NIS2 en application : 10 mesures minimales à mettre en œuvre|Voir la couverture article par article

NIS2 et LPM. Conformes sans toucher à votre production.

NIS2 s'applique à l'OT — automates, HMI, SCADA — exactement comme à l'IT. Et c'est sur l'OT que la plupart des industriels échouent à l'audit, parce que les outils IT n'y fonctionnent pas. Voici comment couvrir l'article 21 et la LPM avec une micro-segmentation sans agent, conçue pour l'on-premise industriel.

Ce qui change en 2026

NIS2 impose 10 catégories de mesures de cybersécurité à un périmètre considérablement élargi — entités essentielles (EE) et importantes (EI) dans 18 secteurs critiques. La LPM, elle, durcit en parallèle les obligations des OIV désignés : homologation ANSSI des SIIV, contrôles, sanctions pénales en cas de défaut. Le cumul des deux régimes touche désormais l'industrie française dans son ensemble. Et beaucoup d'industriels découvrent qu'ils sont concernés au moment du premier contrôle.

10 M€

Amende NIS2 maximale

Pour les entités essentielles. Ou 2 % du CA mondial, le montant le plus élevé étant retenu. Les EI sont plafonnées à 7 M€ ou 1,4 % du CA.

Mesures de l'article 21

Le socle minimal applicable à toutes les EE et EI. Aucune n'est optionnelle. Access Gate en couvre directement la majorité.

~250

OIV désignés en France

Soumis à la LPM, art. L1332-6-1 et suivants du Code de la défense. SIIV à homologuer auprès de l'ANSSI. Sanctions pénales en cas de défaut.

Pourquoi l'OT est dans le périmètre NIS2

NIS2 ne distingue pas l'IT de l'OT.

L'article 21 s'applique aux systèmes d'information — sans distinction entre serveurs IT et automates industriels. Le contrôle d'accès, l'authentification multifactorielle, la journalisation, la sécurité de la chaîne d'approvisionnement doivent s'appliquer aussi aux PLC, HMI et SCADA. C'est précisément là que la plupart des industriels échouent à l'audit : l'IT est couvert, l'OT ne l'est pas. Et les outils IT classiques ne savent pas le faire.

Qui est responsable

Direction générale.

L'article 20 de NIS2 impose la responsabilité personnelle au plus haut niveau. Interdiction temporaire d'exercer des fonctions de direction en cas de négligence grave. La cybersécurité OT ne peut plus être déléguée au RSSI seul — le comité exécutif doit s'en saisir.

Pourquoi l'OT échoue

Aucun outil IT ne marche dessus.

Les agents EDR ne s'installent pas sur les firmwares d'automates. Les scans actifs peuvent les faire planter. Les pare-feu IT ne comprennent pas Modbus ou S7. Conséquence : l'OT reste hors périmètre par défaut, et l'audit le révèle au pire moment.

Ce qu'il faut produire

Des preuves, pas des intentions.

Cartographie à jour, journalisation horodatée, contrôle d'accès nominatif, segmentation démontrable. L'auditeur ANSSI ou le donneur d'ordre BITD ne note pas la politique — il note la preuve disponible le jour de l'inspection.

Comment Access Gate répond à ces exigences

Sans agent

Aucune modification de firmware. Aucune coupure de production.

Access Gate s'installe à côté du réseau. Les PLC, CNC et HMI legacy obtiennent MFA, journalisation et microsegmentation sans qu'on touche aux équipements. C'est la seule façon réaliste d'appliquer l'article 21 à un parc industriel ancien.

Micro-segmentation OT

La seule micro-segmentation sans agent pour l'on-premise industriel.

Architecture overlay qui applique la segmentation directement à la couche réseau — sans agent à installer, sans cloud, sans refonte des VLAN existants. Conforme à la logique zones et conduits de l'IEC 62443.

Souveraineté

Sur site, sans cloud étranger. Compatible cadre ANSSI.

Déploiement on-premise complet. Pas de FISA 702, pas de Cloud Act, pas de dépendance à un cloud américain. Architecture compatible avec les attentes SecNumCloud et avec les exigences de souveraineté.

Access Gate vs Article 21 NIS2

Référence	Exigence	Ce que fait Access Gate	Couverture
Art. 21(2)(a) Analyse des risques & sécurité des SI	Politiques d'analyse des risques et de sécurité des systèmes d'information	Cartographie passive des actifs IT/OT, y compris PLC, HMI et équipements legacy. Base d'analyse de risque sans scan actif qui pourrait perturber la production. Classification des systèmes par niveaux de risque.	PARTIEL
Art. 21(2)(b) Gestion des incidents	Détection, traitement et notification des incidents de sécurité	Journalisation des sessions et accès. Reconstruction de chronologie d'incident pour la notification ANSSI dans les délais définis. Capacité de mise en quarantaine rapide des services impactés.	OUI
Art. 21(2)(c) Continuité d'activité	Continuité d'activité, gestion des sauvegardes, gestion de crise	Couverture partielle. Access Gate ne sauvegarde pas vos systèmes, mais préserve la disponibilité OT par la micro-segmentation. Capacité de mise en quarantaine rapide des services impactés.	PARTIEL
Art. 21(2)(d) Chaîne d'approvisionnement	Sécurité de la chaîne d'approvisionnement, y compris accès des fournisseurs	Accès fournisseur proxifié, jamais en direct sur les équipements. Sessions limitées dans le temps, enregistrées, révocables. Réponse directe à l'art. 21(2)(d).	OUI
Art. 21(2)(e) Acquisition, dév., maintenance	Sécurité de l'acquisition, du développement et de la maintenance des SI	Hors périmètre direct — ceci concerne vos processus internes. Access Gate fournit la traçabilité sur les produits et SBOM livrés.	PARTIEL
Art. 21(2)(f) Évaluation de l'efficacité	Politiques et procédures pour évaluer l'efficacité des mesures de gestion des risques	Tableau de bord d'efficacité des contrôles : tentatives bloquées, accès anormaux, comportements suspects. Données exploitables pour les revues de direction.	PARTIEL
Art. 21(2)(g) Hygiène et formation	Pratiques d'hygiène cyber élémentaires et formation à la cybersécurité	Hors périmètre direct — la formation relève d'une politique globale d'entreprise, pas seulement d'un outil technique. Access Gate applique automatiquement les bonnes pratiques : moindre privilège, MFA obligatoire, segmentation des accès. Il peut également conditionner les accès à la conformité formation : un utilisateur non à jour sur ses formations voit ses accès bloqués automatiquement.	PARTIEL
Art. 21(2)(h) Cryptographie	Politiques et procédures relatives à l'utilisation de la cryptographie et du chiffrement	Communications microsegmentées chiffrées par proxy. TLS appliqué même pour les protocoles legacy (Modbus, S7) qui n'en sont pas nativement capables.	OUI
Art. 21(2)(i) Contrôle d'accès & actifs	Sécurité des ressources humaines, politiques de contrôle d'accès, gestion des actifs	Authentification nominative, RBAC par rôle, révocation immédiate. Chaque session liée à une identité (humaine ou machine), y compris sur les automates qui ne savent pas le faire seuls.	OUI
Art. 21(2)(j) MFA & communications sécurisées	Authentification multifactorielle, communications sécurisées (voix, vidéo, texte, urgence)	MFA appliquée à la couche réseau pour les systèmes legacy qui ne la supportent pas en interne. PLC, CNC, HMI Windows XP obtiennent l'authentification forte sans modification du firmware.	OUI

Art. 21(2)(a)Analyse des risques & sécurité des SI

PARTIEL

Politiques d'analyse des risques et de sécurité des systèmes d'information

Cartographie passive des actifs IT/OT, y compris PLC, HMI et équipements legacy. Base d'analyse de risque sans scan actif qui pourrait perturber la production. Classification des systèmes par niveaux de risque.

Art. 21(2)(b)Gestion des incidents

OUI

Détection, traitement et notification des incidents de sécurité

Journalisation des sessions et accès. Reconstruction de chronologie d'incident pour la notification ANSSI dans les délais définis. Capacité de mise en quarantaine rapide des services impactés.

Art. 21(2)(c)Continuité d'activité

PARTIEL

Continuité d'activité, gestion des sauvegardes, gestion de crise

Couverture partielle. Access Gate ne sauvegarde pas vos systèmes, mais préserve la disponibilité OT par la micro-segmentation. Capacité de mise en quarantaine rapide des services impactés.

Art. 21(2)(d)Chaîne d'approvisionnement

OUI

Sécurité de la chaîne d'approvisionnement, y compris accès des fournisseurs

Accès fournisseur proxifié, jamais en direct sur les équipements. Sessions limitées dans le temps, enregistrées, révocables. Réponse directe à l'art. 21(2)(d).

Art. 21(2)(e)Acquisition, dév., maintenance

PARTIEL

Sécurité de l'acquisition, du développement et de la maintenance des SI

Hors périmètre direct — ceci concerne vos processus internes. Access Gate fournit la traçabilité sur les produits et SBOM livrés.

Art. 21(2)(f)Évaluation de l'efficacité

PARTIEL

Politiques et procédures pour évaluer l'efficacité des mesures de gestion des risques

Tableau de bord d'efficacité des contrôles : tentatives bloquées, accès anormaux, comportements suspects. Données exploitables pour les revues de direction.

Art. 21(2)(g)Hygiène et formation

PARTIEL

Pratiques d'hygiène cyber élémentaires et formation à la cybersécurité

Hors périmètre direct — la formation relève d'une politique globale d'entreprise, pas seulement d'un outil technique. Access Gate applique automatiquement les bonnes pratiques : moindre privilège, MFA obligatoire, segmentation des accès. Il peut également conditionner les accès à la conformité formation : un utilisateur non à jour sur ses formations voit ses accès bloqués automatiquement.

Art. 21(2)(h)Cryptographie

OUI

Politiques et procédures relatives à l'utilisation de la cryptographie et du chiffrement

Communications microsegmentées chiffrées par proxy. TLS appliqué même pour les protocoles legacy (Modbus, S7) qui n'en sont pas nativement capables.

Art. 21(2)(i)Contrôle d'accès & actifs

OUI

Sécurité des ressources humaines, politiques de contrôle d'accès, gestion des actifs

Authentification nominative, RBAC par rôle, révocation immédiate. Chaque session liée à une identité (humaine ou machine), y compris sur les automates qui ne savent pas le faire seuls.

Art. 21(2)(j)MFA & communications sécurisées

OUI

Authentification multifactorielle, communications sécurisées (voix, vidéo, texte, urgence)

MFA appliquée à la couche réseau pour les systèmes legacy qui ne la supportent pas en interne. PLC, CNC, HMI Windows XP obtiennent l'authentification forte sans modification du firmware.

Légende

OUIExigence directement adressée. Preuves d'audit générées.

PARTIELAccess Gate fournit la donnée. Vous complétez le processus.

HORS PÉRIMÈTREHumain, processus ou continuité d'activité. Hors champ logiciel.

Couverture en un coup d'œil

Totalement couvert

Partiellement

Hors logiciel

Les exigences les plus critiques de l'article 21 — MFA, contrôle d'accès, chaîne d'approvisionnement, chiffrement — sont totalement couvertes. Les exigences humaines (formation, continuité) restent de votre ressort.

Des solutions intégrées pour répondre aux exigences

Sondes, inventaire, bastion, journalisation, preuves automatisées.

Les cinq capacités techniques que NIS2 et la LPM exigent sur les systèmes industriels, consolidées dans une seule appliance. Pas d'intégration à orchestrer entre cinq produits différents — tout est livré et corrélé nativement. Les preuves d'audit se génèrent en continu, plus à la veille de l'inspection.

Sondes passives OT

Capture passive du trafic industriel, sans scan actif qui risquerait de perturber les automates. Détection d'anomalies de protocole en continu.

Art. 21(2)(b) — Détection d'incidents

Inventaire d'actifs

Cartographie continue IT/OT. PLC, HMI, RTU, serveurs SCADA, postes opérateurs — tout est inventorié et mis à jour en temps réel.

Art. 21(2)(i) — Gestion des actifs

Bastion d'accès

Tout accès distant passe par un proxy nominatif. Sessions enregistrées, MFA appliquée à la couche réseau, kill-switch intégré.

Art. 21(2)(d) + (i) + (j)

Journalisation

Logs à empreinte cryptographique, horodatés, conservation paramétrable. Reconstruction de chronologie d'incident exploitable par l'ANSSI.

Art. 21(2)(b) + (f)

Preuves automatisées

Packages d'audit générés en continu — qui a accédé, quand, à quoi, depuis où. L'auditeur reçoit la preuve, pas une promesse.

Accélération de la conformité

Accélération conformité

Les preuves se génèrent en continue.

Chaque session d'accès, chaque changement de configuration, chaque anomalie détectée alimente automatiquement le dossier d'audit. Le jour de l'inspection ANSSI ou de l'audit donneur d'ordre, la preuve existe déjà — horodatée, signée, exportable. Pas de course à la documentation rétroactive, pas de production de preuves « à la main ».

Et la LPM ?

Pour les OIV désignés, NIS2 ne suffit pas.

Si vous êtes OIV au titre du Code de la défense (art. L1332-1 et suivants), vos obligations vont au-delà de NIS2. La LPM impose l'identification de vos SIIV (Systèmes d'Information d'Importance Vitale), l'homologation de leurs mesures de sécurité par l'ANSSI, la notification obligatoire d'incident, et l'ouverture aux contrôles ANSSI. Access Gate s'intègre dans cette logique : preuves d'authentification nominative, cloisonnement réseau démontrable, journalisation horodatée et inviolable des accès. Le tout sur site, sans dépendance cloud, conforme aux attentes d'autonomie stratégique attachées aux SIIV.

Référence : Code de la défense, art. L1332-6-1 à L1332-6-7 ; arrêtés sectoriels ANSSI. Pour les sous-traitants de la BITD, les clauses contractuelles peuvent étendre tout ou partie des obligations OIV par effet de cascade — vérifier auprès du donneur d'ordre.

Par où commencer

La marche à suivre dépend de votre statut réglementaire.

OIV désignés (LPM)

Énergie, eau, transport, défense, télécoms. Obligations renforcées au titre du Code de la défense, art. L1332-6-1 et suivants. SIIV à homologuer auprès de l'ANSSI.

Urgence maximale

Prochaine étape

Audit de couverture LPM en 2 semaines. Évidences ANSSI-compatibles sur le contrôle d'accès SIIV et la journalisation.

Industriels NIS2 (EE/EI)

Manufacturing, agroalimentaire, chimie, pharma. Soumis au seuil NIS2 (50+ salariés et 10 M€ de CA pour EI ; 250+ et 50 M€ pour EE). La majorité ignore encore qu'elle est concernée.

Urgence élevée

Prochaine étape

Auto-évaluation NIS2 d'abord. Puis pilote 3 semaines sur l'article 21 — couverture des 10 mesures.

BITD & sous-traitants défense

Base industrielle et technologique de défense. Sous-traitants DGA, Naval Group, Safran, Thales, MBDA, Dassault. Souvent en cascade : LPM par effet d'entraînement contractuel.

Stratégique

Prochaine étape

Architecture sur site, sans dépendance cloud étranger. Compatible exigences clients défense (clauses contractuelles SSI).

ETI et grands groupes industriels

Sites multiples, OT hétérogène, ateliers anciens cohabitant avec lignes modernes. NIS2 et LPM peuvent s'appliquer simultanément selon le site et l'activité.

Planification 2026

Prochaine étape

Architecture overlay sur un site pilote. Déploiement progressif sans modifier les topologies réseau existantes.

Pilote 3 semaines

Preuves d'audit prêtes, sans coupure de production.

Semaine 1 : cartographie passive des actifs OT. Semaine 2 : microsegmentation et accès fournisseurs proxifiés. Semaine 3 : MFA legacy et chiffrement bout-en-bout. Livrables d'audit chaque semaine.

3 semaines, sans coupure

Sans agent sur les équipements. Aucune modification de firmware, aucune fenêtre de maintenance. Fonctionne dans les environnements OT où le change management se compte en mois.

Souverain par construction

Architecture on-premise, sans cloud étranger. Compatible avec les exigences SecNumCloud et avec les attentes ANSSI sur l'autonomie stratégique des SIIV.

Questions

NIS2, LPM et Access Gate

Art. 21

10 mesures minimales NIS2

NIS2 s'applique aux entités essentielles (EE) et importantes (EI) dans 18 secteurs critiques, dont l'énergie, l'eau, les transports, la santé, l'industrie manufacturière, l'agroalimentaire et la chimie. Les seuils typiques : 250+ salariés ou 50 M€ de CA pour les EE, 50+ salariés ou 10 M€ de CA pour les EI. La transposition française élargit drastiquement le périmètre par rapport à NIS1 — plusieurs milliers d'entreprises industrielles sont nouvellement concernées et beaucoup l'ignorent encore.

NIS2 est une directive européenne transposée en droit français, qui impose 10 catégories de mesures de gestion des risques (art. 21) à un large périmètre d'entités. La LPM (Loi de Programmation Militaire) ne concerne que les OIV — Opérateurs d'Importance Vitale — désignés nommément par le Premier ministre, environ 250 en France. Les obligations LPM sont plus strictes : homologation ANSSI des SIIV, contrôles ANSSI, mise en œuvre du référentiel d'exigences ANSSI. Un même industriel peut être à la fois OIV (LPM) et EE (NIS2). Les deux régimes se cumulent.

Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. Pour les entités importantes : jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires. NIS2 introduit également une responsabilité personnelle des dirigeants : interdictions temporaires d'exercer des fonctions de direction en cas de négligence grave. Côté LPM, les sanctions pénales prévues au Code de la défense vont jusqu'à 150 000 € d'amende pour le défaut de mise en œuvre des règles de sécurité.

Les PLC, CNC et HMI Windows XP ne savent pas faire de l'authentification multifactorielle nativement — leur firmware date d'avant l'existence des standards modernes. Access Gate applique le MFA à la couche réseau, devant l'équipement. L'utilisateur s'authentifie auprès du gate (badge, FIDO2, OTP), puis le gate ouvre la session vers l'automate. Aucune modification du firmware, aucun risque de casser la production, et l'exigence art. 21(2)(j) est satisfaite.

Le dirigeant (PDG / DG). L'article 20 de NIS2 désigne explicitement les organes de direction comme responsables : ils doivent approuver les mesures de gestion des risques, en surveiller la mise en œuvre, et peuvent être tenus personnellement responsables en cas de manquement. En cas de négligence grave, le régulateur peut prononcer une interdiction temporaire d'exercer des fonctions de direction. Opérationnellement, la responsabilité se partage entre RSSI (politique cyber), DSI (IT) et responsable production/OT (industriel) — mais la responsabilité juridique de dernier ressort remonte au comité exécutif. Le piège classique : déléguer l'OT au RSSI alors que ni le RSSI ni la DSI n'ont d'autorité sur la production. Access Gate fournit la couche technique commune qui permet à ces trois rôles de travailler sur le même socle de preuves.

Les preuves d'audit sont générées en continu, pas reconstruites à la dernière minute. À tout moment, vous pouvez exporter : la cartographie complète des actifs OT à la date demandée, la liste des sessions d'accès avec utilisateur nominatif et horodatage, les configurations appliquées et leurs changements, les alertes détectées et leurs réponses. L'auditeur reçoit un dossier signé cryptographiquement, exportable en PDF ou en archive structurée. Sur les audits que nous avons accompagnés, le gain de temps moyen est de 3 à 5 semaines comparé à une production manuelle des preuves. Et la qualité de preuve est supérieure, parce qu'elle est continue plutôt que rétroactive.

Pilote en 3 semaines, sans coupure de production. Semaine 1 : cartographie passive des actifs OT (art. 21(2)(a)). Semaine 2 : microsegmentation et accès fournisseurs proxifiés (art. 21(2)(d), 21(2)(i)). Semaine 3 : activation MFA et chiffrement bout-en-bout (art. 21(2)(h), 21(2)(j)). Les preuves d'audit sont livrées à la fin de chaque semaine.

Access Gate se déploie sur site (on-premise), sans dépendance à un cloud américain ni à des services hébergés hors France. Pas de FISA 702, pas de Cloud Act, pas d'extraterritorialité juridique étrangère sur vos données industrielles. Architecture compatible avec les exigences SecNumCloud et avec les attentes ANSSI sur l'autonomie stratégique. Nos clients de la BITD et des OIV utilisent ce critère pour valider la passation de marché.