20 Objectifs de Sécurité NIS2 ANSSI : Guide PME
En résumé
- 20 objectifs de sécurité, répartis en 4 piliers : gouvernance, protection, défense, résilience
- 5 objectifs réservés aux entités essentielles (EE) — les EI sont concernées par ~15 objectifs
- Référentiel ANSSI v5.2 — projet de consultation, décrets finaux attendus courant 2026
- Des présomptions de conformité via ISO 27001 et prestataires qualifiés ANSSI (PASSI, PACS, PAMS, PDIS)
- Meldis vous accompagne dans votre mise en conformité NIS2
La directive NIS2 impose des mesures de sécurité aux entreprises des secteurs critiques. Mais lesquelles, concrètement ? L’ANSSI a publié un projet de référentiel détaillant 20 objectifs de sécurité que les entités régulées devraient atteindre. Le problème : ce document fait 42 pages et s’adresse à des experts techniques.
Si vous dirigez une PME de 50 à 250 employés et que vous cherchez à comprendre ce que NIS2 exige réellement, ce guide décrypte les 20 objectifs de sécurité NIS2 du référentiel ANSSI en langage clair. Pour chaque pilier, vous saurez ce que cela implique pour votre entreprise — et par où commencer.
Que contient le référentiel de cybersécurité ANSSI pour NIS2 ?
Avant de détailler les 20 objectifs, une précision essentielle sur ce document.
Statut du document
Le référentiel ANSSI (version 5.2 du 15 novembre 2023) est un projet de consultation (Phase 3). Il ne constitue pas une base normative en vigueur. Les décrets finaux sont attendus courant 2026 et le texte final pourrait évoluer.
Ce référentiel traduit les exigences de l’article 21 de la directive européenne NIS2 (Directive (UE) 2022/2555 du 14 décembre 2022) en mesures concrètes pour le contexte français. Il s’organise autour de 4 piliers et 20 objectifs de sécurité :
- Gouvernance (objectifs 1 à 6) : structurer la sécurité
- Protection (objectifs 7 à 14) : sécuriser les systèmes au quotidien
- Défense (objectifs 15-16) : détecter les menaces
- Résilience (objectifs 17 à 20) : réagir et reprendre l’activité
Chaque objectif s’applique différemment selon que votre entreprise est classée entité essentielle (EE) ou entité importante (EI). Vous ne savez pas dans quelle catégorie vous tombez ? Notre accompagnement conformité NIS2 inclut un diagnostic d’éligibilité pour le déterminer.
Le référentiel prévoit aussi des présomptions de conformité : des raccourcis officiels via des certifications (ISO 27001) ou des prestataires qualifiés ANSSI. Nous y reviendrons.
Pour comprendre le contexte complet de la directive, consultez notre guide sur la directive NIS2.
Pilier Gouvernance : poser les bases (objectifs 1 à 6)
Les six premiers objectifs de sécurité NIS2 posent les fondations de votre démarche. Sans eux, les mesures techniques n’ont pas de sens.
Objectif 1 : L’entité recense ses systèmes d’information
Ce que cela signifie pour votre PME : Vous devriez cartographier l’ensemble de vos systèmes d’information (SI) — serveurs, applications métier, services cloud, équipements réseau. Cette cartographie identifie les SI qui supportent vos activités critiques, appelés « systèmes d’information réglementés » (SIR). Révision annuelle prévue.
Action concrète : Listez tous vos outils numériques, identifiez ceux qui sont indispensables à votre activité. C’est le point de départ de toute démarche NIS2.
Applicabilité : EI et EE.
Objectif 2 : L’entité dispose d’un cadre de gouvernance de la sécurité numérique
Ce que cela signifie : Le dirigeant serait personnellement responsable de la sécurité numérique. Cet objectif couvre la rédaction d’une politique de sécurité des systèmes d’information (PSSI), la désignation d’un responsable sécurité et la mise en place d’une organisation dédiée.
Action concrète : Rédigez votre PSSI, nommez un référent sécurité (même à temps partiel), et définissez les rôles de chacun. C’est votre feuille de route.
Applicabilité : EI et EE (la désignation d’un point de contact ANSSI serait réservée aux EE). Présomption de conformité : ISO/CEI 27001:2022.
Objectif 3 : L’entité essentielle met en œuvre une approche par les risques
Ce que cela signifie : Les entités essentielles devraient réaliser une analyse de risques formelle sur chaque SIR, avec un plan d’action et une révision tous les trois ans.
Action concrète : Si vous êtes classé EE, prévoyez une analyse de risques structurée (type EBIOS RM) de vos systèmes critiques.
Applicabilité : EE uniquement. Présomption de conformité : ISO/CEI 27001:2022 et PACS (prestataire qualifié ANSSI).
Objectif 4 : L’entité maîtrise son écosystème
Ce que cela signifie : Vous devriez cartographier vos prestataires IT, fournisseurs et interconnexions. Les contrats avec vos fournisseurs devraient inclure des clauses de sécurité.
Action concrète : Listez tous vos prestataires qui accèdent à votre SI (infogérant, éditeur SaaS, hébergeur). Intégrez des exigences de sécurité dans vos contrats. Pour approfondir ce sujet, consultez notre article sur les obligations NIS2 pour les sous-traitants.
Applicabilité : EI et EE.
Objectif 5 : L’entité essentielle audite la sécurité de ses SI réglementés
Ce que cela signifie : Un programme d’audit planifié incluant test d’intrusion, audit de configuration, audit organisationnel et audit de code. Chaque audit devrait produire un rapport avec un plan d’action.
Action concrète : Si vous êtes EE, planifiez un programme d’audit régulier couvrant plusieurs dimensions de la sécurité.
Applicabilité : EE uniquement. Présomption de conformité : PASSI (prestataire d’audit qualifié ANSSI).
Objectif 6 : L’entité prend en compte la sécurité numérique dans la gestion de ses ressources humaines
Ce que cela signifie : Charte d’usage du SI, sensibilisation des collaborateurs, clauses de sécurité dans les contrats de travail (EE), gestion des arrivées et départs, formations pour les fonctions critiques.
Action concrète : Mettez en place une charte informatique et un programme de sensibilisation pour tous vos collaborateurs. C’est l’un des objectifs les plus accessibles et les plus rentables en matière de réduction du risque — 91 % des cyberattaques commencent par un email (Verizon DBIR 2024).
Applicabilité : EI et EE (clauses dans les contrats de travail réservées aux EE).
Pilier Protection : sécuriser votre SI au quotidien (objectifs 7 à 14)
Ce deuxième pilier regroupe huit objectifs techniques. C’est le cœur opérationnel de la sécurité NIS2.
Objectif 7 : L’entité maîtrise ses SI réglementés
Maintien en condition opérationnelle (MCO) et de sécurité (MCS) de vos systèmes. Concrètement : veille sur les vulnérabilités, application des correctifs, suivi des alertes du CERT-FR.
EI et EE (cartographie détaillée et installation des correctifs critiques réservées aux EE).
Objectif 8 : L’entité maîtrise les accès physiques à ses locaux
Contrôle d’accès aux locaux techniques et salles serveurs. Badges, gestion des visiteurs, protection physique des équipements sensibles.
EI et EE (protection physique renforcée et contrôle d’accès aux salles serveurs réservés aux EE).
Objectif 9 : L’entité sécurise l’architecture de ses SI réglementés
Cloisonnement du réseau : séparer les SI sensibles du réseau bureautique. Passerelles, filtrage des communications, pare-feu. C’est l’un des objectifs les plus techniques.
EI et EE (nombreuses sous-mesures de cloisonnement réservées aux EE).
Objectif 10 : L’entité sécurise les accès distants à ses SI réglementés
Sécurisation du télétravail et des accès distants : VPN, chiffrement des communications, authentification multifacteur (MFA) pour les accès à distance.
EI et EE (MFA obligatoire, chiffrement des postes nomades et mesures alternatives réservés aux EE).
Objectif 11 : L’entité protège ses SI réglementés contre les codes malveillants
Déploiement de solutions anti-malware (EDR ou antivirus), contrôle des supports amovibles (clés USB), analyse des données provenant de sources externes.
EI et EE (contrôle des prestataires et blocage des connexions non identifiées réservés aux EE).
Objectif 12 : L’entité essentielle sécurise la configuration des ressources de ses SI réglementés
Durcissement des configurations : pas de paramètres par défaut, révision annuelle des configurations selon les recommandations éditeur et ANSSI.
Applicabilité : EE uniquement.
Objectif 13 : L’entité gère les identités et les accès des utilisateurs
Comptes nominatifs individuels, désactivation des comptes obsolètes, MFA, politique de mots de passe robuste, principe du moindre privilège, revue annuelle des droits d’accès.
EI et EE (certaines sous-mesures d’authentification renforcées pour les EE).
Objectif 14 : L’entité maîtrise l’administration de ses SI réglementés
Comptes d’administration dédiés et séparés des comptes utilisateurs. Traçabilité des actions d’administration. Sécurisation des annuaires (« cœur de confiance »).
EI et EE. Présomption de conformité : PAMS (prestataire qualifié ANSSI).
Un audit de sécurité informatique vous permet d’évaluer votre niveau actuel sur l’ensemble de ces huit objectifs et d’identifier les écarts prioritaires à combler. Pour passer à l’action, consultez notre checklist NIS2 en 20 actions pour PME.
Pilier Défense : détecter et réagir (objectifs 15-16)
Ce troisième pilier concerne la supervision active de la sécurité. Les deux objectifs sont réservés aux entités essentielles, mais les entités importantes ont tout intérêt à s’en inspirer.
Objectif 15 : L’entité essentielle réalise les actions d’administration depuis des ressources dédiées
Postes d’administration dédiés et durcis, réseau d’administration physiquement séparé, chiffrement des communications d’administration. L’objectif vise à protéger les accès les plus sensibles de votre SI.
Applicabilité : EE uniquement. Présomption de conformité : PAMS.
Objectif 16 : L’entité essentielle supervise la sécurité de ses SI réglementés
Supervision centralisée de la sécurité : journalisation des événements (SIEM), détection et corrélation des alertes, conservation des logs pendant 6 mois minimum. Cela concerne les serveurs, les équipements réseau, les solutions de sécurité et les postes d’administration.
Applicabilité : EE uniquement. Présomption de conformité : PDIS (prestataire qualifié ANSSI).
Même si votre PME est classée EI, la supervision est un investissement stratégique. Notre SOC externalisé couvre les exigences de supervision NIS2 sans les coûts d’un SOC interne.
Pilier Résilience : se préparer au pire (objectifs 17 à 20)
Le quatrième pilier prépare votre entreprise à faire face aux incidents et aux crises. Ces objectifs partent du principe que l’attaque arrivera — la question est de savoir comment vous y réagirez.
Objectif 17 : L’entité est en capacité de réagir aux incidents de sécurité
Organisation de la gestion des incidents : points de contact internes, outils de collecte des signalements, analyse des événements, mécanismes de réaction. Cet objectif inclut la notification à l’ANSSI selon le calendrier prévu par NIS2 :
- 24 heures : alerte initiale
- 72 heures : notification détaillée
- 1 mois : rapport final
EI et EE (plusieurs sous-mesures de réaction et d’analyse réservées aux EE). Présomption de conformité : PACS.
Objectif 18 : L’entité dispose de capacités de continuité et de reprise d’activité
Sauvegardes régulières, tests de restauration annuels, protection anti-ransomware des sauvegardes, définition de la durée maximale d’interruption admissible (DMIA) et de la perte de données maximale admissible (PDMA). Mise en place d’un PCA/PRA.
Le coût moyen d’une cyberattaque pour une PME se situe entre 25 000 et 50 000 € (Hiscox/CPME 2024). Un PCA/PRA bien conçu réduit considérablement ce montant.
EI et EE (PCA/PRA formalisés et mesures avancées réservés aux EE).
Objectif 19 : L’entité est en capacité de réagir aux crises d’origine cyber
Cellule de crise, liste des personnes mobilisables, annuaire des parties prenantes, procédures de communication de crise, moyens de secours et retour d’expérience (RETEX).
EI et EE (procédures formalisées, moyens de secours et RETEX réservés aux EE). Présomption de conformité : PACS.
Objectif 20 : L’entité dispose de moyens pour vérifier le fonctionnement de ses capacités opérationnelles
Exercices et entraînements planifiés pour tester la réponse aux incidents et la gestion de crise. Pour les EE, un programme triennal d’exercices serait requis.
EI et EE (programme triennal et stratégie d’entraînement réservés aux EE). Présomption de conformité : PACS.
En cas d’incident avéré, notre service de réponse à incident cybersécurité assure le confinement, l’investigation et la remédiation dans les meilleurs délais.
EE vs EI : quels objectifs s’appliquent à votre entreprise ?
Voici le tableau synthétique d’applicabilité des 20 objectifs de sécurité NIS2 :
Applicabilité des 20 objectifs NIS2
| Objectif | Intitulé | EI | EE |
|---|---|---|---|
| 1 | Recensement des SI | Oui | Oui |
| 2 | Gouvernance sécurité numérique | Oui* | Oui |
| 3 | Approche par les risques | Non | Oui |
| 4 | Maîtrise de l'écosystème | Oui | Oui |
| 5 | Audit de sécurité des SIR | Non | Oui |
| 6 | Sécurité et ressources humaines | Oui* | Oui |
| 7 | Maîtrise des SIR | Oui* | Oui |
| 8 | Accès physiques | Oui* | Oui |
| 9 | Architecture des SIR | Oui* | Oui |
| 10 | Accès distants | Oui* | Oui |
| 11 | Protection contre les codes malveillants | Oui* | Oui |
| 12 | Sécurisation des configurations | Non | Oui |
| 13 | Gestion des identités et accès | Oui | Oui |
| 14 | Administration des SIR | Oui | Oui |
| 15 | Administration depuis ressources dédiées | Non | Oui |
| 16 | Supervision sécurité | Non | Oui |
| 17 | Réaction aux incidents | Oui* | Oui |
| 18 | Continuité et reprise d'activité | Oui* | Oui |
| 19 | Gestion de crise cyber | Oui* | Oui |
| 20 | Vérification des capacités opérationnelles | Oui* | Oui |
Oui* = L'objectif s'applique aux EI, mais certaines sous-mesures sont réservées aux EE.
À retenir : 5 objectifs sont exclusivement réservés aux EE (3, 5, 12, 15, 16). Les entités importantes sont concernées par environ 15 objectifs, souvent avec des sous-mesures allégées. Cela reste un effort significatif.
Pour savoir si vous êtes EE ou EI, consultez notre page dédiée aux critères d’éligibilité NIS2. Les sanctions en cas de non-conformité diffèrent également : jusqu’à 10 M€ ou 2 % du CA mondial pour les EE, 7 M€ ou 1,4 % du CA pour les EI.
Présomptions de conformité : les raccourcis officiels
Le référentiel ANSSI prévoit des présomptions de conformité pour certains objectifs. Ces raccourcis permettent de démontrer votre conformité sans devoir prouver chaque sous-mesure individuellement.
Certification ISO/CEI 27001:2022
Si votre système de management de la sécurité couvre vos SIR, la certification ISO 27001 offrirait une présomption de conformité pour les objectifs 2 et 3. C’est un investissement conséquent, mais il couvre deux objectifs fondamentaux de gouvernance. Pour comparer NIS2 et ISO 27001 pour votre PME, consultez notre guide dédié.
Prestataires qualifiés ANSSI
Le recours à des prestataires qualifiés par l’ANSSI offrirait des présomptions de conformité ciblées :
| Qualification | Objectifs couverts | Domaine |
|---|---|---|
| PASSI | 5 | Audit de sécurité |
| PACS | 3, 17, 19, 20 | Conseil en sécurité |
| PAMS | 14, 15 | Administration sécurisée |
| PDIS | 16 | Détection d'incidents |
L’approche pragmatique : Meldis vous accompagne dans la préparation de ces objectifs et vous oriente vers les prestataires qualifiés ANSSI adaptés à vos besoins. Un seul interlocuteur pour structurer votre démarche, puis les bons experts pour les présomptions de conformité.
Pour une vue d’ensemble de votre budget, consultez notre article sur le coût de la mise en conformité NIS2.
Questions fréquentes
Les 20 objectifs de sécurité NIS2 sont-ils déjà en vigueur ?
Non. Le référentiel ANSSI (version 5.2 du 15 novembre 2023) est un projet de consultation (Phase 3). Il ne constitue pas une base normative en vigueur à ce jour. Les décrets finaux sont attendus courant 2026. Le texte final pourrait évoluer par rapport à cette version de consultation. Cependant, se préparer dès maintenant reste pertinent : la structure générale des 20 objectifs devrait rester stable.
Combien d'objectifs s'appliquent aux entités importantes (EI) ?
Les entités importantes sont concernées par environ 15 des 20 objectifs. Les objectifs 3, 5, 12, 15 et 16 sont réservés aux entités essentielles (EE). De plus, sur les 15 objectifs restants, de nombreuses sous-mesures sont allégées pour les EI. L'effort est réel mais proportionné.
Comment obtenir une présomption de conformité NIS2 ?
Deux voies principales : la certification ISO/CEI 27001:2022 (présomption pour les objectifs 2 et 3) ou le recours à des prestataires qualifiés ANSSI — PASSI pour l'audit, PACS pour le conseil, PAMS pour l'administration sécurisée, PDIS pour la détection. Ces qualifications sont délivrées par l'ANSSI après un processus d'évaluation rigoureux.
Par où commencer pour se mettre en conformité avec ces objectifs ?
Par l'objectif 1 (cartographier vos systèmes d'information) et l'objectif 2 (nommer un responsable sécurité et rédiger votre PSSI). Ce sont les fondations sur lesquelles reposent tous les autres objectifs. Notre checklist NIS2 vous guide dans cette démarche étape par étape.
Conclusion : se préparer maintenant, agir progressivement
Les 20 objectifs de sécurité NIS2 du référentiel ANSSI couvrent quatre dimensions essentielles de la cybersécurité : gouvernance, protection, défense et résilience. Même si ce référentiel est encore un projet de consultation, sa structure donne une vision claire de ce qui sera attendu.
Les 5 points à retenir :
- 20 objectifs, 4 piliers : une approche structurée de la sécurité, de la gouvernance à la résilience
- 5 objectifs réservés aux EE (3, 5, 12, 15, 16) : les EI ont un périmètre réduit mais significatif
- Les présomptions de conformité (ISO 27001, PASSI, PACS, PAMS, PDIS) offrent des raccourcis officiels
- Commencez par les bases : cartographie des SI (objectif 1) et PSSI (objectif 2)
- Le texte peut évoluer : suivez les publications de l’ANSSI pour les décrets finaux
Ne laissez pas l’ampleur du référentiel vous paralyser. La conformité NIS2 se construit progressivement, objectif par objectif.
Évaluez votre écart avec les 20 objectifs ANSSI — Meldis vous accompagne dans votre mise en conformité avec un diagnostic personnalisé et un plan d’action adapté à votre budget.