Espace Client ERP Espace Partenaire
Nous contacter Prendre rendez-vous
Besoin d'aide ? 01 85 48 05 54

Solutions

Gestion d'entreprise, ERP

EBP Bâtiment
Odoo ERP
Easy-KUTCH
EBP Automobile
EBP Comptabilité
Odoo Gestion Commerciale
Sage 100 Gestion Commerciale
Sage Batigest Connect
Sage BI Reporting BTP
Sage e-appels d'offres BTP
Sage e-chantier Alobees
Visual Planning

Comptabilité, Finances

Sage 100 Comptabilité
Sage Automatisation Comptable

Paye et Ressources Humaines

Sage 100 Paie
Sage Business Cloud Paie
Voir toutes les solutions

Infrastructure

Infrastructure Cloud

Bureau Distant ACLG
Disaster Recovery ACLG
Serveurs Cloud ACLG
Stockage d'objets ACLG
Stockage en ligne ACLG

Sauvegarde & Productivité

Microsoft 365 ACLG
Voir toute l'infrastructure

Éditeurs

Éditeurs Partenaires

Nos partenaires éditeurs de logiciels

ATTIC+ Éditeur partenaire
EBP Éditeur partenaire
Microsoft Éditeur partenaire
Odoo Éditeur partenaire
Sage Éditeur partenaire
Visual Planning Éditeur partenaire
Voir tous les éditeurs

Services

Nos Services

Accompagnement et support

Formation
Intégration & Déploiement
Maintenance & Évolution
Support & Assistance
Voir tous les services

Ressources

Ressources clés

Accès rapide à nos contenus

Articles & Guides Articles, guides et FAQ
FAQ 190 reponses experts

Nos guides piliers

Ressources expert ACLG

Directive NIS2 pour les PME : obligations, calendrier et conformité en 2026 La directive NIS2 impose de nouvelles obligations. 5 actions prioritaires.
Stockage cloud pour les PME : sécurité des données, RGPD et continuité d'activité en France Le stockage cloud professionnel hébergé en France protège vos données contre les ransomwares, les sinistres physiques et les pannes matérielles. Chiffrement AES-256, conformité RGPD, versioning anti-ransomware, architecture hybride : guide complet pour les PME, tous logiciels compatibles.
Quel ERP choisir pour votre PME du BTP en 2026 ? Guide comparatif complet Facturation électronique obligatoire en septembre 2026, RE2020 étendue, mobilité chantier : choisir un ERP BTP n'est plus une option. Ce guide compare objectivement Sage Batigest, EBP Bâtiment, Odoo, Graneet et Onaya, détaille les 5 critères indispensables et donne une méthode éprouvée pour réussir le projet.
Voir toutes les ressources
Cybersecurite

Directive NIS2 pour les PME : obligations, calendrier et conformité en 2026

La directive NIS2 impose de nouvelles obligations. 5 actions prioritaires.

Michel Exbrayat 08/04/2026 15 min de lecture

La directive européenne NIS2 élargit les obligations de cybersécurité à 15 000 à 18 000 entités en France, contre 300 auparavant. La loi de transposition française ("Loi Résilience") est attendue en 2026, avec un délai de mise en conformité de 3 ans. Même si votre PME n'est pas directement visée — parce qu'elle compte moins de 50 salariés ou opère hors des 18 secteurs régulés — elle peut être exposée par effet de cascade : les donneurs d'ordre soumis à NIS2 sont tenus de vérifier la sécurité de leur chaîne de sous-traitance. Ce guide recense les obligations concrètes, leur impact sur votre logiciel de gestion et les étapes pour anticiper sans attendre la promulgation de la loi.

Qu'est-ce que la directive NIS2 ?

NIS2 (Network and Information Security 2) est la refonte de la directive européenne sur la sécurité des réseaux et des systèmes d'information. Adoptée en janvier 2023, elle remplace la directive NIS1 de 2016 et durcit significativement les exigences de sécurité pour les organisations jugées essentielles au fonctionnement de l'économie et des services publics.

L'objectif central : imposer un socle commun de cybersécurité à toutes les entités qui jouent un rôle critique dans l'économie européenne, et élargir ce périmètre bien au-delà des seuls opérateurs d'importance vitale historiques.

En France, la transposition se fait via le projet de loi "Résilience", qui couvre trois directives européennes : NIS2, REC (résilience des entités critiques) et DORA (résilience numérique du secteur financier). Le texte a été adopté par le Sénat en mars 2025 et est en discussion à l'Assemblée nationale (source : Vie-publique.fr).

Qui est concerné par NIS2 ?

Les critères de taille

NIS2 cible deux catégories d'organisations en fonction de leur taille et de leur secteur d'activité :

Catégorie Taille minimale Nombre d'objectifs de sécurité
Entités essentielles 250+ salariés ou CA > 50 M EUR 20 objectifs
Entités importantes 50 à 249 salariés ou CA >= 10 M EUR 15 objectifs

Les 18 secteurs concernés

11 secteurs hautement critiques : énergie, transports, santé, banque, eau potable, eaux usées, infrastructures numériques, services TIC (B2B), administrations publiques, espace, marchés financiers.

7 secteurs critiques : services postaux, gestion des déchets, fabrication industrielle, chimie, alimentation, fournisseurs numériques, recherche.

Le secteur du bâtiment et des travaux publics n'apparaît pas en tant que tel dans la liste NIS2. Cependant, les PME BTP qui réalisent des travaux pour des donneurs d'ordre dans l'énergie, les transports ou les administrations publiques sont concernées indirectement.

PME sous-traitantes : l'effet cascade

Les petites entreprises ne sont pas directement visées par NIS2 si elles restent sous les seuils de taille. Mais la directive impose aux entités régulées d'évaluer la sécurité de leur chaîne d'approvisionnement — y compris leurs fournisseurs et sous-traitants (source : ANSSI — MonEspaceNIS2).

Concrètement, vos donneurs d'ordre pourront vous demander :

  • Une politique de sécurité formalisée (document écrit, pas seulement des pratiques implicites)
  • Des sauvegardes régulières, externalisées et testées
  • Des clauses de sécurité contractuelles dans vos marchés
  • La capacité à notifier un incident dans les 24 heures
  • La preuve que vous appliquez une authentification forte (MFA) sur vos accès sensibles

Ne pas anticiper ces exigences, c'est risquer de perdre des marchés avant même que la loi soit promulguée : certains grands comptes commencent dès maintenant à intégrer des clauses NIS2 dans leurs appels d'offres. Consultez également notre guide sur la sécurisation des accès distants (MFA, bureau virtuel) et notre page sur la continuité d'activité et les sauvegardes externalisées pour les deux piliers techniques directement liés à NIS2.

Les chiffres de la cybermenace à connaître

Les données les plus récentes confirment une menace qui pèse particulièrement sur les structures de taille PME :

Chiffre clé Source
37 % des victimes de rançongiciels connues de l'ANSSI sont des PME, TPE et ETI ANSSI, Panorama de la cybermenace 2024
4 386 événements de sécurité traités par l'ANSSI en 2024, soit +15 % par rapport à 2023 ANSSI, rapport annuel 2024
80 % des TPE-PME ne sont pas préparées à faire face à une cyberattaque Cybermalveillance.gouv.fr, Baromètre maturité cyber 2025
43 % des attaques impliquent le phishing comme vecteur d'entrée initial Cybermalveillance.gouv.fr, Baromètre maturité cyber 2025
Budget cybersécurité inférieur à 2 000 EUR/an pour 75 % des TPE-PME Cybermalveillance.gouv.fr, Baromètre maturité cyber 2025

Le constat est cohérent : les PME sont à la fois les cibles les plus fréquentes des cyberattaquants — car perçues comme moins protégées que les grandes entreprises — et les moins équipées pour y répondre. NIS2 accélère la prise de conscience, mais la menace existe indépendamment du cadre réglementaire.

Les 5 obligations concrètes imposées par NIS2

1. Politique de sécurité du système d'information (PSSI)

Il s'agit de documenter les règles de sécurité de votre organisation : qui a accès à quoi, comment les mots de passe sont gérés, quelles sont les procédures en cas d'incident, comment les appareils personnels sont traités lorsqu'ils accèdent aux données de l'entreprise. La PSSI n'a pas besoin d'être un document de 200 pages : pour une PME de 10 à 50 salariés, un référentiel d'une dizaine de pages couvrant les points essentiels suffit comme point de départ.

2. Plan de continuité et de reprise d'activité (PCA/PRA)

Que se passe-t-il si votre serveur tombe en panne un lundi matin ? Si vos données sont chiffrées par un ransomware ? NIS2 exige un plan documenté et testé régulièrement — pas seulement rédigé puis rangé dans un tiroir. Le test de restauration à partir d'une sauvegarde est le minimum requis. Consultez notre guide dédié sur la mise en place d'un PCA/PRA pour les PME pour les étapes pratiques.

3. Authentification forte et contrôle des accès

L'authentification multifacteur (MFA) devient un standard minimal, en particulier pour les accès distants (connexion depuis le domicile, depuis un chantier, via VPN ou bureau virtuel). Chaque collaborateur doit disposer d'accès strictement limités à ce dont il a besoin pour exercer sa mission — le principe du moindre privilège. Un responsable de paie n'a pas à voir les données techniques de production, et inversement.

4. Sauvegardes chiffrées et testées

Les sauvegardes doivent être régulières, externalisées et testées : une sauvegarde qui n'a jamais été restaurée avec succès n'est pas une sauvegarde, c'est une fausse tranquillité. Le chiffrement des données sensibles — comptabilité, RH, données clients — est une exigence explicite de NIS2, au repos comme en transit.

5. Notification des incidents dans les 24 heures

En cas d'incident significatif touchant votre système d'information, NIS2 impose une alerte à l'ANSSI dans les 24 heures suivant la détection, une notification détaillée dans les 72 heures, puis un rapport final après résolution. Cette obligation implique en amont d'avoir un dispositif minimal de détection : vous ne pouvez pas notifier ce que vous n'avez pas vu.

NIS2 et votre ERP : quelles implications concrètes ?

Votre logiciel de gestion est le cœur de votre système d'information. Il centralise vos données financières, commerciales, RH et logistiques. C'est donc le premier système impacté par les obligations NIS2, et l'un des vecteurs d'attaque les plus ciblés.

Obligation NIS2 Impact sur votre ERP
PSSI formalisée Gestion des droits utilisateurs dans l'ERP : qui peut accéder à la comptabilité, aux commandes, aux RH
PCA/PRA documenté Procédure de sauvegarde et de restauration des données ERP — délais, responsables, tests périodiques
Authentification forte (MFA) Activation du MFA pour l'accès à l'ERP, en particulier pour les connexions distantes depuis le terrain
Chiffrement des données Données ERP chiffrées en transit (HTTPS/TLS) et au repos — à vérifier auprès de votre intégrateur ou hébergeur
Notification d'incident en 24h Supervision et capacité de détection des incidents sur l'ERP : journaux d'accès, alertes anormales

Que votre ERP soit Sage, EBP, Odoo, Cegid ou un autre éditeur, les mêmes obligations s'appliquent. La conformité NIS2 n'est pas une question de choix d'éditeur : c'est une question de configuration, d'hébergement et de procédures. Le choix d'un intégrateur capable de vous accompagner sur ces aspects devient un critère de sélection à part entière.

Cloud vs. on-premise : qui porte la responsabilité ?

Un ERP hébergé dans le cloud bénéficie généralement des mesures de sécurité de l'hébergeur (sauvegardes automatiques, chiffrement, MFA intégré, journalisation). L'hébergement dans des datacenters en France facilite par ailleurs la conformité RGPD et les exigences de souveraineté des données. En revanche, un ERP installé sur votre serveur local vous rend seul responsable de l'ensemble de ces mesures : sauvegardes, mises à jour de sécurité, chiffrement, journalisation.

Quel que soit le mode de déploiement, c'est votre responsabilité de vérifier que les obligations NIS2 sont effectivement couvertes — et de pouvoir le démontrer à un donneur d'ordre ou à l'ANSSI si nécessaire.

Sanctions en cas de non-conformité NIS2

NIS2 prévoit des sanctions dissuasives, proportionnées à la catégorie de l'entité :

Catégorie d'entité Amende maximale
Entités essentielles 10 M EUR ou 2 % du CA mondial (le montant le plus élevé)
Entités importantes 7 M EUR ou 1,4 % du CA mondial (le montant le plus élevé)

Au-delà des amendes financières, NIS2 introduit des mesures qui concernent directement les dirigeants :

  • Responsabilité personnelle des dirigeants en cas de manquement grave aux obligations de gouvernance de la cybersécurité
  • Publication des sanctions par l'ANSSI, avec impact réputationnel direct auprès des clients et partenaires
  • Possibilité d'interdiction temporaire d'exercer pour les dirigeants des entités essentielles en cas de violation grave

Pour une PME sous-traitante, le risque immédiat est différent : perte de marchés auprès de donneurs d'ordre soumis à NIS2, qui auront l'obligation contractuelle de s'assurer que leurs fournisseurs respectent des standards minimaux de sécurité.

Calendrier NIS2 : ce qui est connu et les 4 actions à lancer maintenant

Étape Échéance estimée Action à mener
Pré-enregistrement MonEspaceNIS2 Déjà ouvert S'inscrire sur monespacenis2.cyber.gouv.fr pour un diagnostic en 5-10 minutes
Promulgation Loi Résilience T1-T2 2026 (estimé) Suivre les publications au Journal Officiel
Publication des décrets ANSSI (référentiel technique) T3-T4 2026 (estimé) Consulter les spécifications techniques détaillées sur cyber.gouv.fr
Mise en conformité complète 3 ans après promulgation Engager les travaux de sécurisation — ne pas attendre la dernière année

4 actions à lancer sans attendre la promulgation :

  1. Vérifiez si vous êtes directement concerné : inscrivez-vous sur MonEspaceNIS2 pour un diagnostic en ligne en 5 à 10 minutes. L'outil est gratuit et sans engagement.
  2. Cartographiez votre système d'information : listez vos logiciels critiques (ERP, messagerie, comptabilité, accès distants), vos sauvegardes actuelles et les accès utilisateurs existants. C'est le point de départ obligatoire de toute démarche.
  3. Évaluez votre maturité cyber actuelle : antivirus à jour ? Sauvegardes testées ? MFA activé ? Politique de mots de passe formalisée ? La plupart des PME découvrent plusieurs lacunes à cette étape — c'est normal, et mieux vaut les identifier maintenant.
  4. Anticipez les demandes de vos donneurs d'ordre : si vos clients principaux appartiennent aux secteurs régulés par NIS2, ils commenceront à intégrer des clauses de sécurité dans leurs contrats. Préparer une réponse documentée maintenant vous donnera un avantage dans les appels d'offres.

Pour un accompagnement indépendant sur la sécurisation de votre infrastructure ou de votre ERP dans le cadre de NIS2, demandez un diagnostic à un conseiller ACLG.

Maillage interne : piliers connexes à consulter

NIS2 ne s'aborde pas isolément. Deux piliers sont directement liés aux obligations techniques :

Questions fréquentes sur la directive NIS2

NIS2 s'applique-t-elle aux PME de moins de 50 salariés ?

Pas directement. Les entités de moins de 50 salariés sont exclues du champ direct de la directive, sauf exceptions sectorielles (fournisseurs uniques pour des secteurs critiques, par exemple). Cependant, si votre PME est fournisseur ou sous-traitant d'une entité régulée par NIS2, celle-ci est tenue d'évaluer la sécurité de sa chaîne d'approvisionnement — et donc la vôtre. L'effet cascade est la principale exposition des PME à NIS2.

Quand NIS2 entre-t-elle en vigueur en France ?

La loi de transposition française ("Loi Résilience") est attendue au T1-T2 2026. Une fois promulguée, les entités concernées disposeront de 3 ans pour atteindre la conformité complète. L'ANSSI a déjà ouvert le pré-enregistrement sur MonEspaceNIS2, qui permet un premier diagnostic en ligne.

Combien coûte la mise en conformité NIS2 ?

Les estimations ANSSI/SGDSN indiquent entre 100 000 et 200 000 EUR pour une entité importante (50-249 salariés), et entre 450 000 et 880 000 EUR pour une entité essentielle. Ces chiffres concernent les entités directement soumises à la directive. Pour une PME sous-traitante qui se prépare aux exigences en cascade, le budget est très différent : les 5 actions prioritaires (sauvegardes externalisées, MFA, PRA minimal, PSSI, supervision) représentent, selon notre expérience terrain, entre 500 et 1 500 EUR par mois pour une entreprise de 10 à 50 salariés — un ordre de grandeur qui varie sensiblement selon le niveau de maturité de départ et les prestataires retenus.

Mon ERP est-il concerné par NIS2 ?

Oui, quel que soit l'éditeur. Que vous utilisiez Sage, EBP, Odoo, Cegid ou un autre logiciel de gestion, votre ERP centralise vos données critiques et constitue un point d'entrée potentiel pour les attaquants. Il doit être intégré dans votre démarche de conformité : gestion des accès, sauvegardes, chiffrement, MFA pour les connexions distantes, supervision des journaux d'activité.

Que risque un dirigeant en cas de non-conformité NIS2 ?

Pour les entités directement soumises à NIS2, les amendes peuvent atteindre 10 M EUR (ou 2 % du CA mondial) pour les entités essentielles, et 7 M EUR (ou 1,4 % du CA mondial) pour les entités importantes. Au-delà des amendes, NIS2 prévoit une responsabilité personnelle des dirigeants en cas de manquement grave, pouvant aller jusqu'à l'interdiction temporaire d'exercer. La publication des sanctions par l'ANSSI ajoute une dimension réputationnelle.

Mon assureur peut-il refuser de couvrir un sinistre informatique si je ne suis pas conforme NIS2 ?

Oui, et c'est une tendance déjà observable indépendamment de NIS2. Les assureurs cyber durcissent leurs conditions d'indemnisation et peuvent refuser une prise en charge en cas d'absence de mesures élémentaires : pas de sauvegarde externalisée, mots de passe partagés entre collaborateurs, absence de MFA sur les accès distants, pas de journalisation des connexions. La conformité NIS2 — même partielle pour une PME sous-traitante — constitue un argument opposable à l'assureur en cas de sinistre.

Par où commencer concrètement si je n'ai aucune maturité cyber ?

Trois actions sans coût direct à mener en premier : (1) testez la restauration d'un fichier supprimé il y a 30 jours depuis votre sauvegarde actuelle — vous verrez immédiatement si elle fonctionne réellement ; (2) listez tous vos accès distants (VPN, bureau virtuel, accès ERP depuis l'extérieur) et les personnes qui les utilisent ; (3) rédigez un document d'une page décrivant ce que vous feriez si votre serveur tombait demain matin — c'est le point de départ d'un PRA. Ces trois actions ne coûtent rien et révèlent les lacunes prioritaires à traiter.

Comment prouver à un donneur d'ordre que je suis prêt pour NIS2 ?

Quatre éléments suffisent à constituer un dossier de première réponse : une PSSI d'une page (règles d'accès, gestion des mots de passe, procédure incident) ; un compte rendu de test de restauration de sauvegarde daté des 6 derniers mois ; une liste des accès utilisateurs avec niveaux de droits ; et la preuve d'activation du MFA sur au moins les accès distants et les comptes administrateurs. Un donneur d'ordre raisonnable acceptera ce niveau de documentation comme point de départ, avant de demander des audits plus approfondis aux entités plus matures.

Sources

Ce guide a pour vocation d'informer les dirigeants de PME sur le cadre réglementaire NIS2 et ses implications pratiques. Il ne constitue pas un conseil juridique. Pour un accompagnement personnalisé sur la sécurisation de votre système d'information, contactez un conseiller indépendant.

Michel Exbrayat

Conseiller ERP indépendant depuis 1984 · Fondateur ACLG

Accompagne les PME françaises dans la structuration de leur système d'information : choix d'ERP, sécurisation des accès, mise en conformité NIS2.

Demander un diagnostic indépendant

Telecharger le guide complet (PDF)

Recevez gratuitement ce guide par email. Sans spam, desinscription a tout moment.

naviguer ouvrir fermer