Lundi matin. Un email de votre plus gros client atterrit dans votre boite de reception. Objet : "Questionnaire securite - conformite NIS2 - reponse sous 30 jours". Vingt pages de questions sur vos pratiques de cybersecurite, votre politique de sauvegarde, votre gestion des acces. Vous n'avez jamais entendu parler de NIS2, et pourtant cette directive vient de frapper a votre porte.
Ce scenario n'est pas hypothetique. Il se joue en ce moment dans des milliers de PME francaises. La directive NIS2, qui elargit les obligations de cybersecurite a plus de 15 000 organisations en France, impose aux entites concernees de securiser l'ensemble de leur chaine d'approvisionnement. Et cette chaine, c'est vous.
Si vous avez lu notre guide complet NIS2, vous connaissez les 10 obligations et la methode de mise en conformite pour les entites directement soumises. Cet article traite d'un angle different et tout aussi critique : ce qui se passe quand votre PME n'est pas directement concernee par NIS2, mais que vos clients le sont.
A la fin de votre lecture, vous saurez :
- Pourquoi NIS2 concerne les sous-traitants meme s'ils ne sont pas directement vises
- Les 5 exigences types que vos clients vont vous imposer
- Les 3 niveaux de maturite attendus et la checklist pour chacun
- Comment vous preparer progressivement sans exploser le budget
- Comment transformer cette contrainte en avantage commercial
- Les aides disponibles pour financer votre mise a niveau
Pourquoi NIS2 concerne les sous-traitants
L'article 21 et la chaine d'approvisionnement
Le coeur du sujet se trouve dans l'article 21 de la directive NIS2. Ce texte impose aux entites soumises de prendre des mesures pour securiser leur chaine d'approvisionnement. En clair : une entreprise soumise a NIS2 ne peut plus se contenter de proteger ses propres systemes. Elle doit s'assurer que ses fournisseurs, sous-traitants et prestataires atteignent eux aussi un niveau de securite suffisant.
Cette obligation n'est pas theorique. Les chiffres le confirment : 62 % des cyberattaques visant des grands groupes en 2024 sont passees par un sous-traitant ou un fournisseur (source : ENISA Threat Landscape 2024). Les attaquants l'ont compris depuis longtemps - pourquoi s'en prendre a une forteresse quand on peut entrer par une porte derobee ?
Le mecanisme de cascade
NIS2 cree un effet de cascade reglementaire. Voici comment il fonctionne :
- Votre client est soumis a NIS2 (il emploie plus de 50 salaries et opere dans un des 18 secteurs couverts)
- L'ANSSI lui impose de securiser sa chaine d'approvisionnement (article 21, mesure 4)
- Votre client vous transmet des exigences de securite (questionnaire, clauses contractuelles, audit)
- Vous devez y repondre sous peine de perdre le contrat
Le resultat : meme si votre PME compte 15 salaries et n'est pas du tout dans le perimetre direct de NIS2, vous etes concerne des que vous travaillez avec un client soumis a la directive. Et avec plus de 15 000 entites concernees en France - contre 300 sous l'ancienne directive NIS1 - la probabilite que l'un de vos clients soit dans le lot est elevee.
Ce n'est pas une menace future, c'est en cours
L'echeance officielle pour la mise en oeuvre des 10 mesures obligatoires est le 17 octobre 2026. Mais de nombreuses grandes entreprises et ETI ont deja commence a auditer leurs fournisseurs. Les premiers questionnaires circulent depuis fin 2025. Les appels d'offres integrent des clauses de cybersecurite renforcees. Les contrats en renouvellement incluent de nouvelles exigences.
Si vous attendez de recevoir un questionnaire pour commencer a vous preparer, vous aurez 30 jours pour rattraper un retard de plusieurs mois.
Ce que vos clients vont vous demander
Les 5 exigences types
Les grands comptes soumis a NIS2 ne vont pas reinventer la roue. Leurs exigences envers les sous-traitants suivent un schema relativement previsible. Voici les 5 demandes les plus frequentes, avec ce qu'elles signifient concretement pour votre PME.
| # | Exigence client | Ce qu'on vous demande concretement | Delai de reponse habituel |
|---|---|---|---|
| 1 | Questionnaire de securite | Repondre a 50-150 questions sur vos pratiques cyber, votre infrastructure, vos certifications | 15-30 jours |
| 2 | Preuves de conformite | Fournir des documents : politique de securite, PCA, registre des incidents, resultats d'audit | 30-60 jours |
| 3 | Clauses contractuelles | Accepter des obligations de securite dans le contrat (notification d'incident, droit d'audit, penalites) | A la signature |
| 4 | Plan de remediation | Si vos reponses revelent des lacunes, presenter un plan d'action date pour les combler | 30-90 jours |
| 5 | Audit sur site ou a distance | Accepter qu'un auditeur mandante par votre client verifie vos pratiques reelles | 1-2 jours d'audit |
Le questionnaire de securite en detail
Le questionnaire est generalement le premier contact. Il couvre les themes suivants :
Gouvernance et organisation : avez-vous un referent cybersecurite ? La direction est-elle impliquee dans les decisions de securite ? Disposez-vous d'une politique de securite ecrite ?
Protection technique : vos systemes sont-ils a jour ? Utilisez-vous l'authentification multifacteur ? Votre reseau est-il segmente ? Vos donnees sensibles sont-elles chiffrees ?
Gestion des incidents : avez-vous une procedure de notification ? Conservez-vous des journaux d'evenements ? Avez-vous deja subi un incident et comment l'avez-vous gere ?
Continuite d'activite : vos sauvegardes sont-elles testees ? Disposez-vous d'un plan de continuite ? Quel est votre delai de reprise d'activite en cas de sinistre ?
Gestion des tiers : comment evaluez-vous vos propres fournisseurs ? Incluez-vous des clauses de securite dans vos contrats avec vos prestataires ?
Le piege le plus courant : repondre "oui" a une question quand la pratique n'est pas formalisee. Si vous dites avoir une politique de sauvegarde mais que personne ne l'a testee depuis 18 mois, un audit le revelera - et votre credibilite en prendra un coup.
Les 3 niveaux de maturite attendus
Tous les clients n'attendent pas le meme niveau de securite de leurs sous-traitants. L'exigence depend de la criticite de votre prestation. Un fournisseur de fournitures de bureau n'est pas soumis aux memes attentes qu'un prestataire qui accede au systeme d'information de son client.
Niveau 1 : Essentiel
Pour qui : sous-traitants sans acces au SI du client, fournisseurs de produits ou services non critiques.
Ce que le client attend :
- [ ] Authentification multifacteur sur les acces critiques (messagerie, outils cloud)
- [ ] Mises a jour de securite appliquees regulierement (sous 30 jours)
- [ ] Sauvegardes automatiques et testees (au moins trimestriellement)
- [ ] Politique de mots de passe robuste (12+ caracteres, gestionnaire de mots de passe)
- [ ] Sensibilisation basique des equipes (au moins une session par an)
- [ ] Antivirus ou solution de protection des postes a jour sur tous les appareils
- [ ] Charte informatique signee par les collaborateurs
Budget estimatif : 2 000 a 8 000 EUR pour la mise en place, 1 000 a 3 000 EUR par an en maintien.
Delai de mise en oeuvre : 1 a 3 mois.
Niveau 2 : Intermediaire
Pour qui : prestataires avec un acces limite au SI du client (VPN, portail fournisseur, echange de donnees), sous-traitants qui traitent des donnees sensibles du client.
Ce que le client attend (en plus du niveau 1) :
- [ ] Politique de securite formalisee et validee par la direction
- [ ] Analyse des risques documentee (methode EBIOS RM ou equivalent)
- [ ] Procedure de gestion des incidents ecrite (detection, notification sous 24h, traitement)
- [ ] Plan de continuite d'activite (PCA) couvrant les processus lies au client
- [ ] Segmentation reseau (separation des environnements de production, bureautique, invites)
- [ ] Chiffrement des donnees sensibles au repos et en transit
- [ ] Revue des droits d'acces semestrielle
- [ ] Journalisation des evenements de securite (conservation 12 mois minimum)
- [ ] Formation cybersecurite specifique pour les collaborateurs manipulant des donnees client
Budget estimatif : 15 000 a 45 000 EUR pour la mise en place, 5 000 a 15 000 EUR par an en maintien.
Delai de mise en oeuvre : 3 a 6 mois.
Niveau 3 : Avance
Pour qui : prestataires avec un acces privilegie au SI du client (administration, infogerance, developpement), sous-traitants critiques dont l'arret impacterait l'activite du client.
Ce que le client attend (en plus des niveaux 1 et 2) :
- [ ] Certification ISO 27001 ou qualification PASSI (ou plan d'obtention)
- [ ] Tests d'intrusion annuels realises par un tiers independant
- [ ] SOC (centre operationnel de securite) ou service de surveillance externalise
- [ ] Plan de reponse aux incidents teste par exercice au moins annuellement
- [ ] Gestion des vulnerabilites avec scan regulier et correction sous 72h pour les critiques
- [ ] Clause de notification d'incident au client sous 24 heures
- [ ] Droit d'audit contractuel accorde au client
- [ ] Sauvegarde hors site avec test de restauration semestriel
Budget estimatif : 35 000 a 180 000 EUR pour la mise en place, 15 000 a 50 000 EUR par an en maintien. Un audit PASSI seul represente 8 000 a 25 000 EUR pour un diagnostic complet.
Delai de mise en oeuvre : 6 a 18 mois.
Comment se preparer sans exploser le budget
Plan d'action progressif par trimestre
La cle est de ne pas tout faire en meme temps. Voici un plan realiste reparti sur 6 mois qui vous amene au niveau 2, suffisant pour la grande majorite des sous-traitants.
Trimestre 1 : poser les fondations (budget : 3 000-8 000 EUR)
Mois 1 :
- Nommer un referent cybersecurite (meme a temps partiel, pas besoin d'embaucher)
- Activer le MFA sur tous les comptes critiques (messagerie, outils cloud, ERP)
- Verifier que les mises a jour automatiques sont actives partout
- Commander un diagnostic de securite initial
Mois 2 :
- Deployer un gestionnaire de mots de passe pour toute l'equipe
- Rediger et faire signer une charte informatique
- Mettre en place des sauvegardes conformes a la regle 3-2-1
- Tester une restauration de sauvegarde
Mois 3 :
- Organiser une premiere session de sensibilisation (1h, focus hameconnage)
- Rediger la politique de securite (5-10 pages maximum)
- Faire valider la politique par la direction
- Repondre au questionnaire client si vous en avez recu un
Trimestre 2 : structurer (budget : 8 000-20 000 EUR)
Mois 4 :
- Realiser l'analyse des risques (utiliser la methode EBIOS RM simplifiee)
- Segmenter le reseau (au minimum : separer le Wi-Fi invites et les postes de travail)
- Activer le chiffrement des disques sur les ordinateurs portables
Mois 5 :
- Rediger la procedure de gestion des incidents
- Configurer la journalisation des evenements de securite
- Deployer une solution de detection sur les postes (EDR)
- Realiser une revue des droits d'acces
Mois 6 :
- Rediger le plan de continuite d'activite (PCA) simplifie
- Organiser un exercice de simulation d'incident
- Lancer un premier scan de vulnerabilites
- Constituer un dossier de preuves pour vos clients (politique, procedures, rapports)
Les economies intelligentes
Vous n'avez pas le budget d'une grande entreprise. Voici 5 leviers pour reduire les couts sans reduire la securite.
1. Mutualisez avec le RGPD. Si vous avez un DPO ou un referent RGPD, une partie du travail est deja faite : registre des traitements, analyse d'impact, procedures de notification. NIS2 et RGPD partagent environ 20 % de leurs exigences.
2. Privilegiez les solutions open source. Des outils de surveillance et de detection existent en open source avec un niveau de qualite professionnel. Le cout se limite alors a la mise en place et a la maintenance.
3. Factorisez la documentation. Un seul document d'analyse des risques, un seul PCA, une seule politique de securite - adaptez-les selon les clients plutot que de repartir de zero pour chacun.
4. Formez un collaborateur en interne. Un investissement de 2 000 a 5 000 EUR en formation peut vous eviter de recourir systematiquement a un prestataire externe pour le suivi quotidien.
5. Echelonnez les depenses. Commencez par les mesures gratuites ou quasi gratuites (MFA, mises a jour, charte informatique), puis investissez progressivement. Le plan trimestriel ci-dessus repartit l'effort pour eviter un pic budgetaire insupportable.
Pour un panorama complet des couts d'un projet de transformation digitale et des aides disponibles, consultez notre article sur le cout d'un projet IA et automatisation pour une PME.
Transformer la contrainte en avantage commercial
La differenciation par la confiance
Voici l'angle que la plupart des PME ne voient pas : NIS2 va creer une ligne de partage nette entre les sous-traitants conformes et les autres. D'un cote, les PME capables de repondre a un questionnaire de securite en 48 heures, preuves a l'appui. De l'autre, celles qui demandent 3 mois et bricolent des reponses approximatives.
Dans un marche ou les grands comptes sont obliges par la loi de securiser leur chaine d'approvisionnement, la conformite devient un critere de selection au meme titre que le prix ou la qualite technique.
Les 3 avantages concurrentiels
1. Acces aux marches grands comptes. Les appels d'offres des entreprises soumises a NIS2 incluent desormais des criteres de cybersecurite eliminatoires. Etre conforme, c'est rester eligible. Ne pas l'etre, c'est etre ecarte avant meme que votre offre soit lue.
2. Fidelisation des clients existants. Un client qui a investi du temps pour auditer votre securite et valider votre conformite n'a aucun interet a changer de fournisseur - le cout de re-qualification d'un nouveau sous-traitant est significatif. Votre conformite renforce le lien commercial.
3. Argument de vente quantifiable. "Nous sommes conformes aux exigences NIS2 de la chaine d'approvisionnement" est un argument qui se place en tete de proposition commerciale. Il rassure le decideur et simplifie le processus d'achat de votre client - moins de questionnaires, moins d'allers-retours, moins de risque pour lui.
Comment valoriser votre conformite
- Mentionnez votre niveau de conformite dans vos propositions commerciales et sur votre site web
- Preparez un dossier de preuves pret a l'emploi (politique de securite, resultats d'audit, attestations de formation)
- Proposez proactivement le questionnaire de securite a vos prospects grands comptes - avant qu'ils ne le demandent
- Si vous visez le niveau 3, la certification ISO 27001 est un signal fort reconnu internationalement
Les aides disponibles pour financer votre mise a niveau
Les PME ne sont pas seules face a NIS2. Plusieurs dispositifs publics permettent de financer une partie de la mise en conformite.
| Aide | Montant | Eligibilite | Comment en beneficier |
|---|---|---|---|
| Diagnostic France Num | Gratuit | TPE/PME (toutes) | france-num.gouv.fr - demande en ligne |
| Cheque audit cybersecurite (ANSSI) | Jusqu'a 5 000 EUR | PME < 250 salaries | Programme en cours - contacter l'ANSSI |
| Subvention BPI France | 30 a 50 % du cout du projet | PME innovantes | bpifrance.fr - dossier avec devis |
| Credit d'impot innovation | 30 % des depenses eligibles | PME investissant en cybersecurite | Declaration via impots.gouv.fr |
| Aides regionales | Variable selon region | TPE/PME locales | Contacter votre CCI ou conseil regional |
Conseil pratique : commencez par le diagnostic gratuit France Num. Il vous donne un etat des lieux structure qui facilite ensuite les demandes de financement aupres de BPI ou de votre region. Les CCI (Chambres de Commerce et d'Industrie) proposent egalement des ateliers de sensibilisation NIS2 gratuits - renseignez-vous aupres de votre chambre locale.
Pour aller plus loin sur les financements, notre article sur la cybersecurite en PME detaille les mesures essentielles et les ressources publiques disponibles.
Timeline : que faire dans les 6 prochains mois
Voici une feuille de route actionnable, mois par mois, pour que votre PME soit prete a repondre aux exigences de ses clients soumis a NIS2 avant l'echeance du 17 octobre 2026.
| Mois | Actions prioritaires | Livrable | Budget indicatif |
|---|---|---|---|
| Mois 1 (avril 2026) | Nommer un referent cyber, activer le MFA partout, inventorier les actifs | Liste des actifs, MFA deploye | 0 - 500 EUR |
| Mois 2 (mai 2026) | Deployer un gestionnaire de mots de passe, mettre en place les sauvegardes 3-2-1, rediger la charte informatique | Charte signee, sauvegardes testees | 500 - 2 000 EUR |
| Mois 3 (juin 2026) | Realiser un diagnostic de securite, rediger la politique de securite, former les equipes | Politique validee, diagnostic realise | 3 000 - 8 000 EUR |
| Mois 4 (juillet 2026) | Mener l'analyse des risques, segmenter le reseau, chiffrer les portables | Analyse des risques documentee | 3 000 - 8 000 EUR |
| Mois 5 (aout 2026) | Rediger les procedures (incidents, PCA), configurer la journalisation, deployer un EDR | Procedures ecrites, EDR operationnel | 3 000 - 10 000 EUR |
| Mois 6 (septembre 2026) | Simuler un incident, constituer le dossier de preuves, scanner les vulnerabilites | Dossier de conformite complet | 2 000 - 5 000 EUR |
Total sur 6 mois : 11 500 a 33 500 EUR pour atteindre le niveau 2 (intermediaire).
Ce calendrier est calibre pour une PME de 15 a 80 salaries avec un SI de taille standard. Adaptez-le a votre situation : si vous partez de zero, concentrez les efforts sur le niveau 1 les 3 premiers mois avant de passer aux mesures du niveau 2.
Les erreurs a eviter
Cinq erreurs reviennent frequemment chez les PME qui decouvrent NIS2 par le questionnaire d'un client.
1. Attendre d'etre oblige. Chaque mois de retard est un mois pendant lequel vous risquez de perdre un contrat ou de decouvrir trop tard une vulnerabilite exploitable. Les PME qui anticipent ont un avantage decisif sur celles qui reagissent dans l'urgence.
2. Repondre au questionnaire sans corriger les failles. Cocher "oui" partout pour rassurer le client est tentant. Mais un audit - ou pire, un incident - revelera la realite. La credibilite perdue ne se recupere pas facilement.
3. Viser trop haut trop vite. Inutile de lancer une certification ISO 27001 si vous n'avez pas encore de politique de mots de passe. Progressez niveau par niveau, en commencant par les fondamentaux du niveau 1.
4. Confier le sujet uniquement a l'informatique. NIS2 est un sujet de direction. L'article 20 de la directive engage la responsabilite personnelle des dirigeants. La cybersecurite n'est plus une affaire de techniciens - c'est une affaire de gouvernance.
5. Traiter chaque client separement. Si trois clients vous envoient trois questionnaires differents, ne redigez pas trois reponses independantes. Constituez un dossier de securite unique, exhaustif, que vous adaptez ensuite a chaque demande. Le travail fait pour un client sert a tous les autres.
Conclusion : NIS2 n'attend pas, et vos clients non plus
La directive NIS2 redessine les regles du jeu pour les sous-traitants. Ce n'est pas une question de taille d'entreprise ou de secteur d'activite. C'est une question de relation commerciale : si votre client est soumis a NIS2, vous etes concerne. Et les sanctions pour les entites soumises - jusqu'a 10 millions d'euros ou 2 % du chiffre d'affaires mondial - les incitent fortement a ne prendre aucun risque avec leurs fournisseurs.
Mais cette contrainte porte aussi une opportunite. Les PME qui se preparent maintenant gagnent sur trois tableaux : elles conservent leurs contrats existants, elles se qualifient pour de nouveaux marches, et elles renforcent leur resilience face aux cybermenaces qui ne cessent de progresser.
Le premier pas est simple : nommez un referent, activez le MFA, et identifiez lesquels de vos clients sont soumis a NIS2. Ce travail prend une demi-journee. Les 6 mois suivants transformeront votre posture de securite.
Vous ne savez pas par ou commencer, ou vous avez recu un questionnaire de securite et vous avez besoin d'aide pour y repondre ? Nous accompagnons les PME sous-traitantes dans leur mise en conformite avec les exigences NIS2 de la chaine d'approvisionnement - du diagnostic initial a la constitution du dossier de preuves.
Sources : Directive (UE) 2022/2555 (NIS2), article 21 - securite de la chaine d'approvisionnement, ANSSI - Guide de mise en oeuvre NIS2 (2024), ENISA Threat Landscape 2024, France Num, BPI France.