NIS2 et secteur industriel : entités concernées, obligations OT/IT et mise en conformité
La directive NIS2 inclut explicitement le secteur de la fabrication dans son périmètre. Contrairement à NIS1 qui se concentrait sur les opérateurs d'infrastructures critiques traditionnels, NIS2 étend ses obligations aux fabricants d'équipements critiques, aux industries agroalimentaires à grande échelle et aux producteurs de produits chimiques. Si vous êtes industriel, vous êtes probablement concerné.
Quels fabricants sont concernés par NIS2 ?
NIS2 distingue deux niveaux d'entités dans le secteur industriel. Les entreprises sont classées en fonction de leur secteur d'activité et de leur taille (au-delà des seuils : 250 salariés OU 50 M€ de CA et 43 M€ de bilan).
Entités importantes (EI) — Fabrication
Sont classées entités importantes dans le secteur "fabrication" les entreprises de plus de 50 salariés (ou 10 M€ de CA) dans les sous-secteurs suivants :
- Fabrication de dispositifs médicaux et dispositifs médicaux de diagnostic in vitro
- Fabrication de produits informatiques, électroniques et optiques
- Fabrication d'équipements électriques
- Fabrication de machines et équipements (n.c.a.)
- Construction de véhicules automobiles, remorques et semi-remorques
- Fabrication d'autres matériels de transport
Entités importantes — Produits chimiques et alimentaires
Les fabricants de substances chimiques et les entreprises de l'industrie alimentaire à grande échelle sont également classés entités importantes sous NIS2.
Entités essentielles — Énergie et eau
Les industriels opérant dans les secteurs de l'énergie (production, transport, distribution d'électricité, gaz, hydrogène) et de l'eau (eau potable, eaux usées) peuvent être classés entités essentielles, avec des obligations plus strictes et des contrôles ex ante.
La spécificité OT/IT : le défi des environnements industriels
La grande différence entre NIS2 dans l'industrie et NIS2 dans les secteurs de services, c'est la présence de systèmes OT (Operational Technology) : automates programmables (PLC), systèmes SCADA, DCS (Distributed Control Systems), ICS (Industrial Control Systems). Ces systèmes contrôlent les processus physiques (lignes de production, chaînes de montage, installations chimiques) et présentent des caractéristiques très différentes des systèmes IT traditionnels.
Caractéristiques des systèmes OT qui compliquent la conformité NIS2
- Longue durée de vie : Les PLC et automates ont des cycles de vie de 20-30 ans. Beaucoup fonctionnent sur des OS Windows XP ou Windows 7 qui ne reçoivent plus de mises à jour de sécurité.
- Disponibilité prioritaire : Un arrêt d'une ligne de production pour patcher un système peut coûter des dizaines de milliers d'euros par heure. La disponibilité prime sur la sécurité dans la culture OT traditionnelle.
- Protocoles propriétaires : Modbus, Profibus, DNP3, EtherNet/IP — des protocoles sans chiffrement ni authentification natifs.
- Connectivité croissante : L'industrie 4.0 connecte de plus en plus les réseaux OT à Internet et aux systèmes IT, créant une surface d'attaque inédite.
Les obligations NIS2 appliquées à l'industrie
1. Segmentation IT/OT
NIS2 impose la mise en place de mesures pour réduire la surface d'attaque. Dans un contexte industriel, la priorité est la segmentation entre le réseau IT (bureautique) et le réseau OT (production). Le modèle Purdue (ISA-95) reste la référence : zones IT, DMZ industrielle, zones OT de niveau 2, 1 et 0, avec des contrôles stricts aux frontières. NIS2 n'impose pas explicitement Purdue, mais la segmentation est implicitement requise par l'article 21.
2. Inventaire des actifs OT
Vous ne pouvez pas sécuriser ce que vous ne connaissez pas. NIS2 impose une cartographie des actifs et des risques. Dans un contexte industriel, cela signifie : inventaire de tous les équipements OT (PLC, HMI, SCADA, capteurs, actionneurs), identification des connexions IT/OT, cartographie des flux réseau entre zones, identification des versions firmware et OS de chaque équipement.
3. Détection des menaces OT
Les outils de détection traditionnels (EDR, antivirus) ne sont pas compatibles avec les systèmes OT. Des solutions spécialisées de monitoring passif du réseau OT sont nécessaires : Claroty, Nozomi Networks, Dragos, Tenable OT Security. Ces solutions analysent le trafic réseau industriel sans impact sur la disponibilité des équipements.
4. Gestion des vulnérabilités OT
Les patches sur les systèmes OT ne peuvent pas être appliqués à la même fréquence que sur les systèmes IT. Une approche adaptée inclut : priorisation des vulnérabilités critiques, patches lors des arrêts planifiés (maintenance annuelle), compensating controls pour les vulnérabilités non patchables (segmentation renforcée, monitoring, liste blanche applicative), collaboration avec les fabricants OEM pour les correctifs.
5. Continuité industrielle
NIS2 impose des plans de continuité. Dans l'industrie, cela signifie : procédures de basculement en mode dégradé (fonctionnement sans supervision numérique), sauvegardes des configurations des équipements OT (configurations PLC, recettes de production), procédures de restauration testées, formation des opérateurs aux procédures manuelles d'urgence.
NIS2 et la chaîne d'approvisionnement industrielle
NIS2 (article 21.2d) impose la gestion des risques liés à la chaîne d'approvisionnement. Dans l'industrie, cela crée une cascade d'exigences :
- Les grands groupes industriels (donneurs d'ordre) imposent à leurs fournisseurs (sous-traitants) des questionnaires de sécurité et des exigences contractuelles
- Les équipementiers OEM qui fournissent des PLC ou des automates sont des fournisseurs TIC au sens NIS2
- Les intégrateurs qui maintiennent les systèmes SCADA à distance créent un risque de "supply chain" numérique
- Les accès VPN des mainteneurs tiers doivent être sécurisés, limités et auditables
Calendrier et plan d'action NIS2 pour les industriels
La transposition française de NIS2 (en cours) prévoira un délai de mise en conformité, mais les entreprises doivent commencer maintenant. Le plan d'action recommandé en 5 étapes :
- Mois 1-2 : Diagnostic d'éligibilité NIS2 et inventaire des actifs IT et OT. Identification des écarts les plus critiques.
- Mois 3-4 : Mise en place des mesures de base : segmentation IT/OT si inexistante, déploiement du monitoring OT passif, revue des accès tiers (VPN mainteneurs).
- Mois 5-8 : Formalisation des politiques (PSSI adaptée au contexte industriel, procédure de gestion des incidents, plan de continuité industrielle).
- Mois 9-12 : Tests de résilience, formation des équipes de production, audit de conformité et enregistrement ANSSI.
- Continu : Programme de gestion des vulnérabilités OT, revue annuelle de la posture de sécurité, amélioration continue.
Accompagnement NIS2 pour les industriels
CyberConform accompagne les entreprises industrielles dans leur mise en conformité NIS2 : diagnostic d'éligibilité, audit IT/OT, segmentation réseau industrielle, déploiement de monitoring OT et formation des équipes. Expérience dans l'automobile, l'agroalimentaire, la chimie et l'équipementier industriel. Devis gratuit sous 48h.
Articles recommandés
Certification HDS : guide complet 2026
Hébergement de données de santé : 6 activités, articulation ISO 27001, RGPD et NIS2, processus et coûts.
Lire l'articleIAMIAM pour PME : SSO, MFA, PAM, IGA
Structurer un programme IAM conforme NIS2 et ISO 27001 : identités humaines et machines, recertification.
Lire l'articleMicrosoft 365Sécurité Microsoft 365 : guide complet 2026
MFA, Conditional Access, Defender, Purview, DLP, sauvegardes tierces et Secure Score pour PME et ETI.
Lire l'articleBesoin d'accompagnement ?
Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.
Demander un diagnostic gratuit