NIS2. Conformes sans toucher à votre production.
NIS2 s'applique à l'OT, automates, HMI, SCADA, exactement comme à l'IT. Voici comment couvrir l'article 21 avec une micro-segmentation sans agent, conçue pour les systèmes industriels.
La directive NIS2 impose 10 catégories de mesures de cybersécurité à un périmètre considérablement élargi, entités essentielles (EE) et importantes (EI) dans 18 secteurs critiques. En France, sa transposition (loi de résilience des infrastructures critiques) est en cours d'adoption, avec une promulgation attendue en 2026. Plusieurs milliers d'entreprises industrielles seront nouvellement concernées par rapport à NIS1, et la plupart ont intérêt à préparer l'article 21 dès maintenant, avant son entrée en vigueur.
Amende NIS2 maximale
Pour les entités essentielles. Ou 2 % du CA mondial, le montant le plus élevé étant retenu. Les EI sont plafonnées à 7 M€ ou 1,4 % du CA.
Mesures de l'article 21
Le socle minimal applicable à toutes les EE et EI. Aucune n'est optionnelle. Access Gate en adresse directement la moitié et contribue aux autres.
Secteurs critiques concernés
Énergie, eau, transports, santé, industrie manufacturière, agroalimentaire, chimie… Le périmètre s'élargit fortement par rapport à NIS1.
NIS2 ne distingue pas l'IT de l'OT.
L'article 21 s'applique aux systèmes d'information, sans distinction entre serveurs IT et automates industriels. Le contrôle d'accès, l'authentification multifactorielle, la journalisation, la sécurité de la chaîne d'approvisionnement doivent s'appliquer aussi aux PLC, HMI et SCADA. C'est précisément là que la plupart des industriels échouent à l'audit : l'IT est couvert, l'OT ne l'est pas.
Direction générale.
L'article 20 de NIS2 impose la responsabilité personnelle au plus haut niveau. Interdiction temporaire d'exercer des fonctions de direction en cas de négligence grave. La cybersécurité OT ne peut plus être déléguée au RSSI seul, le comité exécutif doit s'en saisir.
Systèmes tiers et anciens, manque de contrôles.
Les agents EDR ne s'installent pas sur les firmwares d'automates. Les scans actifs peuvent les faire planter. Les pare-feu IT ne comprennent pas Modbus ou S7. Conséquence : l'OT reste hors périmètre par défaut, et l'audit le révèle au pire moment.
Protection et preuves.
Cartographie à jour, journalisation horodatée, contrôle d'accès nominatif, segmentation démontrable. L'auditeur ou le donneur d'ordre BITD veulent la preuve disponible des protections mises en place.
Aucune modification de firmware. Aucune coupure de production.
Access Gate s'installe à côté du réseau. Les PLC, CNC et HMI legacy obtiennent MFA, journalisation et microsegmentation sans qu'on touche aux équipements. C'est la seule façon réaliste d'appliquer l'article 21 à un parc industriel ancien.
La seule micro-segmentation sans agent pour l'on-premise industriel.
Architecture overlay qui applique la segmentation directement à la couche réseau, sans agent à installer, sans cloud, sans refonte des VLAN existants. Conforme à la logique zones et conduits de l'IEC 62443.
Sur site, sans cloud étranger. Compatible cadre ANSSI.
Déploiement on-premise complet, sans dépendance à un cloud américain, ce qui réduit fortement l'exposition au FISA 702 et au Cloud Act. Architecture compatible avec les attentes SecNumCloud et avec les exigences de souveraineté.
Pour l'architecture technique détaillée en zones et conduits IEC 62443 et le déploiement multi-sites, voir la page Conformité NIS2 et IEC 62443 pour les opérateurs industriels.
Politiques d'analyse des risques et de sécurité des systèmes d'information
Cartographie passive des actifs IT/OT, y compris PLC, HMI et équipements legacy. Base d'analyse de risque sans scan actif qui pourrait perturber la production. Classification des systèmes par niveaux de risque.
Détection, traitement et notification des incidents de sécurité
Journalisation des sessions et accès. Reconstruction de chronologie d'incident pour la notification ANSSI dans les délais définis. Capacité de mise en quarantaine rapide des services impactés.
Continuité d'activité, gestion des sauvegardes, gestion de crise
Couverture partielle. Access Gate ne sauvegarde pas vos systèmes, mais préserve la disponibilité OT par la micro-segmentation. Capacité de mise en quarantaine rapide des services impactés.
Sécurité de la chaîne d'approvisionnement, y compris accès des fournisseurs
Accès fournisseur proxifié, jamais en direct sur les équipements. Sessions limitées dans le temps, enregistrées, révocables. Réponse directe à l'art. 21(2)(d).
Sécurité de l'acquisition, du développement et de la maintenance des SI
Concerne d'abord vos processus internes. Access Gate y contribue en fournissant la traçabilité sur les produits et SBOM livrés.
Politiques et procédures pour évaluer l'efficacité des mesures de gestion des risques
Tableau de bord d'efficacité des contrôles : tentatives bloquées, accès anormaux, comportements suspects. Données exploitables pour les revues de direction.
Pratiques d'hygiène cyber élémentaires et formation à la cybersécurité
La formation relève d'une politique globale d'entreprise, pas seulement d'un outil technique. Access Gate y contribue : il applique automatiquement les bonnes pratiques (moindre privilège, MFA obligatoire, segmentation des accès) et peut conditionner les accès à la conformité formation, un utilisateur non à jour sur ses formations voit ses accès bloqués automatiquement.
Politiques et procédures relatives à l'utilisation de la cryptographie et du chiffrement
Communications microsegmentées chiffrées par proxy : le transport entre points d'accès est encapsulé en TLS, y compris pour des protocoles legacy comme Modbus ou S7 qui ne le supportent pas nativement.
Sécurité des ressources humaines, politiques de contrôle d'accès, gestion des actifs
Authentification nominative, RBAC par rôle, révocation immédiate. Chaque session liée à une identité (humaine ou machine), y compris sur les automates qui ne savent pas le faire seuls.
Authentification multifactorielle, communications sécurisées (voix, vidéo, texte, urgence)
MFA appliquée à la couche réseau pour les systèmes legacy qui ne la supportent pas en interne. PLC, CNC, HMI Windows XP obtiennent l'authentification forte sans modification du firmware.
Totalement couvert
Partiellement
Hors logiciel
Les exigences les plus critiques de l'article 21. MFA, contrôle d'accès, chaîne d'approvisionnement, chiffrement, sont totalement couvertes. Les exigences humaines (formation, continuité) restent de votre ressort.
Sondes, inventaire, bastion, journalisation, preuves automatisées.
Les cinq capacités techniques que NIS2 exige sur les systèmes industriels, consolidées dans une seule appliance. Pas d'intégration à orchestrer entre cinq produits différents, tout est livré et corrélé nativement. Les preuves d'audit se génèrent en continu, plus à la veille de l'inspection.
Sondes passives OT
Capture passive du trafic industriel, sans scan actif qui risquerait de perturber les automates. Détection d'anomalies de protocole en continu.
Art. 21(2)(b), Détection d'incidents
Inventaire d'actifs
Cartographie continue IT/OT. PLC, HMI, RTU, serveurs SCADA, postes opérateurs, tout est inventorié et mis à jour en temps réel.
Art. 21(2)(i), Gestion des actifs
Bastion d'accès
Tout accès distant passe par un proxy nominatif. Sessions enregistrées, MFA appliquée à la couche réseau, kill-switch intégré.
Art. 21(2)(d) + (i) + (j)
Journalisation
Logs à empreinte cryptographique, horodatés, conservation paramétrable. Reconstruction de chronologie d'incident exploitable par l'ANSSI.
Art. 21(2)(b) + (f)
Preuves automatisées
Packages d'audit générés en continu, qui a accédé, quand, à quoi, depuis où. L'auditeur reçoit la preuve, pas une promesse.
Accélération de la conformité
Les preuves se génèrent en continue.
Chaque session d'accès, chaque changement de configuration, chaque anomalie détectée alimente automatiquement le dossier d'audit. Le jour de l'inspection ANSSI ou de l'audit donneur d'ordre, la preuve existe déjà, horodatée, signée, exportable. Pas de course à la documentation rétroactive, pas de production de preuves « à la main ».
La marche à suivre dépend de votre statut réglementaire.
Industriels NIS2 (EE/EI)
Manufacturing, agroalimentaire, chimie, pharma. Soumis au seuil NIS2 (50+ salariés et 10 M€ de CA pour EI ; 250+ et 50 M€ pour EE). La majorité ignore encore qu'elle est concernée.
Urgence élevéeProchaine étape
Auto-évaluation NIS2 d'abord. Puis pilote 3 semaines sur l'article 21, couverture des 10 mesures.
BITD & sous-traitants défense
Base industrielle et technologique de défense. Sous-traitants DGA, Naval Group, Safran, Thales, MBDA, Dassault. Souvent soumis à NIS2, avec des exigences client renforcées en cascade contractuelle.
StratégiqueProchaine étape
Architecture sur site, sans dépendance cloud étranger. Compatible exigences clients défense (clauses contractuelles SSI).
ETI et grands groupes industriels
Sites multiples, OT hétérogène, ateliers anciens cohabitant avec lignes modernes. Le périmètre NIS2 peut varier selon le site et l'activité.
Planification 2026Prochaine étape
Architecture overlay sur un site pilote. Déploiement progressif sans modifier les topologies réseau existantes.
Preuves d'audit prêtes, sans coupure de production.
Semaine 1 : cartographie passive des actifs OT. Semaine 2 : microsegmentation et accès fournisseurs proxifiés. Semaine 3 : MFA legacy et chiffrement bout-en-bout. Livrables d'audit chaque semaine.
3 semaines, sans coupure
Sans agent sur les équipements. Aucune modification de firmware, aucune fenêtre de maintenance. Fonctionne dans les environnements OT où le change management se compte en mois.
Souverain par construction
Architecture on-premise, sans cloud étranger. Compatible avec les exigences SecNumCloud et avec les attentes ANSSI sur l'autonomie stratégique.
NIS2 et Access Gate
10 mesures minimales NIS2
NIS2 s'applique aux entités essentielles (EE) et importantes (EI) dans 18 secteurs critiques, dont l'énergie, l'eau, les transports, la santé, l'industrie manufacturière, l'agroalimentaire et la chimie. Les seuils typiques : 250+ salariés ou 50 M€ de CA pour les EE, 50+ salariés ou 10 M€ de CA pour les EI. La transposition française, en cours d'adoption, élargira fortement le périmètre par rapport à NIS1 : plusieurs milliers d'entreprises industrielles seront nouvellement concernées, et beaucoup l'ignorent encore.
Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. Pour les entités importantes : jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires. NIS2 introduit également une responsabilité personnelle des dirigeants : interdictions temporaires d'exercer des fonctions de direction en cas de négligence grave.
Les PLC, CNC et HMI Windows XP ne savent pas faire de l'authentification multifactorielle nativement, leur firmware date d'avant l'existence des standards modernes. Access Gate applique le MFA à la couche réseau, devant l'équipement. L'utilisateur s'authentifie auprès du gate (badge, FIDO2, OTP), puis le gate ouvre la session vers l'automate. Aucune modification du firmware, aucun risque de casser la production, et l'exigence art. 21(2)(j) est satisfaite.
Le dirigeant (PDG / DG). L'article 20 de NIS2 désigne explicitement les organes de direction comme responsables : ils doivent approuver les mesures de gestion des risques, en surveiller la mise en œuvre, et peuvent être tenus personnellement responsables en cas de manquement. En cas de négligence grave, le régulateur peut prononcer une interdiction temporaire d'exercer des fonctions de direction. Opérationnellement, la responsabilité se partage entre RSSI (politique cyber), DSI (IT) et responsable production/OT (industriel), mais la responsabilité juridique de dernier ressort remonte au comité exécutif. Le piège classique : déléguer l'OT au RSSI alors que ni le RSSI ni la DSI n'ont d'autorité sur la production. Access Gate fournit la couche technique commune qui permet à ces trois rôles de travailler sur le même socle de preuves.
Les preuves d'audit sont générées en continu, pas reconstruites à la dernière minute. À tout moment, vous pouvez exporter : la cartographie complète des actifs OT à la date demandée, la liste des sessions d'accès avec utilisateur nominatif et horodatage, les configurations appliquées et leurs changements, les alertes détectées et leurs réponses. L'auditeur reçoit un dossier signé cryptographiquement, exportable en PDF ou en archive structurée. Sur les audits que nous avons accompagnés, le gain de temps moyen est de 3 à 5 semaines comparé à une production manuelle des preuves. Et la qualité de preuve est supérieure, parce qu'elle est continue plutôt que rétroactive.
Pilote en 3 semaines, sans coupure de production. Semaine 1 : cartographie passive des actifs OT (art. 21(2)(a)). Semaine 2 : microsegmentation et accès fournisseurs proxifiés (art. 21(2)(d), 21(2)(i)). Semaine 3 : activation MFA et chiffrement bout-en-bout (art. 21(2)(h), 21(2)(j)). Les preuves d'audit sont livrées à la fin de chaque semaine.
Access Gate se déploie sur site (on-premise), sans dépendance à un cloud américain ni à des services hébergés hors France. Cela réduit fortement l'exposition au FISA 702, au Cloud Act et à l'extraterritorialité juridique étrangère sur vos données industrielles. Architecture compatible avec les exigences SecNumCloud et avec les attentes ANSSI sur l'autonomie stratégique. Nos clients industriels et de la défense utilisent ce critère pour valider la passation de marché.