelier, accès distants fournisseurs
  • Chaîne d’approvisionnement numérique : EDI clients/fournisseurs, portails de commandes, échanges CAO

Cartographier ces quatre couches prend en général 2 à 3 jours dans une ETI de 250-500 salariés mono-site, 5 à 8 jours sur un groupe multi-sites. C’est la phase la plus sous-estimée en délai.

8 contrôles critiques qui font tomber les ETI au premier audit

1. Inventaire des actifs OT manquant ou obsolète

NIS2 exige un inventaire à jour, lisible et exportable. 7 ETI sur 10 ont un inventaire IT correct mais aucun inventaire OT formel. Outils acceptables : Nozomi Guardian, Claroty xDome, Tenable OT Security, ou même un export GLPI enrichi manuellement pour les sites de taille modeste.

2. Segmentation IT/OT inexistante ou « plate »

Le standard attendu est une architecture conforme à la norme IEC 62443-3-3 : DMZ industrielle, conduits explicites, pas de flux RDP direct depuis l’IT vers un automate. Beaucoup d’ETI découvrent en audit que leur AD corporate authentifie aussi les comptes ingénierie — défaut bloquant.

3. Gestion des accès distants fournisseurs sans MFA

Les contrats de maintenance Siemens, ABB, Schneider, Rockwell prévoient souvent un accès distant via TeamViewer, AnyDesk, ou VPN dédié. Sans MFA + journalisation + plage horaire restreinte, c’est un non-conformité majeure. Solutions courantes : Wallix Bastion, Cyberark PSM for OT, ou un bastion open source (Teleport) bien configuré.

4. Sauvegardes non testées ou non immuables

NIS2 exige des sauvegardes hors-ligne ou immuables (WORM), avec restauration testée au moins annuellement. Comparatif rapide des options privilégiées par les ETI industrielles :

SolutionCible ETITarif indicatifImmuabilitéPoints forts
Veeam + Hardened Repository250-2000 salariés8-25 €/VM/moisLinux XFS reflinkMature, marché établi
Rubrik Cloud Vault500+ salariésSur devisNative cloudRestauration rapide
Cohesity DataProtectMulti-sitesSur devisLocks immuablesBonne couverture OT
Synology + Snapshot ReplicationPetites ETI mono-site< 5 k€ matérielSnapshots BtrfsCoût plancher
Object Lock S3 (Wasabi, OVH)Toutes tailles6-15 €/To/moisObject Lock natifHors infrastructure

Le critère NIS2 n’est pas la marque, c’est la preuve documentée d’un test de restauration récent (PV signé, durée mesurée, taux de réussite).

5. Plan de gestion d’incident absent ou théorique

Un PCA/PRA Word de 2019 ne tient pas. L’auditeur attend un playbook par scénario (ransomware IT, ransomware OT, fuite de données, indisponibilité fournisseur cloud) avec rôles nommés, numéros de téléphone à jour, et trace d’un exercice de table-top dans les 12 derniers mois.

6. Notification d’incident sous 24 h non outillée

NIS2 impose une notification ANSSI dans les 24 h suivant la détection d’un incident significatif, puis un rapport sous 72 h. Sans procédure outillée (formulaire pré-rempli, canal SOC↔ANSSI, décisionnaire identifié), le délai est intenable. Solution simple : un runbook + un mail-modèle stockés dans le coffre du RSSI.

7. Sous-traitants critiques sans clause cyber

NIS2 transfère partiellement la responsabilité sur la supply chain : votre intégrateur SCADA, votre infogéreur, votre éditeur MES doivent signer des clauses minimales (notification d’incident, droit d’audit, mesures techniques). Sans ces clauses, l’ETI reste responsable. Modèle de clauses : annexe 3 du guide ANSSI « Maîtriser sa chaîne de sous-traitance ».

8. Formation et sensibilisation non tracées

Le dirigeant et les membres du COMEX doivent suivre une formation cyber documentée (article 20 NIS2). Les opérateurs OT doivent recevoir une sensibilisation aux clés USB et aux mails de phishing avec preuve de complétion. Plateformes courantes : Conscio, Mantra, Riot, Avant de Cliquer — quel que soit l’outil, c’est la traçabilité qui compte.

Livrables attendus à l’issue de l’audit cybersécurité NIS2

Un audit cybersécurité NIS2 sérieux livre cinq documents réutilisables dans le dossier ANSSI :

  • Cartographie IT/OT (Visio, Drawio ou Lucidchart) à jour à moins de 6 mois
  • Registre des non-conformités priorisées (critique / majeure / mineure) avec coût estimé
  • Plan d’action 18 mois avec jalons trimestriels et porteurs nommés
  • Analyse de risque méthode EBIOS RM sur les 5 scénarios majeurs
  • Politique de sécurité du système d’information (PSSI) révisée et signée par le dirigeant

C’est l’ensemble de ces livrables — pas le seul rapport d’audit — qui est attendu en pièce jointe de la déclaration ANSSI d’octobre 2026.

Combien coûte un audit cybersécurité NIS2 pour une ETI industrielle

Ordres de grandeur observés sur des missions 2025-2026, hors remédiation :

  • ETI mono-site, 250-500 salariés, < 200 actifs OT : 25 à 40 k€, 4 à 6 semaines
  • ETI multi-sites France, 500-1500 salariés : 50 à 90 k€, 8 à 12 semaines
  • ETI internationale, 1500+ salariés, OT complexe : 100 à 180 k€, 12 à 16 semaines

À cela s’ajoute la remédiation, qui pèse en général 3 à 6 fois le coût d’audit la première année (segmentation OT, bastion, sauvegarde immuable, SOC managé).

Pièges à éviter

  • Confondre NIS2 et ISO 27001 : la 27001 est une démarche de management, NIS2 est une obligation légale avec contrôles techniques nommés. L’une n’absout pas l’autre.
  • Auditer l’IT sans monter à l’atelier : un audit qui ignore le SCADA passe à côté du risque principal et sera rejeté par l’ANSSI en cas de contrôle.
  • Choisir un auditeur généraliste sans culture OT : exigez des références industrielles vérifiables et au moins un consultant certifié GICSP ou équivalent.
  • Reporter à l’automne 2026 : les cabinets sérieux (Almond, Wavestone, Synetis, I-TRACING, Advens) afficheront complet dès juillet 2026 sur les missions ETI.
  • Croire qu’un MSP suffit : NIS2 est de la responsabilité du dirigeant, pas du prestataire. Le MSP exécute, le dirigeant déclare et engage l’entreprise.

FAQ

Mon ETI est-elle vraiment soumise à NIS2 ?

Probablement oui si vous êtes au-dessus de 50 salariés et 10 M€ de chiffre d’affaires et que vous opérez dans un secteur listé à l’annexe I ou II de la directive (industrie manufacturière, agroalimentaire, chimie, énergie, transport, services postaux, gestion des déchets). Le test simple : posez la question au service juridique de votre fédération professionnelle (UIMM, ANIA, France Chimie), elles ont toutes publié des grilles de qualification.

Quelle différence entre entité essentielle et entité importante ?

L’entité essentielle est soumise à un contrôle proactif de l’ANSSI et à des sanctions plafonnées à 10 M€ ou 2 % du CA mondial. L’entité importante est soumise à un contrôle réactif (en cas d’incident) et à des sanctions plafonnées à 7 M€ ou 1,4 % du CA. Les obligations techniques sont quasi identiques — c’est principalement le régime de contrôle qui diffère.

Peut-on faire l’audit en interne ?

Oui pour la cartographie et la sensibilisation, non pour le rapport remis à l’ANSSI. Le décret d’application impose un auditeur qualifié PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) pour les entités essentielles. Pour les entités importantes, un auditeur PASSI est fortement recommandé et de facto exigé par les assureurs cyber.

Quel est le délai réaliste entre audit et conformité ?

Comptez 12 à 18 mois entre le démarrage de l’audit et un niveau de conformité défendable. Le facteur limitant n’est jamais l’analyse, c’est la remédiation OT — segmenter un réseau d’atelier sans arrêter la production demande des fenêtres de maintenance planifiées sur plusieurs trimestres.

Que se passe-t-il si on rate le 31 octobre 2026 ?

L’ANSSI a publié en mars 2026 une doctrine de tolérance : pas de sanction immédiate si l’entité s’est déclarée et a fourni un plan d’action crédible, même avec retard. En revanche, un défaut total de déclaration et un incident significatif déclenche le régime de sanction maximal. Le bon réflexe : déclarer même incomplet plutôt que ne pas déclarer.

Et après ?

L’audit cybersécurité NIS2 n’est pas une fin, c’est le déclencheur d’un programme de remédiation de 18 à 24 mois. Les chantiers qui suivent presque toujours : segmentation IT/OT, déploiement d’un SOC managé avec couverture OT, durcissement Active Directory (tiering, LAPS, gMSA), bascule des sauvegardes vers de l’immuable, et formalisation d’un plan de continuité testé annuellement.

Chez nahed.fr, nous accompagnons des ETI industrielles de 250 à 2 500 personnes sur le cadrage de leur audit cybersécurité NIS2, la sélection de l’auditeur PASSI, et la conduite du programme de remédiation côté IT et OT. Si vous n’avez pas encore lancé votre audit avant l’échéance ANSSI d’octobre 2026, écrivez-nous : on regarde ensemble en 45 minutes le périmètre, le bon découpage par site et le budget réaliste, sans engagement.

Vous avez 30 minutes ?

On regarde ensemble si ça s'applique chez vous.

Appel de qualification gratuit. Aucune obligation.

Réserver 30 min →