NIS2 : comment prioriser ses mesures quand on n’a pas d’équipe sécurité dédiée ?

Pour beaucoup de PME, NIS2 pose une difficulté très concrète : comment avancer quand on n’a pas d’équipe sécurité dédiée ?

La directive parle de gestion des risques, de gouvernance, de continuité, d’incidents, de chaîne d’approvisionnement, de sécurité des systèmes et de mesures organisationnelles. Sur le papier, tout semble important. Dans la réalité, une PME doit souvent faire avec un DSI, un responsable IT, un prestataire, un dirigeant impliqué… mais rarement une équipe cyber complète.

C’est précisément pour cela qu’il faut éviter le piège de la checklist infinie. La bonne approche consiste à prioriser progressivement les mesures NIS2 selon quatre niveaux : socle d’hygiène, continuité d’activité, fournisseurs, gouvernance. ENISA rappelle d’ailleurs que les incidents cyber peuvent avoir des effets très rapides sur les PME : dans une enquête citée par l’agence, 90 % des PME interrogées estimaient qu’un problème de cybersécurité aurait un impact négatif sérieux sur leur activité en moins d’une semaine, et 57 % déclaraient qu’elles risqueraient probablement la faillite ou l’arrêt d’activité.

Le vrai problème : NIS2 est souvent lu comme une liste de mesures à cocher

La première erreur consiste à traiter NIS2 comme une longue liste d’exigences à appliquer mécaniquement.

Pour une grande organisation avec une équipe RSSI, juridique, conformité, IT et audit interne, cette approche peut déjà être lourde. Pour une PME sans équipe sécurité dédiée, elle devient rapidement irréaliste.

Le problème n’est pas de savoir si les mesures sont utiles. La plupart le sont. Le problème est de savoir dans quel ordre les traiter, avec quels moyens, quelles preuves, et quel niveau de maturité raisonnable.

La Commission européenne rappelle que NIS2 établit un cadre commun de cybersécurité pour 18 secteurs critiques dans l’Union européenne, avec des obligations de gestion des risques, de notification d’incidents et de supervision. Le sujet n’est donc pas seulement technique : il touche aussi la gouvernance, l’organisation et la capacité à démontrer sa maîtrise.

Pourquoi une PME ne doit pas chercher à tout faire en même temps

Une PME qui tente de tout traiter en parallèle risque trois choses.

D’abord, elle disperse ses efforts. Elle ouvre trop de chantiers, mais en termine peu.

Ensuite, elle perd la lisibilité. Personne ne sait exactement ce qui est prioritaire, ce qui est en cours, ce qui est bloqué ou ce qui est réellement prouvé.

Enfin, elle fatigue les équipes. La conformité devient un sujet subi, perçu comme administratif, alors qu’elle devrait aider à mieux piloter le risque cyber.

ENISA a publié en 2025 une guidance technique NIS2 pour plusieurs catégories d’entités numériques et de services TIC. Cette guidance fournit des conseils pratiques, des exemples de preuves et des mappings d’exigences pour aider les organisations à mettre en œuvre les mesures de gestion du risque cyber. Le message est clair : il ne suffit pas de déclarer des mesures, il faut les rendre applicables, suivies et démontrables.

La bonne méthode : prioriser en 4 niveaux

Quand une PME n’a pas d’équipe sécurité dédiée, le bon modèle n’est pas de tout traiter au même niveau. Il faut avancer par couches.

Niveau 1 : le socle d’hygiène cyber

Avant de parler gouvernance avancée, reporting ou conformité détaillée, il faut d’abord sécuriser les fondamentaux.

Le socle d’hygiène doit répondre à une question simple :

quelles mesures réduisent rapidement les risques les plus probables et les plus dommageables ?

Les priorités sont généralement :

1. connaître les actifs et services critiques ;
2. protéger les accès sensibles avec MFA ;
3. maîtriser les comptes administrateurs ;
4. appliquer les correctifs importants ;
5. sécuriser la messagerie ;
6. sensibiliser les utilisateurs aux fraudes et au phishing ;
7. limiter les expositions inutiles sur Internet.

Ce niveau est essentiel parce qu’il protège contre des scénarios très fréquents : compromission de comptes, phishing, exploitation de vulnérabilités connues, mauvaises configurations, accès trop permissifs.

Pour une PME, c’est souvent le meilleur retour sur effort. Inutile de produire un référentiel parfait si les comptes administrateurs ne sont pas maîtrisés ou si les sauvegardes ne sont pas vérifiées.

Niveau 2 : la continuité et la capacité à reprendre

Une fois le socle minimal posé, la deuxième priorité est la continuité.

NIS2 ne doit pas être lu uniquement comme une démarche de prévention. Une PME doit aussi se demander :

si un incident arrive, pouvons-nous continuer ou reprendre rapidement ?

Les mesures prioritaires sont :

1. sauvegardes régulières ;
2. sauvegardes protégées contre l’effacement ou le chiffrement ;
3. tests de restauration ;
4. procédure de gestion d’incident ;
5. contacts d’urgence ;
6. rôles de crise ;
7. priorisation des applications et données critiques.

C’est un point souvent sous-estimé. Beaucoup de PME pensent être protégées parce qu’elles ont des sauvegardes. Mais une sauvegarde non testée reste une hypothèse, pas une garantie.

La logique de résilience est centrale : l’objectif n’est pas seulement d’éviter tous les incidents, mais de réduire leur impact. ENISA rappelle que les PME sont particulièrement sensibles aux interruptions rapides d’activité liées aux incidents cyber. (enisa.europa.eu)

Niveau 3 : les fournisseurs et dépendances critiques

Le troisième niveau concerne les fournisseurs.

C’est un sujet majeur dans NIS2. La directive insiste sur la sécurité de la chaîne d’approvisionnement et sur les relations entre les entités et leurs prestataires directs. Pour une PME, cela signifie qu’il faut mieux comprendre qui peut impacter l’activité : hébergeur, infogérant, prestataire SaaS, fournisseur critique, prestataire de sauvegarde, outil métier, éditeur logiciel, etc. (Stratégie numérique Europe)

Les premières actions réalistes sont :

1. lister les fournisseurs critiques ;
2. identifier ceux qui ont accès aux données ou au SI ;
3. vérifier les clauses de sécurité minimales ;
4. demander les éléments essentiels de sécurité ;
5. clarifier les responsabilités en cas d’incident ;
6. suivre les dépendances les plus sensibles.

Le but n’est pas de lancer un programme fournisseur complexe dès le premier mois. Le but est de ne plus découvrir, au moment d’un incident, qu’un prestataire avait un accès critique ou qu’aucune responsabilité n’était claire.

Niveau 4 : la gouvernance et le pilotage

Le dernier niveau est celui qui permet de tenir dans le temps.

La gouvernance ne veut pas dire créer une bureaucratie. Pour une PME, cela veut dire savoir :

1. qui est responsable de quoi ;
2. quelles mesures sont suivies ;
3. quelles preuves existent ;
4. quels écarts restent ouverts ;
5. quelles décisions ont été prises ;
6. quels risques sont acceptés temporairement ;
7. ce qui doit être revu régulièrement.

C’est souvent le niveau qui manque le plus. Les mesures existent parfois, mais elles ne sont pas pilotées. Les preuves existent parfois, mais elles sont dispersées. Les décisions sont prises, mais pas historisées.

L’ANSSI accompagne les futures entités concernées par NIS2 et l’écosystème français avec MonEspaceNIS2 et le Référentiel Cyber France, mis à disposition depuis mars 2026, pour aider les organisations à se préparer progressivement.

Le piège à éviter : vouloir produire une conformité parfaite trop tôt

Une PME sans RSSI ne doit pas viser un dispositif parfait dès le départ. Elle doit viser un dispositif progressif, défendable et maintenu.

Le piège classique consiste à vouloir tout documenter immédiatement :

1. politiques ;
2. procédures ;
3. plans ;
4. matrices ;
5. registres ;
6. preuves ;
7. audits ;
8. reporting.

Le risque est de produire beaucoup de documents, mais peu d’exécution réelle.

La bonne démarche consiste à avancer dans cet ordre :

1. sécuriser les fondamentaux ;
2. prouver les mesures essentielles ;
3. traiter les dépendances critiques ;
4. structurer le pilotage ;
5. améliorer progressivement.

Exemple concret pour une PME sans équipe sécurité

Prenons une PME de 80 personnes, avec un responsable IT, un prestataire d’infogérance et plusieurs outils SaaS critiques.

Mauvaise approche

Elle crée une checklist NIS2 complète avec 80 actions.

Tout est prioritaire.

Personne ne sait quoi faire d’abord.

Les équipes se découragent.

Le plan d’action devient un fichier de suivi peu mis à jour.

Bonne approche

Elle démarre avec quatre vagues.

Vague 1 : hygiène

1. MFA sur les accès critiques ;
2. inventaire des actifs principaux ;
3. revue des comptes administrateurs ;
4. correctifs prioritaires ;
5. sensibilisation phishing.

Vague 2 : continuité

1. sauvegardes ;
2. test de restauration ;
3. procédure d’incident ;
4. contacts d’urgence.

Vague 3 : fournisseurs

1. liste des prestataires critiques ;
2. vérification des accès ;
3. clauses et contacts de crise ;
4. preuve minimale de sécurité côté prestataire.

Vague 4 : gouvernance

1. responsables ;
2. preuves ;
3. indicateurs simples ;
4. revue mensuelle ou trimestrielle ;
5. historique des décisions.

Cette approche ne couvre pas tout immédiatement, mais elle crée une trajectoire réaliste.

Comment savoir si vous priorisez correctement ?

Une bonne priorisation NIS2 doit répondre à cinq questions :

1. Est-ce que cette mesure réduit un risque important ?
2. Est-ce qu’elle protège un actif ou service critique ?
3. Est-ce qu’elle est faisable avec nos moyens actuels ?
4. Est-ce qu’elle peut produire une preuve ?
5. Est-ce qu’elle aide à tenir le dispositif dans le temps ?

Si une mesure ne répond à aucune de ces questions, elle n’est probablement pas prioritaire à court terme.

Ce qu’il faut suivre dans un tableau de pilotage simple

Même sans équipe sécurité dédiée, il faut suivre quelques éléments de base :

1. mesure ;
2. niveau de priorité ;
3. responsable ;
4. échéance ;
5. statut ;
6. preuve attendue ;
7. preuve disponible ;
8. commentaire ou blocage.

C’est suffisant pour commencer. Le but n’est pas de construire une usine à gaz, mais de rendre la progression visible.

ENISA propose également un outil de maturité cybersécurité pour PME, avec l’objectif d’aider les petites et moyennes entreprises à évaluer leur niveau de maturité et à obtenir un plan d’amélioration adapté à leurs besoins. Cette logique progressive est exactement ce dont les PME ont besoin pour éviter une approche trop lourde.

Là où CompliKey peut aider

C’est précisément dans ce contexte que CompliKey a du sens.

Une PME sans équipe sécurité dédiée n’a pas besoin d’un outil qui lui impose une conformité parfaite dès le premier jour. Elle a besoin d’un cadre progressif pour :

1. suivre ses mesures prioritaires ;
2. rattacher les preuves ;
3. visualiser l’avancement ;
4. structurer les responsabilités ;
5. piloter les écarts ;
6. avancer à son rythme ;
7. préparer ses réponses aux clients, audits ou exigences NIS2.

CompliKey se positionne justement comme un cockpit de gouvernance cyber et conformité : pas un SIEM, pas un outil de scan, pas une solution d’analyse de risques complexe, mais un outil pour faire vivre les mesures, preuves et décisions dans le temps.

En bref

Quand une PME n’a pas d’équipe sécurité dédiée, elle ne doit pas traiter NIS2 comme une checklist infinie.

La bonne démarche est progressive :

1. niveau 1 : hygiène cyber ;
2. niveau 2 : continuité ;
3. niveau 3 : fournisseurs critiques ;
4. niveau 4 : gouvernance et pilotage.

Cette approche permet de réduire les risques les plus importants, de produire des preuves et de construire progressivement une conformité défendable.

FAQ

Peut-on avancer sur NIS2 sans RSSI ?

Oui. Une PME peut avancer si elle priorise les mesures essentielles, clarifie les responsabilités et suit les preuves. L’objectif n’est pas de tout faire immédiatement, mais de construire une trajectoire réaliste.

Quelles mesures NIS2 prioriser en premier pour une PME ?

Les premières mesures sont généralement l’hygiène cyber : actifs critiques, MFA, comptes administrateurs, correctifs, sauvegardes, sensibilisation et réduction des expositions évidentes.

Faut-il commencer par la gouvernance ou la technique ?

Les deux doivent avancer, mais dans une PME sans équipe dédiée, il faut commencer par les mesures qui réduisent rapidement le risque, puis structurer progressivement la gouvernance.

Pourquoi les fournisseurs sont-ils importants dans NIS2 ?

Parce que NIS2 inclut explicitement la sécurité de la chaîne d’approvisionnement et les relations avec les prestataires directs. Une PME doit donc identifier ses fournisseurs critiques et clarifier les responsabilités de sécurité.

Conclusion

NIS2 ne doit pas devenir une checklist paralysante pour les PME. Le bon enjeu n’est pas de tout faire en même temps, mais de construire une démarche progressive, réaliste et démontrable.

Quand on n’a pas d’équipe sécurité dédiée, la meilleure approche est de commencer par ce qui réduit le plus de risque : hygiène cyber, continuité, fournisseurs critiques, puis gouvernance.

C’est ce passage d’une conformité subie à un pilotage progressif qui permet à une PME d’avancer sérieusement, sans se noyer dans des exigences trop nombreuses ni dépendre d’une organisation qu’elle n’a pas encore.