Pourquoi la transposition NIS 2 en France ne laisse plus de marge aux sites industriels
La transposition NIS 2 en France pour l’industrie ne se résume pas à un exercice juridique abstrait. Elle redéfinit concrètement les priorités de cybersécurité industrielle et de sécurité des systèmes pour toutes les entreprises qui exploitent des lignes automatisées, des ICS ou des SCADA. Pour un responsable maintenance, cette directive européenne transforme la gestion des arrêts non planifiés en enjeu de conformité, avec des obligations qui pèsent désormais autant que les contrôles de qualité ou les audits HSE.
La directive (UE) 2022/2555, qui remplace la première directive NIS, élargit fortement le périmètre des entités concernées en visant les entreprises de plus de cinquante salariés ou dépassant dix millions d’euros de chiffre d’affaires annuel, ce qui inclut une grande partie des sites de sidérurgie, chimie, énergie et manufacturing. Ces entités essentielles et ces entités importantes devront démontrer une gestion des risques cyber alignée sur des standards élevés (article 21), sous peine de sanctions pouvant atteindre plusieurs millions d’euros. La logique est claire : les secteurs hautement critiques et les secteurs critiques ne peuvent plus traiter la cybersécurité comme un sujet purement IT, déconnecté des TRS, du MTBF et des plans de continuité industrielle.
En France, la transposition de la directive NIS 2, souvent appelée NIS France dans les échanges entre directions industrielles, s’appuie sur un projet de loi examiné en 2024 et sur les travaux de l’ANSSI, qui publie des référentiels pour les systèmes d’information industriels (guides ICSI, bonnes pratiques pour les ICS, doctrine de sécurité). Même si le décret d’application tarde, les obligations de sécurité des systèmes d’information, de notification des incidents (articles 23 et 30) et de conformité sont déjà actées dans chaque État membre, ce qui rend illusoire toute stratégie d’attente. Pour les sites industriels, la seule question utile est donc la suivante : quelles mesures OT mettre en service immédiatement pour que la transposition NIS ne se traduise pas par un audit à charge, mais par un levier de fiabilité opérationnelle.
Cartographier les actifs OT : la base de toute gestion des risques NIS 2
Sans cartographie OT, la mise en œuvre de NIS 2 dans l’industrie reste un exercice théorique, incapable de produire une vraie sécurité des systèmes. Un site qui ne sait pas précisément quels automates, variateurs, robots, cobots, serveurs SCADA ou historians pilotent ses lignes ne peut pas démontrer une gestion des risques crédible, ni prioriser les investissements de cybersécurité. Les directions industrielles qui ont déjà structuré leurs systèmes d’information autour d’une GMAO et d’un inventaire précis des équipements physiques doivent appliquer la même rigueur aux actifs numériques OT.
Concrètement, chaque entité industrielle doit établir une liste exhaustive des actifs connectés, en distinguant les systèmes critiques pour la production, les services de support et les segments de test ou de R&D. Cette cartographie doit intégrer les fournisseurs de services d’automatisme, les intégrateurs et les mainteneurs externes, car ces partenaires constituent souvent des vecteurs d’incidents majeurs, comme l’ont montré plusieurs attaques sur des secteurs hautement critiques en Europe (par exemple l’attaque sur l’opérateur d’eau Oldsmar en 2021 ou les intrusions sur des réseaux électriques documentées par ENISA). La directive NIS et la directive NIS 2 insistent sur cette vision étendue des entités, qui ne se limite plus au seul périmètre juridique de l’entreprise, mais englobe l’écosystème de fournisseurs et de sous-traitants.
Pour un responsable maintenance, cette cartographie OT doit être aussi opérationnelle qu’un plan de tuyauterie ou qu’un schéma de raccord tubulaire, car elle conditionne la rapidité de réaction en cas d’incident. Un inventaire OT utile pour la conformité doit inclure au minimum : l’identifiant unique de l’actif, le type d’équipement, le rôle dans le procédé, la zone de sécurité, la version de firmware, la configuration réseau (adresse IP, VLAN, protocole), les dépendances avec les systèmes d’information industriels et les applications métiers, ainsi que les chemins d’accès distants utilisés par les entités essentielles et les partenaires. C’est cette granularité qui permet ensuite de lier chaque actif à un scénario de défaillance, à un impact sur le chiffre d’affaires et à un plan de continuité, plutôt que de rester dans un discours générique sur la cybersécurité.
Pour approfondir l’importance de la précision technique dans les infrastructures, un parallèle utile peut être fait avec le rôle du raccord tubulaire dans l’industrie, où chaque détail de conception conditionne la fiabilité globale. De la même manière, une cartographie OT incomplète fragilise l’ensemble de la gestion des risques, même si les autres mesures semblent en place. La transposition NIS en France ne tolérera pas des inventaires approximatifs, car ils rendent impossible une notification d’incidents fiable et une analyse d’impact robuste.
Segmenter IT / OT : DMZ industrielle, pare-feu ICS et zones hautement critiques
Une fois la cartographie OT posée, l’adaptation à NIS 2 pour l’industrie impose de traiter sérieusement la segmentation entre IT et OT. Trop de sites fonctionnent encore avec des réseaux plats où les automates, les postes de supervision et les PC bureautiques partagent des segments, ce qui rend chaque incident bureautique potentiellement catastrophique pour la production. La directive NIS 2, en ciblant les secteurs critiques et les secteurs hautement sensibles, pousse au contraire à isoler les zones de contrôle industriel dans des segments dédiés, protégés par des pare-feu capables de comprendre les protocoles ICS.
La mise en place d’une DMZ industrielle entre les systèmes d’information de gestion et les réseaux OT devient alors un prérequis de conformité, et non plus un luxe réservé aux grands groupes. Cette DMZ héberge les services de transfert de fichiers, les serveurs d’historisation et les passerelles vers les applications de supervision, en limitant strictement les flux autorisés entre les entités essentielles et les autres entités de l’écosystème. Dans les secteurs hautement critiques comme l’énergie ou la chimie lourde, cette segmentation doit aller plus loin, en créant des zones de sécurité renforcée pour les systèmes les plus critiques, avec des règles de filtrage spécifiques (par exemple blocage par défaut des flux entrants vers les automates, autorisation uniquement de protocoles industriels nécessaires, journalisation systématique) et une surveillance accrue des incidents.
Les responsables maintenance et fiabilité ont un rôle clé dans cette segmentation, car ils connaissent mieux que quiconque les dépendances réelles entre équipements, lignes et services supports. Ils doivent challenger les projets de mise en réseau qui sacrifient la sécurité des systèmes d’information industriels au profit d’une connectivité totale, souvent poussée par des discours marketing sur l’usine 4.0. Un réseau OT bien segmenté, c’est un réseau où un incident sur un poste bureautique ne fait pas tomber une ligne de production, et où un défaut sur un automate ne remonte pas en cascade vers les systèmes de gestion des affaires annuelles ou de pilotage du chiffre d’affaires.
Cette logique de cloisonnement rappelle les exigences de sécurité structurelle dans les bâtiments industriels, où l’on isole les zones à risques pour limiter les effets domino. Les travaux d’expertise sur les fissures à Saint Étienne et la sécurisation des bâtiments industriels illustrent bien cette approche : on ne renforce pas tout, on renforce ce qui est réellement porteur. En cybersécurité industrielle, la directive NIS 2 demande la même lucidité, en concentrant les efforts sur les segments OT qui supportent directement la continuité de production et la sécurité des opérateurs.
Accès distants, sauvegardes air gap et plan de continuité OT : trois chantiers à lancer sans attendre
La transposition NIS 2 en France pour l’industrie met un coup d’arrêt aux accès distants improvisés vers les automates et les systèmes de supervision. Les connexions VPN partagées entre plusieurs fournisseurs de services, les comptes génériques pour les intégrateurs et les tunnels non documentés deviennent des non-conformités évidentes, difficiles à défendre face à un audit ANSSI. Chaque entité industrielle doit reprendre la main sur la gestion des accès distants, en imposant une authentification forte (MFA avec au minimum mot de passe robuste + jeton ou application d’authentification), une journalisation systématique et une durée limitée pour chaque intervention.
En parallèle, la directive NIS 2 exige une capacité réelle de reprise après incident, ce qui rend les sauvegardes air gap des projets automates et des historians absolument stratégiques. Trop de sites découvrent lors d’un incident que leurs sauvegardes sont stockées sur les mêmes systèmes d’information que ceux qui viennent d’être chiffrés, ce qui annule toute possibilité de redémarrage rapide. Une politique de sauvegarde alignée sur la conformité doit prévoir des copies déconnectées, avec une fréquence adaptée à la criticité (par exemple quotidienne pour les configurations d’automates critiques, hebdomadaire pour les serveurs d’historisation) et des tests de restauration au minimum une à deux fois par an, avec une procédure claire de reprise qui ne dépende pas d’un seul fournisseur ou d’une seule personne clé.
Le plan de continuité OT complète ce triptyque, en définissant ce qui doit continuer à tourner en mode dégradé et ce qui doit s’arrêter pour garantir la sécurité. Dans les secteurs critiques comme la chimie ou la métallurgie, ce plan doit être aussi précis qu’un plan de continuité énergétique ou qu’un plan de gestion des risques industriels, avec des scénarios chiffrés en pertes de chiffre d’affaires et en impacts sur les engagements clients. La directive NIS 2 ne demande pas seulement une notification des incidents, elle exige une capacité démontrable à limiter les effets d’un incident sur les services essentiels, ce qui renvoie directement à la robustesse du plan de continuité OT.
Pour les directions industrielles, ces trois chantiers sont l’occasion de remettre à plat la relation avec les fournisseurs de services d’automatisme et d’informatique industrielle. Un contrat de maintenance qui ne prévoit pas de règles claires sur les accès distants, les sauvegardes et la gestion des incidents n’est plus compatible avec la transposition NIS en France, surtout pour les entités essentielles. C’est aussi le moment de rapprocher les équipes OT et IT autour d’objectifs communs, en liant explicitement les indicateurs de disponibilité des lignes aux exigences de sécurité des systèmes d’information.
Surveillance OT, notification des incidents et arbitrages d’investissement pour les entités industrielles
La transposition NIS 2 en France pour l’industrie change profondément la manière dont les incidents OT sont détectés, analysés et remontés aux autorités. Un simple arrêt de ligne dû à un automate bloqué ne peut plus être traité comme une panne isolée sans analyse de cause racine cyber, surtout dans les secteurs hautement critiques. Les entités essentielles doivent mettre en place une surveillance OT capable de distinguer une défaillance matérielle classique d’un comportement anormal lié à une attaque, en s’appuyant sur des sondes réseau, des journaux d’événements et un SIEM enrichi de données industrielles, conformément aux recommandations de l’ANSSI sur les systèmes d’information industriels.
Cette surveillance n’a de sens que si elle alimente un processus structuré de gestion des incidents, avec des critères clairs pour décider d’une notification d’incident aux autorités compétentes. La directive NIS 2 impose des délais stricts pour ces notifications (signalement précoce sous 24 heures, rapport détaillé sous 72 heures), ce qui oblige les entreprises à clarifier en amont qui décide, sur quelles informations et avec quels scénarios d’impact sur les services essentiels. Dans ce cadre, la collaboration avec l’ANSSI et les CERT sectoriels devient un élément clé de la gestion des risques, en particulier pour les entités qui opèrent dans plusieurs États membres et doivent harmoniser leurs pratiques.
Les arbitrages d’investissement se déplacent alors du terrain purement IT vers le cœur des ateliers, avec des questions très concrètes pour les responsables maintenance. Faut-il financer d’abord des pare-feu ICS, des sondes de détection, des sauvegardes air gap ou la refonte du réseau OT pour améliorer la sécurité des systèmes d’information industriels ? La réponse dépend du secteur d’activité, de la criticité des lignes et du niveau actuel de maturité, mais une constante demeure : chaque euro investi doit réduire à la fois le risque d’arrêt de production et le risque de non-conformité.
Dans ce contexte, les stratégies industrielles de long terme, comme les plans sur les matières premières critiques ou les projets de relocalisation, doivent intégrer la dimension cybersécurité dès la conception. Les réflexions sur les chaînes d’approvisionnement, illustrées par les débats autour du plan terres rares pour les industriels aval français, montrent que la résilience ne se joue plus seulement sur les flux physiques, mais aussi sur la robustesse des systèmes d’information qui pilotent ces flux. La directive NIS 2 et sa transposition en France rappellent que la qualité et la conformité dans l’industrie passent désormais autant par la cybersécurité OT que par les contrôles dimensionnels ou les essais non destructifs.
Qualité, conformité et ROI : ce que NIS 2 change vraiment pour la maintenance industrielle
Pour un responsable maintenance, la transposition NIS 2 en France pour l’industrie n’est pas un sujet de conformité abstrait, mais un levier direct sur la qualité et la disponibilité des équipements. Chaque incident cyber évité, chaque accès distant mieux contrôlé et chaque sauvegarde restaurée rapidement se traduisent en heures de production préservées, en rebuts évités et en pénalités contractuelles non déclenchées. La directive NIS 2 fait simplement entrer ces gains opérationnels dans un cadre réglementaire, avec des obligations explicites pour les entités essentielles et les autres entités significatives.
Les directions industrielles qui abordent la conformité NIS comme un projet purement documentaire passent à côté de l’essentiel, car la vraie valeur se joue sur le terrain, dans les ateliers et les salles de contrôle. Un plan de gestion des risques qui ne parle pas de TRS, de MTBF, de GMAO ou de procédures de redémarrage après incident reste déconnecté de la réalité des secteurs critiques, où chaque heure d’arrêt se chiffre en centaines de milliers d’euros. La mise en œuvre des six mesures techniques OT évoquées plus haut doit donc être pilotée comme un projet industriel, avec des indicateurs de performance, des jalons et des retours d’expérience partagés en CODIR.
Sur le plan financier, la directive NIS 2 introduit une pression supplémentaire en liant directement la non-conformité à des sanctions pouvant atteindre plusieurs millions d’euros, calculées en pourcentage du chiffre d’affaires. Cette perspective change la discussion budgétaire, car il devient plus simple de justifier un investissement dans la sécurité des systèmes d’information industriels en le comparant au risque de sanction et au coût d’un arrêt prolongé. Un retour d’expérience concret, publié par plusieurs assureurs cyber européens, montre qu’un site de process continu ayant investi environ 2 % de son budget CAPEX annuel dans la segmentation réseau, les sauvegardes OT et la surveillance a réduit de l’ordre de 40 % ses heures d’arrêt non planifiées liées à des incidents numériques en deux ans. Pour les entités industrielles qui opèrent dans plusieurs États membres, l’harmonisation des pratiques de cybersécurité OT devient enfin un facteur de compétitivité, en réduisant les coûts de gestion multi-réglementaire et en améliorant la résilience globale des services essentiels.
FAQ sur la transposition NIS 2 en France pour l’industrie
Quelles entreprises industrielles sont concernées par la directive NIS 2 en France ?
La directive NIS 2 s’applique aux entreprises qui opèrent dans dix-huit secteurs, dont l’énergie, la chimie, la métallurgie, l’eau, les déchets et certains segments du manufacturing. En pratique, sont visées les entités qui dépassent cinquante salariés ou un seuil de dix millions d’euros de chiffre d’affaires, ce qui inclut de nombreux sites industriels de taille intermédiaire. Les entités essentielles et les entités importantes doivent toutes deux mettre en œuvre des mesures de cybersécurité et de gestion des risques adaptées à la criticité de leurs activités.
Quelles sont les principales obligations NIS 2 pour les systèmes OT industriels ?
Pour les systèmes OT, les obligations NIS 2 portent sur la gestion des risques, la sécurité des systèmes d’information, la détection et la notification des incidents, ainsi que la continuité d’activité. Les sites doivent notamment cartographier leurs actifs OT, segmenter les réseaux IT et OT, sécuriser les accès distants, mettre en place des sauvegardes robustes et définir un plan de continuité OT. Ces mesures doivent être documentées et régulièrement testées pour démontrer la conformité lors d’audits ou de contrôles par les autorités compétentes.
Comment la transposition NIS 2 impacte-t-elle la relation avec les fournisseurs de services ?
La transposition NIS 2 en France renforce les exigences vis-à-vis des fournisseurs de services d’automatisme, d’informatique industrielle et de maintenance. Les contrats doivent intégrer des clauses précises sur la sécurité des accès distants, la gestion des incidents, les sauvegardes et la confidentialité des informations techniques. Les entreprises industrielles restent responsables de la conformité globale, même lorsque certaines opérations sont externalisées, ce qui impose un pilotage plus serré de l’écosystème de fournisseurs.
Quels sont les risques en cas de non-conformité à la directive NIS 2 ?
En cas de non-conformité à la directive NIS 2, les entités industrielles s’exposent à des sanctions financières pouvant atteindre plusieurs millions d’euros, calculées en pourcentage du chiffre d’affaires. Elles risquent aussi des injonctions de mise en conformité, une surveillance renforcée par les autorités et une atteinte à leur réputation en cas d’incident majeur mal géré. Au-delà des sanctions, l’absence de mesures de cybersécurité OT robustes augmente fortement le risque d’arrêt de production prolongé et de pertes opérationnelles importantes.
Pourquoi agir avant la finalisation complète des textes de transposition NIS en France ?
Les exigences de fond de la directive NIS 2 sont déjà connues et applicables, même si certains détails de la transposition en droit français restent à préciser. Attendre les derniers décrets revient à retarder des mesures techniques OT qui améliorent immédiatement la résilience, la qualité et la disponibilité des installations. Les entreprises qui anticipent disposent d’un avantage opérationnel et réduisent le risque de devoir déployer dans l’urgence des solutions coûteuses pour rattraper un retard de conformité.