Mise en conformité NIS2 pour l'OT industriel. Sur site, sans agent, sans cloud.
Vos PLC, HMI et CNC ne supportent pas d'agent. Ils ne peuvent pas migrer dans le cloud. L'article 21 s'applique quand même. Access Gate fait respecter NIS2 au niveau du réseau, segmentation, MFA, contrôle d'accès et journalisation inviolable, sans toucher un seul équipement de production.
Trusted by leading companies
On-premise par architecture. Souverain par conception.
Le CLOUD ACT donne aux autorités américaines le pouvoir légal d'exiger d'un fournisseur cloud américain la remise de données, y compris celles physiquement hébergées dans un data center européen. Pour les opérateurs dans le champ de l'article 21 de NIS2 ou désignés OIV au titre de la LPM, ce n'est pas une option configurable. C'est un conflit structurel avec le devoir de souveraineté opérationnelle sur les systèmes critiques. L'Access Gate est une appliance ou une VM qui tourne dans votre périmètre, donc la question de la juridiction étrangère sur le trafic OT ne se pose pas.
- 01
Un data center européen ne neutralise pas la juridiction
Une option « data center européen » chez un fournisseur américain n'élimine pas l'exposition au CLOUD ACT. La juridiction suit la société mère, pas l'emplacement du serveur. L'Access Gate n'a pas de société mère étrangère et pas de plan de contrôle distant.
- 02
La souveraineté dépasse la résidence des données
La souveraineté opérationnelle exige que le système qui prend les décisions d'accès opère sous votre propre juridiction, sans rétro-accès tiers. L'Access Gate fonctionne entièrement sous le contrôle de l'opérateur, pas d'un fournisseur.
- 03
L'article 21(2)(d) de NIS2 en fait une question de gouvernance
L'article 21(2)(d) impose la gestion du risque cyber dans la chaîne d'approvisionnement. Un plan de contrôle dont le siège est aux États-Unis constitue une dépendance structurelle hors juridiction européenne, et cette exposition remonte jusqu'à la responsabilité dirigeante.
Ce qu'exige NIS2.
Un résumé en 60 secondes de qui doit se conformer, des obligations de la directive, du calendrier des sanctions et des enjeux.
Qui doit se conformer
Entités essentielles et importantes dans 18 secteurs, énergie, transport, eau, santé, banque, infrastructure numérique, fabrication de produits critiques, etc. Généralement toute organisation de 50+ employés ou €10M+ de chiffre d'affaires opérant dans le périmètre.
Ce que vous devez faire
L'Article 21 impose 10 mesures de gestion des risques cyber : politiques de risque, gestion d'incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, sécurité réseau, évaluation d'efficacité, hygiène cyber, chiffrement, contrôle d'accès et MFA. L'Article 23 exige le signalement d'incident sous 24 heures.
Quand cela s'applique
La date limite de transposition était le 17 octobre 2024, mais la plupart des États membres l'ont manquée. En 2026, environ 22 des 27 ont transposé NIS2 en droit national ; quelques-uns, dont la France, finalisent encore la leur. La Commission a ouvert des procédures d'infraction contre les retardataires, et l'application monte en puissance à mesure que chaque loi nationale entre en vigueur.
Sanctions encourues
Jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial annuel pour les entités essentielles. Jusqu'à 7 M€ ou 1,4 % pour les entités importantes. La direction est personnellement responsable, la responsabilité au niveau du conseil est intégrée à la directive.
Ce que l'article 21 exige sur le plancher de production
L'article 21 impose des mesures de gestion des risques applicables à chaque actif dans le périmètre, y compris les PLCs, HMIs, CNCs, serveurs SCADA et capteurs IoT sur le plancher de production. Ces actifs ne peuvent pas exécuter d'agents sur les terminaux. Beaucoup fonctionnent avec des microprogrammes propriétaires ou des systèmes d'exploitation en fin de vie. NIS2 ne les exempte pas.
Access Gate applique l'article 21 au niveau de la couche réseau. Sans installation d'agent. Sans modification de microprogramme. Sans interruption de la production.
Pour les opérateurs qui exploitent de l'OT sur plusieurs sites de production, Access Gate se déploie site par site sans interdépendance : chaque site acquiert indépendamment une architecture de zones IEC 62443, tandis que la gestion centralisée des politiques offre une posture de conformité unifiée sur l'ensemble du parc.
Segmentation réseau sans recâblage
La segmentation en superposition isole les zones OT de l'IT et les unes des autres. Sans reconfiguration de VLAN. Sans modification de commutateurs.
MFA à la frontière, pas sur l'appareil
Le MFA est appliqué au niveau du proxy Access Gate. Le PLC n'a jamais besoin de le prendre en charge. Contrôle d'accès conforme à l'article 21.
Audit inviolable pour chaque session OT
Chaque connexion à chaque actif OT est consignée : utilisateur, horodatage, protocole, rejeu de session. Chaînée par hachage. Prête pour l'audit NIS2.
Appareil Sur Site
Connectez l'Access Gate à votre réseau existant. Sans recâblage.
Sécuriser IT & OT Sur Site
Contrôlez comment vos systèmes, des serveurs aux PLCs et HMIs, se connectent aux systèmes d'entreprise. Politiques au niveau réseau. Aucun agent à installer.
Mesures Article 21 Cartographiées
Application continue. Preuves prêtes pour l'audit pour chaque exigence NIS2 à la demande.
Mesure par mesure.
L'article 21(2) de NIS2 définit 10 mesures de sécurité. Voici comment chacune s'applique aux environnements IT et OT sur site, et ce que couvre Access Gate.
Établir et maintenir des politiques de gestion des risques pour tous les systèmes d'information.
Access Gate assure une découverte continue des actifs, une cartographie réseau et une application des politiques. Les risques sont gérés par microsegmentation et règles de refus par défaut. Les modifications de politique sont versionnées.
Détecter, signaler et répondre aux incidents de sécurité dans les 24 heures suivant leur détection.
Détection des anomalies de session, alertes automatisées et rejeu forensique des sessions. Chaque connexion est journalisée avec l'identité de l'utilisateur, l'horodatage et la charge utile. Les preuves d'incident sont générées en continu et exportables à la demande.
Maintenir les opérations pendant et après les incidents de sécurité. Gestion des sauvegardes et reprise après sinistre.
Access Gate se déploie en parallèle du réseau, et non en coupure. Si l'appliance est indisponible, le trafic de production continue. Les configurations de politique sont exportables pour la sauvegarde. Les plans de reprise après sinistre restent de la responsabilité du client.
Gérer les risques de cybersécurité dans les relations avec les fournisseurs et prestataires de services.
Les accès fournisseurs sont délimités par session : actifs spécifiques, protocoles spécifiques, fenêtres horaires spécifiques. MFA obligatoire. Chaque session fournisseur est enregistrée avec une piste d'audit complète. Pas de tunnels VPN persistants. L'accès est révoqué automatiquement à la fin de la session.
Sécuriser l'acquisition, le développement et la maintenance des réseaux et systèmes d'information. Gestion et divulgation des vulnérabilités.
La microsegmentation en overlay isole les actifs sans refonte du réseau. Le refus par défaut bloque les connexions non autorisées. La découverte passive des actifs identifie les équipements non gérés. Aucun scan actif susceptible de perturber les opérations OT.
Évaluer l'efficacité des mesures de gestion des risques en matière de cybersécurité.
Les bases de référence de segmentation, les audits de politiques d'accès et l'analyse des journaux de session fournissent des données d'évaluation en continu. Des dossiers de preuves sont générés à la demande pour les auditeurs et les régulateurs.
Pratiques de base en hygiène numérique et formation à la cybersécurité pour le personnel.
Access Gate applique l'hygiène par la politique : MFA obligatoire, accès au moindre privilège, expiration des sessions. Le contenu et la dispense des formations restent de la responsabilité du client.
Politiques et procédures relatives à l'utilisation de la cryptographie et du chiffrement.
Suites de chiffrement TLS validées FIPS sur tous les chemins d'accès. AES-128/256 GCM avec échange de clés ECDHE. Chiffrement appliqué au niveau du proxy sans modification des équipements de production.
Sécurité des ressources humaines, politiques de contrôle d'accès et gestion des actifs.
Contrôle d'accès basé sur l'identité avec MFA, RBAC par utilisateur, par actif et par protocole. Inventaire automatique des actifs par découverte réseau passive. Politiques d'accès appliquées au niveau de la couche réseau.
Utilisation du MFA, de l'authentification continue et des communications sécurisées.
MFA appliqué au niveau du proxy avant qu'une session n'atteigne l'actif. Les jetons TOTP fonctionnent hors ligne pour les environnements air-gapped. Communications sécurisées via TLS validé FIPS.
Comment Guichon Valves a sécurisé OT et IT pour NIS2.
des flux OT-IT segmentés et auditables pour la conformité NIS2. Déployé sans perturbation de production.
Trusted by leading companies
“The Trout Access Gate gave us a clear path to CMMC compliance without disrupting our manufacturing operations.”
Prêt pour votre audit NIS2 ?
Voyez comment l'Access Gate applique les mesures de l'Article 21 et fournit des preuves prêtes pour l'audit dans votre infrastructure.
Télécharger la Fiche Produit Access Gate.
Obtenez la présentation complète du produit avec les capacités techniques, le modèle de déploiement, l'alignement conformité et les références clients.
Contenu
Architecture produit, modèle de déploiement, capacités clés (application proxy, micro-DMZ, accès basé sur l'identité), alignement conformité et déploiements clients réels.
Voir en Action
Demandez une démo en direct pour voir comment l'Access Gate se déploie sur votre réseau sans recâblage ni temps d'arrêt.
Questions Fréquentes Sur la Conformité NIS2.
Mesures de cybersécurité Article 21 appliquées et continuellement surveillées. Preuves prêtes pour l'audit générées à la demande.
NIS2 est la directive européenne de cybersécurité visant les entités essentielles et importantes, énergie, transport, fabrication, eau, infrastructures numériques, etc. Si vous opérez dans ces secteurs en UE au-dessus des seuils (typiquement 50+ salariés ou 10 M€ de CA pour les entités importantes, 250+ ou 50 M€ pour les essentielles), elle s'applique.
L'article 21 exige des mesures de gestion des risques : segmentation réseau, contrôle d'accès, gestion des incidents, sécurité de la chaîne d'approvisionnement, cryptographie et journalisation inviolable. Ces obligations couvrent chaque actif en périmètre, y compris PLC, HMI, CNC, serveurs SCADA et capteurs IoT sur la chaîne de production. NIS2 n'exempte pas l'OT.
Oui, et pour de nombreuses entités essentielles, l'on-premise est la seule voie qui préserve la souveraineté des données face au CLOUD Act et au FISA 702. Access Gate est une appliance ou VM qui s'exécute entièrement dans votre périmètre. Pas de dépendance SaaS, pas de plan de contrôle étranger, aucune donnée ne quitte votre réseau.
Jusqu'à 10 M€ ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles, le plus élevé des deux. Jusqu'à 7 M€ ou 1,4 % pour les entités importantes. Au-delà des amendes, l'article 32(5) autorise les autorités compétentes à imposer des interdictions temporaires aux dirigeants en cas de négligence grave. La responsabilité personnelle est intégrée à la directive.
NIS2 élargit considérablement le périmètre, d'environ 700 opérateurs essentiels sous NIS1 à environ 160 000 entités dans l'UE. Elle introduit la responsabilité personnelle des organes de direction (art. 20 et 32), des délais de notification d'incident plus stricts (alerte précoce sous 24h, notification complète sous 72h) et des obligations concrètes de sécurité de la chaîne d'appro sous l'art. 21(2)(d).
Le CLOUD Act donne aux autorités américaines le pouvoir légal de contraindre les fournisseurs cloud US à divulguer des données, y compris celles physiquement stockées en datacenters européens. La juridiction suit la maison mère, pas la localisation des serveurs. Pour les entités essentielles NIS2, la souveraineté structurelle est la seule défense durable, c'est pourquoi Access Gate s'exécute on-premise sous votre juridiction.
En heures, pas en mois. Access Gate se déploie en ligne sur votre réseau existant, pas de recâblage, pas de changement d'IP, pas de coupure de production. Guichon Valves a segmenté production et IT en quelques heures. Un déploiement typique de mise en conformité NIS2 couvre contrôle d'accès, segmentation, MFA et journalisation Article 21 dans une seule appliance ou VM, prête pour l'audit dès le jour 1.
Oui. L'architecture en zones et conduits d'IEC 62443 est exactement la manière dont Access Gate applique la segmentation, chaque zone OT est une enclave protégée avec des politiques de conduit explicites entre zones. Les mêmes preuves générées pour l'audit NIS2 Article 21 documentent aussi la conformité IEC 62443. Une seule architecture couvre les deux cadres.
Approfondir NIS2.
Guides fondamentaux, analyses détaillées de l'Article 21, manuels de mise en œuvre sectoriels et analyses inter-cadres, rédigés pour les équipes IT et OT préparant les audits NIS2.